DNSSEC (FAQ)

O que DNSSEC?

DNSSEC (DNS Security Extensions) um conjunto de extenses do protocolo DNS que permitem, atravs do mtodo criptogrfico, validar as respostas que enviam os servidores do DNS.
Isso quer diser que quando recebemos uma resposta a uma consulta DNS, ela poder incluir informao adicional que permita verificar a validade da mesma.

Dessa forma, podemos ter garantias adicionais contra ataques de interceptao (man-in-the-middle) ou de envenenamento de cache (cach poisoning).

Para criar essas garantias, os administradores de servidores DNS devem assinar suas zonas. O processo de assinatura insere informao adicional nas zonas juntamente com os registros normais, permitindo que os clientes (isto , aqueles que consultam o DNS) possam verificar essas assinaturas.

Esse processo parecido com outros procedimentos de assinatura digital nos quais a verificao de assinaturas implica uma corrente de assinaturas at uma raiz ou uma ncora de confiana.
A ncora de confiana do DNSSEC fornecida pela zona raiz assinada. A zona raiz do DNS foi assinada em junho de 2010.

DNSSEC no define um novo protocolo, mas cria novos registros e novas bandeiras dentro do marco das mensagens existentes de DNS.

Por que importante a implementao do DNSSEC?

O protocolo DNS uma pea crtica no funcionamento da Internet toda. De fato, fica difcil imaginar a dimenso atual da Internet sem um mecanismo eficiente e escalvel para resoluo de nomes.

O protocolo DNS foi definido originalmente em 1983 (RFCs 882 e 883) e desde esse momento no tem sofrido grandes mudanas. As novas funcionalidades esto associadas a extenses e novos tipos de registros.

Devido a que foi criado quando a Internet ainda estava limitada principalmente ao ambiente acadmico, o protocolo DNS conserva algumas fraquezas estruturais que o tornam vulnervel a certos tipos de ataques.

Entre esses ataques deve-se salientar o conhecido como "Bug de Kaminsky" que foi notcia em 2008 e que levou a realizar atualizaes urgentes do software de todos os servidores DNS.

Substituir todos os servidores DNS da Internet impensvel, mas graas a sua extensibilidade foi possvel definir as extenses de DNSSEC que permitem resolver essas fraquezas sem forar uma substituio imediata de todos os servidores.

A implementao de DNSSEC gradativa medida que os diferentes operadores vo assinando zonas.

No sei nada sobre DNSSEC, onde posso comear?

Existe muita informao disponvel de libre acesso sobre DNSSEC referente documentao e tutoriais.
Podemos citar alguns exemplos disso:

Que preciso para assinar as minhas zonas?

necessrio trabalhar em dois nveis: de um lado deve-se instalar e operar software que suporte a assinatura de zonas, e do outro devem ser definidos os procedimentos e polticas de gesto e gerenciamento de senhas e assinaturas.

Em termos de software podemos nomear os seguintes produtos:

  • BIND 9.7 / 9.8
  • OpenDNSSEC
  • Outros
Que preciso para validar respostas DNS?

Em termos de servidores DNS recursivos possvel comear hoje mesmo a validar respostas de DNS. Para isso devem ser seguidos os passos especificados pelo fabricante do prprio software.

Por exemplo:

Qual o papel do LACNIC em DNSSEC?

LACNIC em sua qualidade de registro regional de endereos da Internet opera tambm nas zonas de resoluo inversa do DNS para o espao IPv4 e IPv6 da regio.

Esse o caso, por exemplo, das zonas 179.in-addr.arpa ou 200.in-addr.arpa entre outras. Nessas zonas, os membros do LACNIC instalam registros de delegao (registros NS) que permitem 'unir' a rvore de DNS inverso desde sua raiz at suas extremidades inferiores.

No caso de DNSSEC os servidores DNS do LACNIC tambm devem conter outro tipo de registros (registros DS) que so os que permitem criar a corrente de confiana mencionada anteriormente.

Que funcionalidades oferece o sistema de registro do LACNIC para DNSSEC?

Os membros do LACNIC que queiram assinar suas zonas inversas podero utilizar o sistema de registro do LACNIC para configurar os registros DS correspondentes a suas senhas de DNSSEC.

obrigatrio usar DNSSEC?

No. Usar DNSSEC uma opo de cada operador. No entanto, acreditamos que importante trabalhar na implementao dessa tecnologia.

CHK_LACNIC