با دوره ی آموزش امنیت شبکه (Network Security) از وبسایت پی وی لرن همراه هستیم.
با آسیب پذیری DNS و استفاده از DNSSEC و غیره از مکانیزم های امنیت در لایه Application در این قسمت آشنا می شویم. امیدوارم آموزش ها مفید بوده باشند.
قبلا، اشاره کردیم که مهاجم می تواند مسمومیت DNS Cache را برای انجام حمله به کاربر هدف مورد استفاده قرار دهد. (Domain Name System Security Extensions (DNSSEC یک استاندارد اینترنتی است که می تواند چنین حملاتی را از بین ببرد.
در یک طرح استاندارد DNS، زمانی که کاربر می خواهد به نام دامنه متصل شود، کامپیوترش با سرور DNS تماس می گیرد و آدرس IP مربوط به آن نام دامنه را جستجو می کند. هنگامی که آدرس IP دریافت می شود،کامپیوتر پس از آن به آن آدرس IP متصل می شود.
در این طرح هیچ فرآیند تایید وجود ندارد.
یک کامپیوتر از سرور DNS خود برای آدرس مرتبط با یک وبسایت درخواست می کند، سرور DNS با یک آدرس IP پاسخ می دهد و کامپیوتر شما بدون شک آن را به عنوان پاسخ قانونی پذیرفته و به آن وب سایت متصل می شود.
مراجعه به DNS در واقع در چندین مرحله اتفاق می افتد. برای مثال،
هنگامی که یک کامپیوتر برای “www.tutorialspoint.com” درخواست می کند، جستجوی DNS در چند مرحله انجام می شود.
رایانه ابتدا از سرور محلی DNS (ارائه دهنده ی ISP) می پرسد. اگر ISP این نام را در حافظه کش خود داشته باشد، query را به “root zone directory” جایی که در آن می تواند “com.” و پاسخ های مربوط root zone را پیدا کند، فوروارد می کند.
بر اساس پاسخ، کامپیوتر پس از آن از دایرکتوری “com.” که در آن می تواند “tutorialspoint.com” را پیدا کند، می پرسد.
بر اساس اطلاعات دریافت شده، رایانه به «tutorialspoint.com» می پردازد که آن می تواند www. tutorialspoint.com را پیدا کند.
مراجعه DNS، زمانی که با استفاده از DNSSEC انجام می شود، مستلزم امضای پاسخ ها به وسیله ی responding entity. DNSSEC می باشد. DNSSEC بر اساس رمزنگاری کلید عمومی است.
در استاندارد DNSSEC، هر منطقه DNS دارای یک جفت کلید public/private است. تمام اطلاعاتی که توسط یک سرور DNS فرستاده می شود، با کلید پرایوت zone برای اطمینان تأیید، امضا شده است.
کلاینت های DNS نیاز به دانستن کلیدهای عمومی zone برای بررسی امضا دارند.
کلاینت ها ممکن است با کلیدهای عمومی از تمام دامنه های سطح بالا یا root DNS پیش پیکربندی شوند.
با استفاده از DNSSEC، روند جستجو به شرح زیر است:
همان طور که زون های بالای آن تایید شده است.
Domain Name | Time to live | Type | Value |
---|---|---|---|
tutorialspoint.com | ۸۶۴۰۰ | NS | dns.tutorialspoint.com |
dns.tutorialspoint.com | ۸۶۴۰۰ | A | ۳۶٫٫۱٫۲٫۳ |
tutorialspoint.com | ۸۶۴۰۰ | KEY | …۳۶۸۲۷۹۳A7B73F731029CE2737D |
tutorialspoint.com | ۸۶۴۰۰ | SIG | …۸۶۹۴۷۵۰۳A8B848F5272E53930C |
بنابراین، در نظر گرفته شده است، هنگامی که DNSSEC به طور کامل اجرا می شود، کامپیوتر کاربر قادر به تایید پاسخ های DNS مجاز و درست است و از حملات DNS که از طریق مسمومیت با DNS cache راه اندازی شده است جلوگیری می کند.
فرایند ایمن سازی ایمیل ها امنیت ارتباطات را تضمین می کند.
ایمن سازی، سرویس های امنیتی را برای محرمانه بودن، احراز هویت فرستنده، یکپارچگی پیام، و عدم انکار ارائه می کند.
برای امنیت ایمیل از دو طرح برای PGP و S / MIME استفاده شده است.
هر دو این برنامه ها از رمزنگاری کلید public و کلید secret استفاده می کنند.
مراجعه به DNS استاندارد برای حملاتی از قبیل مسمومیت DNS spoofing / cache آسیب پذیر است.
بررسی DNS از طریق استفاده از DNSSEC امکان پذیر است که رمزنگاری کلید عمومی را به کار می گیرد.
در این بخش، در مورد مکانیزم های مورد استفاده در لایه کاربرد برای ارائه امنیت شبکه در ارتباطات صحبت شد.
مکانیزم های امنیت در لایه Application رو در ۴ جلسه بیان نمودیم.
در قسمت آخر به آسیب پذیری DNS و استفاده از DNSSEC و غیره پرداختیم. آموزش امنیت شبکه رو در جلسات بعدی ادامه خواهیم داد.
متشکریم از همراهیتون.