O que é o DNS SEC?
O DNSSEC é uma solução que expande a segurança do serviço DNS, permitindo que as consultas DNS sejam validadas e autenticadas.
Com esta nova tecnologia, é possível proteger o sistema DNS contra problemas de segurança como por exemplo Cache Poisoning.
Os ataques Cache Poisoning ocorrem quando é feita uma consulta dos registos de uma zona DNS para um determinado domínio e esta não é fornecida por um servidor de nomes autoritativo, podendo o servidor de Cache DNS que se encontra configurado nos resolvers do computador do cliente, fornecer informações forjadas e levar o utilizador a aceder a um servidor que não é o que realmente aloja o site original.
Este cenário é muitas das vezes utilizado para levar o utilizador a páginas de Phishing, onde os dados submetidos pelo utilizador são posteriormente capturados pelo hacker. Este ataque em especifico, tem a particularidade de permitir ao hacker utilizar o domínio correcto para colocar a página Phishing, tornando assim a detecção pelo utilizador bastante mais difícil.
Com a implementação do DNSSEC, tanto a nível do servidor de DNS, como a nível do browser do utilizador, esta situação é facilmente detectada e poderão evitar-se assim vários problemas de segurança.
O DNSSEC permite validar a origem dos dados, assegurar que a informação recebida de um servidor DNS é autentica, confirmando que a informação não foi alterada durante a passagem pelos vários “cantos” da Internet e confirmar a inexistência de um domínio.
Desta forma o sistema DNS assegura que quando digitar “www.webtuga.pt” no seu browser, o site que lhe será apresentado é o site real e oficial da WebTuga e não um outro qualquer site forjado.
Este tipo de protocolo torna-se ainda mais importante quando se fala em sistemas bancários ou gateways de pagamento (Paypal, Visa, etc).
Do lado do utilizador, os browsers deverão ter no futuro implementado um sistema de validação, tal como acontece actualmente para os certificados SSL quando acede a um site via https, que irá validar se a zona está assinada e é confiável.
Como funciona o DNSSEC?
O sistema DNSSEC introduz apenas alguns novos tipos de Registos nas zonas DNS, nomeadamente DNSKEY, RRSIG e DS, sendo totalmente compatível com qualquer servidor ou cliente que não tenha ainda implementado o DNSSEC.
As extensões de segurança DNSSEC utilizam criptografia assimétrica, permitindo que a verificação e troca de informação DNS entre o servidor e o cliente seja privada e entregue sem alterações, recorrendo a uma assinatura digital e um conjunto de chaves privadas e publicas.
O DNSSEC é baseado numa cadeia de confiança, onde inicialmente é validada a raiz “.”, assinada digitalmente pela ICANN e IANA.
Posteriormente a raiz assina a zona “.pt” utilizando a sua chave privada e anexa-lhe a chave publica, permitindo a partir desse momento que quando um servidor de nomes local fizer uma consulta relacionada com um domínio “.pt”, este possa validar a autenticidade da raiz “.pt” recorrendo à chave publica.
O processo é repetido, até chegar à zona final correspondente ao domínio que está a ser assinado e validado.
As extensões de segurança do DNS são totalmente compatíveis com IPv6, uma vez que apenas é validada a integridade dos registos.
Este artigo não é a versão final, podendo ser actualizado a qualquer momento. Por esse motivo, deixamos indicado abaixo a data da ultima alteração.
03/12/2013
