DNSSEC Seguranca do DNS

De Wiki BPF
Revisão de 20h11min de 7 de abril de 2020 por Fernando.frediani (discussão | contribs) (Fernando.frediani moveu DNSSEC Segurança do DNS para DNSSEC Seguranca do DNS sem deixar um redirecionamento)
Ir para navegação Ir para pesquisar

Resumo do documento "DNSSEC: Securing the DNS" publicado pelo escritório do CTO da ICANN. Íntegra do documento em inglês disponível em OCTO-006.

Deixe sua opinião sobre o tema nos comentários.

O que é DNSSEC?

Quando o DNS foi criado no início dos anos 80, a segurança não era o foco dos desenvolvimentos. Ao invés de acessar o site solicitado no navegador, um invasor pode comprometer as mensagens DNS e direcioná-lo para outro site. Nos anos 90, a comunidade técnica do DNS apresentou a solução definitiva para esse problema, conhecida como DNS Security Extensions ou DNSSEC.

Como o DNSSEC funciona?

O DNSSEC permite que os registrantes assinem digitalmente as informações que colocam no DNS. Isso permite que os clientes (por exemplo, seu navegador da web) verifiquem se as respostas DNS não foram violadas. Em 2010, a ICANN permitiu que o nível mais alto do DNS (zona raiz) fosse assinado pelo DNSSEC, facilitando bastante a implantação global do DNSSEC. No entanto, mesmo uma década depois, a implementação significativa do DNSSEC continua atrasada. (Estatísticas de adoção geradas pelo APNIC)

Quais são os benefícios da implantação do DNSSEC?

O DNSSEC PROTEGE A INTERNET

Como o DNS é essencial para a operação da Internet, a proteção dos dados fornecidos pelo DNS é fundamental. Pensando em uma analogia, pense no DNS como placas de trânsito da Internet, fazendo com que a comunicação seja direcionada ao conteúdo ou serviço correto. Assim como nas placas das estradas, se os invasores mudarem para onde essas placas apontam, as pessoas podem ser direcionadas para áreas perigosas das cidades.

DNSSEC PROTEGE USUÁRIOS FINAIS

O DNSSEC pode garantir que os dados do nome de domínio recebidos pelos usuários finais são os mesmos dados que o registrante pretendia que o usuário final recebesse. O DNSSEC ajuda a garantir que, quando um usuário ou dispositivo final está tentando obter o conteúdo ou serviço apontado por um nome de domínio, o site com o qual eles estão se comunicando é o site que o registrante pretende acessar.

O DNSSEC PROTEGE EMPRESAS, ORGANIZAÇÕES E GOVERNOS

O DNSSEC reduz a probabilidade de que os usuários finais que desejam usar serviços ou visualizar conteúdos sejam direcionados incorretamente para um site em que possam ser enganados por um invasor. Dessa maneira, é responsabilidade dos provedores (ISPs) ativar o recurso para validar assinaturas DNSSEC nos seus resolvedores e, com isso, gerar um valor agregado aos seus clientes.

DNSSEC PROMOVE A INOVAÇÃO

O DNSSEC fornece uma maneira de verificar e proteger os dados DNS, permitindo que esses dados sejam confiáveis. Consequentemente, pode-se aproveitar o DNS global como um banco de dados seguro para nome/valores (por exemplo, você envia um nome e o DNS retorna um valor) distribuído globalmente e acessível ao público por qualquer pessoa na Internet. Como resultado, esse banco de dados seguro pode criar oportunidades de inovação e possibilitar novas tecnologias, serviços e instalações. Por exemplo, uma tecnologia que aproveita este recurso é o DANE (Autenticação de entidades nomeadas com base no DNS), que cria uma nova maneira de proteger conexões na Internet. O DANE aproveita os dados protegidos por DNSSEC no DNS e soluciona algumas das vulnerabilidades da maneira atual em que são feitas conexões seguras na Internet. Isso torna o comércio e as comunicações na Internet mais seguros.

Como posso colocar o DNSSEC em ação?

Em linhas gerais, o DNS possui dois lados: publicação, que é feita pelos registrantes ou seus agentes, e consultas (resolução) feitas pelos operadores de redes como os provedores. Para aproveitar os benefícios do DNSSEC, ambos os lados devem implementar.

  • REGISTRANTES: Responsáveis pela publicação de informações no DNS, devem garantir que seus dados de DNS estejam assinados com DNSSEC. Historicamente, este processo costumava ser complicado e sujeito a erros. Hoje em dia a maioria dos softwares de DNS e sistemas de registro possuem ferramentas que automatizam as assinaturas de DNSSEC nos dados. Assim, registrantes ou seus agentes simplesmente necessitam habilitar a assinatura de DNSSEC nos seus servidores (ou nos seus Registros/Registradores) fornecendo a informação de Delegation Signer Record para estabelecer a cadeia de confiança.
  • PROVEDOR DE INTERNET: No lado das consultas é muito mais fácil. O provedor só precisa habilitar a validação de DNSSEC nos servidores recursivos.
  • USUÁRIOS FINAIS: Usuários finais tipicamente não precisam fazer nada a não ser motivar o seu provedor a habilitar o DNSSEC. Aqui vai um site interessante para verificar: http://www.internet.nl

Quais são os custos associados ao DNSSEC?

Os servidores de DNS em ambos lados de publicação e de consultas já suportam DNSSEC em suas últimas versões. Pode ser necessário atualizar a versão do software, o que é uma prática recomendável por diversos outros motivos.

  • No lado da publicação, pode ser necessário modificar processos para enviar o parâmetro de Delegation Signer Record para o Registro. Pode haver custos operacionais nesta modificação, mas é um investimento feito uma única vez.
  • No lado da resolução (maioria dos provedores), se o software de DNS instalado for razoavelmente moderno, o custo deve ser praticamente nulo dado que apenas uma única nova configuração é necessária para iniciar a validação.

O que acontece se o DNSSEC não for implementado?

  • Clientes podem estar vulneráveis a ataques: Se uma organização decidir não implementar ou habilitar o DNSSEC, seus usuários podem estar susceptíveis a ataques. Quando um usuário realizar uma consulta, invasores podem inserir respostas falsas e possivelmente redirecionar a comunicação para máquinas controladas por criminosos. Os criminosos podem imitar páginas ou serviços e roubar usuários, senhas, etc. Mesmo que estes ataques sejam raros e dado que o DNSSEC já existe a algum tempo para prevenir exatamente este tipo de vulnerabilidade, as organizações que forem vitimizadas podem ter dificuldades para explicar aos clientes as razões para ainda não ter implementado DNSSEC. Assim como outras formas de ataque são prevenidas, é provável que invasores aproveitem sites ou acessos que não utilizam DNSSEC.