DNSSEC (FAQ)
DNSSEC (DNS Security Extensions) é um conjunto de extensões do protocolo DNS que permitem, através do método criptográfico, validar as respostas que enviam os servidores do DNS.
Isso quer diser que quando recebemos uma resposta a uma consulta DNS, ela poderá incluir informação adicional que permita verificar a validade da mesma.
Dessa forma, podemos ter garantias adicionais contra ataques de interceptação (man-in-the-middle) ou de envenenamento de cache (caché poisoning).
Para criar essas garantias, os administradores de servidores DNS devem assinar suas zonas. O processo de assinatura insere informação adicional nas zonas juntamente com os registros normais, permitindo que os clientes (isto é, aqueles que consultam o DNS) possam verificar essas assinaturas.
Esse processo é parecido com outros procedimentos de assinatura digital nos quais a verificação de assinaturas implica uma corrente de assinaturas até uma raiz ou uma âncora de confiança.
A âncora de confiança do DNSSEC é fornecida pela zona raiz assinada. A zona raiz do DNS foi assinada em junho de 2010.
DNSSEC não define um novo protocolo, mas cria novos registros e novas bandeiras dentro do marco das mensagens existentes de DNS.
O protocolo DNS é uma peça crítica no funcionamento da Internet toda. De fato, fica difícil imaginar a dimensão atual da Internet sem um mecanismo eficiente e escalável para resolução de nomes.
O protocolo DNS foi definido originalmente em 1983 (RFCs 882 e 883) e desde esse momento não tem sofrido grandes mudanças. As novas funcionalidades estão associadas a extensões e novos tipos de registros.
Devido a que foi criado quando a Internet ainda estava limitada principalmente ao ambiente acadêmico, o protocolo DNS conserva algumas fraquezas estruturais que o tornam vulnerável a certos tipos de ataques.
Entre esses ataques deve-se salientar o conhecido como "Bug de Kaminsky" que foi notícia em 2008 e que levou a realizar atualizações urgentes do software de todos os servidores DNS.
Substituir todos os servidores DNS da Internet é impensável, mas graças a sua extensibilidade foi possível definir as extensões de DNSSEC que permitem resolver essas fraquezas sem forçar uma substituição imediata de todos os servidores.
A implementação de DNSSEC é gradativa à medida que os diferentes operadores vão assinando zonas.
Existe muita informação disponível de libre acesso sobre DNSSEC referente à documentação e tutoriais.
Podemos citar alguns exemplos disso:
- Introdução a DNSSEC (LACNIC Lab., em espanhol e inglês): http://www.labs.lacnic.net/site/dnssec-intro-pdf
- Tutoriais de Registro.BR (em português).
- DNSSEC HOWTO (em inglês)
É necessário trabalhar em dois níveis: de um lado deve-se instalar e operar software que suporte a assinatura de zonas, e do outro devem ser definidos os procedimentos e políticas de gestão e gerenciamento de senhas e assinaturas.
Em termos de software podemos nomear os seguintes produtos:
- BIND 9.7 / 9.8
- OpenDNSSEC
- Outros
Em termos de servidores DNS recursivos é possível começar hoje mesmo a validar respostas de DNS. Para isso devem ser seguidos os passos especificados pelo fabricante do próprio software.
Por exemplo:
LACNIC em sua qualidade de registro regional de endereços da Internet opera também nas zonas de resolução inversa do DNS para o espaço IPv4 e IPv6 da região.
Esse é o caso, por exemplo, das zonas 179.in-addr.arpa ou 200.in-addr.arpa entre outras. Nessas zonas, os membros do LACNIC instalam registros de delegação (registros NS) que permitem 'unir' a árvore de DNS inverso desde sua raiz até suas extremidades inferiores.
No caso de DNSSEC os servidores DNS do LACNIC também devem conter outro tipo de registros (registros DS) que são os que permitem criar a corrente de confiança mencionada anteriormente.
Os membros do LACNIC que queiram assinar suas zonas inversas poderão utilizar o sistema de registro do LACNIC para configurar os registros DS correspondentes a suas senhas de DNSSEC.
Não. Usar DNSSEC é uma opção de cada operador. No entanto, acreditamos que é importante trabalhar na implementação dessa tecnologia.