Segment Routing : بررسی مفاهیم پایه و عملکرد

در این پست سعی شد تا دلایل و مشکلاتی که سبب پر رنگ شدن ایده ی Source Routing و تولد راهکاری با نام Segment Routing گشتند، بررسی شوند. Segment Routing تکنولوژی نه چندان جدید برای انجام Source Routing می باشد. در این روش، مبدا مسیری را انتخاب کرده و آن را در قالب لیستی از سگمنت ها در هدر پکت قرار می دهد. segment ها مشخص کننده ی رفتار و عملی هستند که باید در قبال پکت صورت گیرد. با استفاده از سگمنت روتینگ در شبکه ها، دیگر نیازی نیست که منطق ارسال پکت ها حتما بر اساس یک application خاص یا بر اساس یک جریان خاص باشد، بلکه forward پکت ها تنها بر اساس همان دستورالعملی که توسط سگمنت ها مشخص شده اند، صورت می گیرد.

تفاوت سگمنت روتینگ با MPLS و MPLS-TE در آن است که، Segment Routing از هیچ پروتکل اضافه تری چون LDP و RSVP برای سیگنالینگ و forward اطلاعات خود در طول یک دامنه ی SR استفاده نمی کند بلکه در مقابل، این اعمال را تنها با بهره گرفتن از قابلیت های توسعه یافته ی پروتکل هایی چون OSPF و IS-IS انجام می دهد. هم چنین در هنگام اجرا در یک ساختار MPLS یا IPv6، می تواند مستقیما از data plane آن ها بهره گیرد. اگر ساختار MPLS باشد، SR مستقیما از MPLS Data Plane بدون هیچ تغییری در آن، استفاده می کند. مزیت دیگر SR نسبت به MPLS در استفاده ی کارآمدتر از bandwidth و همینطور کاهش latency است.

Segment Routing: مفاهیم پایه

یک دامنه ی SR مجموعه ای از روترها است که اصطلاحا همه ی آن ها SR-Capable می باشند به این معنا که قابلیت تشخیص و کار با سگمنت ها را دارند. مشابه LSP در MPLS، مسیری در دامنه ی SR که به منظور ارتباط نقاط مختلف از آن استفاده می شود، SR-PATH نام دارد. SR-PATH الزاما کوتاهترین مسیر محاسبه شده توسط IGP نیست. به بیان بهتر SR-PATH می تواند کوتاهترین مسیر محاسبه شده توسط IGP و یا مسیری که بر حسب پارامترهای TE تعیین شده است، باشد. در واقع این سگمنت ها هستند که هر کدام بخشی از مسیر را مشخص می کنند که ترکیب آن ها با هم، نشان دهنده ی کل مسیر از یک مبدا تا یک مقصد مشخص می باشد. ادامه خواندن “Segment Routing : بررسی مفاهیم پایه و عملکرد”

امنیت BGP : بررسی جزئیات تغییر مسیر ترافیک مقاصد محبوب به ISP روسی

BGP hijack
منبع: bgpmon.net

در ۱۲ دسامبر ۲۰۱۷، سرویس مانیتورینگ دنیای اینترنت، BGPMon، اتفاقی عجیب را گزارش کرد که بر طبق آن ترافیک شبکه هایی همانند گوگل، مایکروسافت، فیسبوک، اپل و … برای مدت زمان مشخصی از طریق یک ISP ناشناخته ی روسی مسیریابی شدند.

این اتفاق سبب شد تا بار دیگر این سوال مطرح شود که آیا ارتباطات در دنیای اینترنت امن و قابل اعتماد هستند؟ به بیان بهتر، آیا پروتکل BGP که وظیفه ی برقراری ارتباطات بین backbone ها، ISP ها و شبکه های بزرگ را در دنیا بر عهده دارد، دارای مکانیسم های امنیتی کافی هست؟

با گذشت سال ها و با وقوع اتفاقات مختلفی که از آنها با عنوان hijack یا ربوده شدن مسیرها یاد می شود، همانند اتفاق ۱۲ دسامبر که تنها ۸ ماه بعد از مسیریابی ترافیک مقاصدی همانند Master Card، Visa و … از طریق یک ISP تحت نظارت دولت روسیه، به وقوع پیوست، تقریبا این امر محرز گشته که امنیت BGP جز در حد حرف نیست.

با وجود همه ی این تفاسیر، چند نکته در رابطه با اتفاقی که در ۱۲ دسامبر رخ داد، وجود دارند که کمی مشکوک بوده و جای تامل داشتند: ادامه خواندن “امنیت BGP : بررسی جزئیات تغییر مسیر ترافیک مقاصد محبوب به ISP روسی”

دوازده گام برای مهاجرت ISP ها به IPv6 (اینفوگرافیک)

در پست های متعددی سعی کردیم تا به طرق مختلف به معرفی روش های پرکاربردی که برای مهاجرت به IPv6 مورد استفاده قرار می گیرند، بپردازیم و از سوی دیگر سعی نمودیم تا در قالب اینفوگرافیکی پروتکل IPv6 را از دید تجاری و نه تخصصی، برای مدیران و عزیزانی که قصد شناخت این پروتکل را داشتند، معرفی نماییم. در این پست نیز، سعی نمودیم تا در قالب اینفوگرافیکی دیگر، مراحل و راهکارهای پیشنهادی برای مهاجرت ISP ها به IPv6 را بیان کنیم.

نمونه ی با کیفیت این اینفوگرافیک را می توانید از طریق این لینک دریافت کنید. ادامه خواندن “دوازده گام برای مهاجرت ISP ها به IPv6 (اینفوگرافیک)”

لینوکس : دستوراتی که هر مدیر شبکه ای باید آن ها را بداند!

به عنوان یک مدیر شبکه آشنایی با دستورات لینوکس ، حتی الامکان در حد دستورات پایه، امری ضروری محسوب می شود. به همین دلیل سعی گردید تا دستورات مهمی که یک ادمین شبکه برای کار با سیستم عامل های Debian Base باید با آن ها آشنایی داشته باشد، در قالب فایلی آماده و ارائه گردد. تصویر زیر صفحه ای از صفحات این فایل است که نسخه ی کامل آن را می توانید از طریق این لینک دریافت نمایید. ادامه خواندن “لینوکس : دستوراتی که هر مدیر شبکه ای باید آن ها را بداند!”

DNSSEC حقیقتی فراموش شده (قسمت دوم: عملکرد)

در مقاله ی قبل در رابطه با عملکرد DNS، تهدیدات و مشکلاتی که بر سر راه آن وجود داشت، به طور مفصل بحث گردید. در انتها آن چه راه نجات DNS برای در امان ماندن از تهدیدات امنیتی معرفی شد، پروتکلی با نام DNSSEC بود.

قبل از پرداختن به مفاهیم و اصطلاحات DNSSEC، شاید بد نباشد که ابتدا مروری بر مفاهیم Cryptography (رمزنگاری) داشته باشیم.

رمزنگاری (Cryptography):

Cryptography روشی برای رمزگذاری یا تولید hash برای محتویات است. با استفاده از رمزنگاری می توان امنیت و/یا قابل تایید و تصدیق بودن را برای اطلاعاتی که میخواهیم، فراهم آوریم. گاهی اوقات هدف از رمزنگاری تنها مخفی کردن محتویات پیام ها نیست. به عنوان مثال در DNSSEC هدف از رمزنگاری، تایید و تصدیق اطلاعات می باشد.

روش های مختلفی برای رمزنگاری وجود دارد که متداولترین این روش ها، رمزنگاری کلید عمومی یا Public Key Cryptography می باشد. با استفاده از این روش هم امنیت و هم تصدیق اعتبار را می توان از طریق encryption، signature و یا هردو، فراهم آورد.

برای encryption معمولا از یک جفت کلید که یکی اصطلاحا private و دیگری public خطاب می شود، استفاده می گردد. اطلاعاتی که توسط یک کلید encrypt شوند، تنها توسط جفت کلید دیگر قابل decrypt شدن هستند. به عبارت بهتر اگر اطلاعاتی توسط private key رمزگذاری شده باشند، تنها توسط public key قابل دست یابی خواهند بود و بالعکس.

منظور از signature تولید یک امضای دیجیتال با استفاده از مقدار hash به دست آمده از تابع hash ای است که اطلاعات به آن داده شده، به علاوه ی Private key (یا public key) می باشد. نحوه ی اعتبارسنجی یک امضای دیجیتال به این طریق است که: بعد از دریافت یک پیام (یا هرنوع داده ای) به همراه امضای دیجیتال، ابتدا امضا decrypt می گردد (از طریق public key). پس از decrypt امضا، آنچه به دست می آید یک مقدار hash است. گیرنده، پیام دریافت کرده را به یک تابع hash میدهد تا یک مقدار hash به دست آید. اگر مقدار hash به دست آمده توسط تابع hash در سمت گیرنده با مقدار hash دریافت شده (مقدار hash ای که پس از decrypt امضا به دست آمده)، یکسان باشد به این معنی است که داده ها درست بوده و تایید اعتبار می شوند.

DNSSEC: اصطلاحات و مفاهیم پایه

DNSSEC با افزودن یک امضای دیجیتال به رکوردهای DNS موجود، یک دامنه ی نام امن ایجاد می کند. این امضاهای دیجیتال یا اصطلاحا digital signature ها همانند سایر رکورد type های رایج چون: A یا AAAA یا CNAME، در سرورهای DNS ذخیره می شوند. با بررسی امضای اختصاص یافته به یک رکورد می توان مطمئن شد که رکورد DNS دریافت شده، از جانب یک DNS سرور مجاز است و یا رکوردی جعلی است که از طریق حمله ی man-in-the-middle تزریق شده است. ادامه خواندن “DNSSEC حقیقتی فراموش شده (قسمت دوم: عملکرد)”