DNSSEC para fornecedores de hardware

Descubra o que o DNSSEC significa para você e os passos que você pode tomar para apoiar o sucesso do DNSSEC.

À medida que o protocolo Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) é cada vez mais utilizado, cresce também a demanda por hardware e dispositivos de Internet compatível com elas. A Verisign está comprometida em trabalhar em conjunto com os fornecedores de hardware interessados para ajudar na determinação e na solução dos riscos de compatibilidade.

Por que agir agora O que é necessário O que levar em consideração Onde começar

Distribuidores autorizados de domínios, ISPs e usuários finais necessitam cada vez mais equipamentos de rede e outros dispositivos que ofereçam suporte e sejam compatíveis com um ambiente habilitado para DNSSEC.

De forma conjunta, essas entidades representam uma oportunidade de mercado significativa para os fabricantes de hardware que se movem rapidamente para atender a essa necessidade. Eles também destacam os potenciais riscos de negócios se os vendedores podem ter caso seus aparelhos não sejam compatíveis com o DNSSEC. De uma perspectiva mais ampla, esses riscos e oportunidades enfatizam o papel fundamental que os fornecedores de hardware têm na implantação e adoção do DNSSEC.

O DNSSEC pode criar uma série de problemas de compatibilidade em equipamentos de rede que suportam DNS. O planejamento estratégico, o desenvolvimento e a fabricação dos ciclos que tratam dessas questões podem levar meses, senão anos. Os fornecedores de hardware precisam planejar, desenvolver, testar e refinar seus produtos a fim de oferecer a segurança de que seus clientes precisam.

Ao agir agora, você reforça sua reputação de liderança e inovação em segurança na Internet, se diferencia dos concorrentes e finca os pés no mercado de dispositivos compatíveis com DNSSEC.

Benefícios para fornecedores de hardware

Ao mover-se rapidamente para dar suporte ao sucesso global do DNSSEC, você poderá:

  • Introduzir atualizações e novos produtos que sejam compatíveis com o DNSSEC.
  • Ajudar a construir sua marca e reputação.
  • Manter a confiança e a fidelidade dos clientes.
  • Atrair e reter clientes com foco em segurança.
  • Aumentar a segurança na Internet para clientes.
  • Proteger seu negócio principal melhorando a confiança na Internet.
  • Exercer liderança e influência para moldar o futuro do DNSSEC.

O DNSSEC introduz alterações complexas em todo o ecossistema da Internet. Para garantir que os usuários da Internet se beneficiem dessa camada adicional de segurança na Internet, os fabricantes de produtos de infraestrutura da Internet, como firewalls, roteadores e outros dispositivos, precisam garantir que seus aparelhos sejam compatíveis com o DNSSEC. A operação adequada desses produtos impacta virtualmente em qualquer pessoa que se conecte a Internet, incluindo empresas, ISPs, usuários domésticos e outros clientes.

O DNSSEC potencialmente tem impacto em qualquer dispositivo que analisa o tráfego da Internet nas camadas 3 a 7 da pilha do protocolo de Interconexão de Sistemas Abertos (OSI). Questões de compatibilidade poderão surgir do hardware em si ou da forma como os usuários o configuraram. A pesquisa sugere que a maioria dos roteadores usados em escritórios domésticos/de pequeno porte (com resolvedores stub) parecem funcionar adequadamente em um ambiente que usa DNSSEC. Firewalls de classe empresarial (com servidores recursivos) apresentam o maior desafio.

A Verisign está comprometida em ajudá-lo a identificar problemas de compatibilidade em seus produtos e soluções. A tabela a seguir oferece recomendações para abordar alguns aspectos importantes relacionados com a compatibilidade DNSSEC.

PROBLEMA: OS PACOTES PARA O DNSSEC SÃO MAIORES (> 512 bytes) DO QUE OS PACOTES TRADICIONAIS DE DNS.
Explicação: historicamente, as mensagens de DNS eram carregadas pelo Protocolo de Datagrama do Usuário (UDP), e os padrões originais de DNS restringiam o tamanho do pacote a 512 bytes. Os pacotes DNSSEC podem conter chaves públicas e assinaturas digitais. Como resultado, os pacotes DNSSEC são frequentemente maiores do que 512 bytes. Muitos dispositivos de rede antigos e alguns atuais podem largar os pacotes maiores da DNSSEC Recomendação: esteja ciente das limitações de equipamentos relacionadas ao processamento de pacotes DNSSEC.
PROBLEMA: O DNSSEC (ATIVAÇÃO) VAI GERAR MAIS TRÁFEGO TCP.
Explicação: devido às limitações na unidade de transmissão máxima (MTU), o protocolo UDP nem sempre pode acomodar o tamanho dos pacotes DNSSEC. Como resultado, as consultas e respostas voltam a utilizar o TCP, o que provoca mais tráfego e sobrecarrega ainda mais os dispositivos de rede. Além disso, alguns dispositivos não estão configurados para permitir pacotes de DNS via TCP; ou, em certos casos, os dispositivos podem não suportar DNS via TCP. Recomendação: certifique-se de que o seu equipamento suporta e está configurado para TCP.
PROBLEMA: O DNSSEC (ATIVAÇÃO) REQUER SUPORTE PARA EDNS0.
Explicação: os mecanismos de extensão para DNS (EDNS) são um conjunto de extensões de DNS publicado pela primeira vez em 1999. O tráfego DNSSEC depende dessas extensões para a sinalização adicional e o suporte aos pacotes de DNS em UDP maiores que 512 bytes. Alguns dispositivos de rede podem não ser capazes de processar pacotes de DNS com EDNS0. Recomendação: certifique-se de que o seu equipamento suporta pacotes de DNS com EDNS0.

A Verisign quer ajudá-lo com a compatibilidade de dispositivos para DNSSEC. Considere as seguintes etapas para iniciar.

Avaliar e planejar

  • Reveja seus produtos já existentes para entender suas limitações com relação à DNSSEC e identificar as configurações padrão de fábrica.
  • Entender como o DNSSEC se encaixa em sua estratégia de desenvolvimento de produtos.
  • Estabelecer um roteiro para desenvolver produtos, atualizações e melhorias que suportem o DNSSEC.

Testar

Teste a compatibilidade de seus dispositivos de rede com comportamento do DNSSEC.

Explorar e educar

  • Entenda os benefícios e desafios que os seus clientes vão experimentar ao implementar o DNSSEC.
  • Planeje estratégias para informar os clientes a respeito da compatibilidade com DNSSEC dos seus produtos.
  • Garanta que sua equipe de TI e de suporte ao cliente receba treinamento para tratar de questões relacionadas ao DNSSEC.
  • Trabalhe com consórcios do setor, entidades de padrões e outros revendedores de software e hardware para ajudar a desenvolver soluções e abordagens que atendam às necessidades de sua organização.


ler maisler menos

PRECISA DE MAIS INFORMAÇÕES?

Avisos legais// Privacidade// Repositório// Fale conosco// Mapa do site


© 2011-2013 VeriSign, Inc. todos os direitos reservados.
VERISIGN, o logotipo VERISIGN e outras marcas comerciais, marcas de serviços e designs são marcas comerciaisregistradas ou não registradas da VeriSign, Inc. e de suas subsidiárias nos Estados Unidos e em outros países. Todas as outras marcas comerciais são de propriedade de seus respectivos proprietários.