ABA


"מישהו יכול להסביר לי את העבודה של dnssec"
גירסת הדפסה        
קבוצות דיון חומרה, רשתות ואבטחת מידע נושא #25113 מנהל    סגן המנהל    מפקח   Winner    צל"ש   מומחה  
אשכול מספר 25113
code_blue  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 5.7.06
20388 הודעות, 7 פידבק, 14 נקודות
   21:31   11.03.18   
אל הפורום  
  מישהו יכול להסביר לי את העבודה של dnssec  
 
איך זה עובד ומה צריך להגדיר?

נשלח ע"י הסלולרי


                                שתף        
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

  האשכול     מחבר     תאריך כתיבה     מספר  
  הDNS מתרגם דומיינים לכתובות IP חוצה גם באדום 11.03.18 22:25 1
     תודה רבה code_blue  12.03.18 17:10 2
         שמע זה מגילה לכתוב חוצה גם באדום 12.03.18 18:22 3
     איך SSL יעזור אם עושים לך MiTM ומשנים את התשובה של ה-DNS? כובען  12.03.18 19:13 4
         ב ssl קל יותר להוכיח שזה לא mitm code_blue  12.03.18 19:18 5
             בגדול אם אתה עושה GET ל-HTTPS הדפדפן שלך יצפה להתחיל SSL HANDSHAKE עם האייפי כובען  12.03.18 19:28 6
                 אין קשר בין התשובה של הdns לתעודת הssl code_blue  12.03.18 19:39 8
             נכון עם SSL הרבה יותר קשה לשחק חוצה גם באדום 12.03.18 19:38 7

       
חוצה גם באדום לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 4.7.15
1182 הודעות, 10 פידבק, 10 נקודות
   22:25   11.03.18   
אל הפורום  
  1. הDNS מתרגם דומיינים לכתובות IP  
בתגובה להודעה מספר 0
 
   ע"י שאילתה לשרתי DNS. בעבר כשתשובות לשאילתות DNS תמיד הוחזרו ללא בקרה ואותנטיקציה מתקפות 'אדם באמצע' יכלו לשבש ולהתערב בתשובות הללו ולהפנות בקשות DNS לכל כתובת IP שהתוקף בחר שם למשל אוכסנו זיופים של אתרים רגישים וכו'
לכן הdnssec נוצר כתוספת אבטחה לdns ע"י מפתחות קריפטוגרפיים וחתימות. בפועל מדובר בעוד כמה שדות בzone בהן נשמרים פרטים שמיועדים לשלב האותנטיקציה.

לא חובה להגדיר dnssec וגם לא כל tld תומך בזה עדיין. האימוץ של זה אמנם גודל אבל באופן איטי. לדעתי אבטחת SSL מספיקה

לגבי הגדרות תראה כאן
https://www.digitalocean.com/community/tutorials/how-to-setup-dnssec-on-an-authoritative-bind-dns-server--2


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
code_blue  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 5.7.06
20388 הודעות, 7 פידבק, 14 נקודות
   17:10   12.03.18   
אל הפורום  
  2. תודה רבה  
בתגובה להודעה מספר 1
 
לא הבנתי עדיין מה משתנה בשאילתא ובתשובה
איך ההגנה עובדת

נשלח ע"י הסלולרי


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חוצה גם באדום לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 4.7.15
1182 הודעות, 10 פידבק, 10 נקודות
   18:22   12.03.18   
אל הפורום  
  3. שמע זה מגילה לכתוב  
בתגובה להודעה מספר 2
 
   הרעיון מתבסס על הקונספט של מפתחות הצפנה אסימטריים (שזו גם תורה קטנה למי שחדש) שמשמשים כאן לאימות תקשורת הDNS בתהליך קצת מורכב. בגדול השאילתה בודקת אם המפתחות שבתשובה תואמים למה שנשלח ואז או שיש או שאין אימות. למדתי על זה לפני שנים לא זוכר כל השדות של dnssec אבל יש הרבה חומר באנגלית כמו כאן:

https://www.cloudflare.com/dns/dnssec/how-dnssec-works/

אם צריך תקרא קודם על הקונספט של מפתחות הצפנה


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
כובען  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 2.3.10
23094 הודעות, 20 פידבק, 8 נקודות
   19:13   12.03.18   
אל הפורום  
  4. איך SSL יעזור אם עושים לך MiTM ומשנים את התשובה של ה-DNS?  
בתגובה להודעה מספר 1
 
שהסרטיפיקט לא יתאים לדומיין?


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
code_blue  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 5.7.06
20388 הודעות, 7 פידבק, 14 נקודות
   19:18   12.03.18   
אל הפורום  
  5. ב ssl קל יותר להוכיח שזה לא mitm  
בתגובה להודעה מספר 4
 
רואים שהגוף שבעל התעודה הוא לא הבעלים המקורי.
אמנם מצריך ידע והבנה אבל כלי טוב בכל אופן

נשלח ע"י הסלולרי


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
כובען  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 2.3.10
23094 הודעות, 20 פידבק, 8 נקודות
   19:28   12.03.18   
אל הפורום  
  6. בגדול אם אתה עושה GET ל-HTTPS הדפדפן שלך יצפה להתחיל SSL HANDSHAKE עם האייפי  
בתגובה להודעה מספר 5
 
שיחזור מה-DNS REQUEST, ואם הסרטיפיקט שיתקבל לא יתאים לדומיין אתה בבעיה, בלי לבדוק כלום.

לא?


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
code_blue  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 5.7.06
20388 הודעות, 7 פידבק, 14 נקודות
   19:39   12.03.18   
אל הפורום  
  8. אין קשר בין התשובה של הdns לתעודת הssl  
בתגובה להודעה מספר 6
 
התעודה רשומה על שם הדומיין כי זה חד ערכי אך אין שום בדיקה לכתובת שחוזרת מה dns לאותו דומיין וככה בדיוק אפשר לנצל ב mitm פרצות


נשלח ע"י הסלולרי


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
חוצה גם באדום לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 4.7.15
1182 הודעות, 10 פידבק, 10 נקודות
   19:38   12.03.18   
אל הפורום  
  7. נכון עם SSL הרבה יותר קשה לשחק  
בתגובה להודעה מספר 5
 
   בכלל בSSL ההצפנה היא על כל התקשורת זו ליגה אחרת. Dnssec זו רק תוספת נחמדה לשלב הdns


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

תגובה מהירה  למכתב מספר: 
 
___________________________________________________________________

___________________________________________________________________
למנהלים:  נעל | תייק בארכיון | מחק | העבר לפורום אחר | מחק תגובות | עגן אשכול
       



© כל הזכויות שמורות ל-רוטר.נט בע"מ rotter.net