DNSSEC (Domain Name System Security Extensions)

“O DNSSEC (Domain Name System Security Extensions) é o nome dado às extensões de segurança ao protocolo DNS (Domain Name System) concebidas para proteger e autenticar o tráfego DNS. Estas extensões fazem uso da tecnologia de criptografia
assimétrica para assegurar a autenticidade e a integridade da informação trocada entre servidores DNS e entre estes e as aplicações do utilizador. Os mecanismos de segurança previstos no DNSSEC são complementares e transparentes para o utilizador, não interferindo, desta forma, com o normal funcionamento do
protocolo DNS.”
(…)
“A especificação inicial do DNS, desenhado na década de 80, quando a Internet não tinha a dimensão que conhecemos hoje, não incorporava quaisquer políticas ou mecanismos de segurança. Pelo contrário, o seu desenho dá primazia a aspetos de eficácia, eficiência e escalabilidade. Por este facto, a especificação possuí algumas vulnerabilidades de segurança que têm vindo a ser exploradas maliciosamente com o objetivo de induzir erros na resolução de nomes DNS associadas, nomeadamente, à autenticidade dos sites e à integridade dos dados transmitidos.
Com o objetivo de mitigar um conjunto de vulnerabilidades e vetores de ataques conhecidos, a Internet Engineering Taskforce (IETF), organização responsável pelos padrões de protocolo DNS, procurou encontrar uma solução que fortalecesse a autenticação do protocolo DNS, sem comprometer o seu normal funcionamento e a infraestrutura que depende deste, foram então criadas as extensões de segurança ao DNS, designadas DNSSEC (DNS Security Extensions).
Em suma, as extensões de DNSSEC visam melhorar a confiabilidade dos utilizadores nos serviços prestados online, através de um sistema de resolução de nomes mais seguro, reduzindo o risco de manipulação de dados e informações, contribuindo,
nomeadamente, para:
Suprimir fragilidades do protocolo DNS;
Prevenir ataques do tipo man-in-the middle e cache poisoning;
Reduzir o risco de manipulação de informação;
Reforçar a fiabilidade do sistema.”

Guidelines para a implementação
Os sistemas operativos mais recentes já se encontram preparados para a utilização de DNSSEC, permitindo assim que a aplicação da tecnologia DNSSEC chegue aos utilizadores finais.
Relativamente aos sistemas a operarem como resolvers é necessário confirmar que estes se encontram preparados para a validação de DNSSEC, sendo que aqui o papel mais importante cabe aos fornecedores de serviços de Internet, ISP (Internet Service Providers) e das empresas que gerem os seus serviços de resolução de nomes,
nomeadamente servidores de nomes recursivos.
Para um titular de um domínio, é necessário que o titular solicite ao responsável técnico associado ao domínio que preceda à configuração do seu domínio com DNSSEC.
Para ter um domínio assinado com DNSSEC é necessário configurar o domínio seguindo procedimentos recomendados (DNSSEC Operational Practices, Version 2), sendo que os que são considerados mais relevantes são os seguintes:
Utilizar ferramentas e software nas versões estáveis mais recentes e proceder regularmente às suas atualizações, aplicando patchs de segurança quando necessário;
Configurar corretamente os dados DNS na zona e os respetivos servidores de nomes autoritários onde a zona se encontra delegada;
Gerar uma chave que assina a zona (ZSK – Zone Signing Key);
Gerar uma chave que assina chaves (KSK – Key Signing Key);
Assinar todos os conjuntos de resource records (RRSet) existentes na zona com a ZSK;
Assinar todas as chaves (DNSKEYs) com a KSK;
Criar o Delegation Signer (DS) através da KSK;
Solicitar submissão do resource record DS no TLD da zona
hierarquicamente superior;
Assinar a zona sempre que existe alteração aos dados DNS (resource records);
Desenvolver automatismos de assinatura de domínios, para que todas as zonas com DNSSEC sejam assinadas automaticamente, mesmo quando não existem alterações, permitindo desta forma prolongar a validade das assinaturas digitais geradas, sem que estas nunca cheguem a expirar.
Recomenda-se o planeamento de rotação de chaves em caso de emergência ou programado.

Fonte:
https://webcheck.pt/fotos/editor2/tutorial_dnssec.pdf

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão /  Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão /  Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão /  Alterar )

Connecting to %s

Create your website with WordPress.com
Iniciar
%d bloggers like this: