DNSSEC para ISPs

O protocolo Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) permite que os provedores de serviços de Internet (ISPs) ofereçam valor agregado aos milhares de clientes que dependem de uma conexão com a Internet segura para trabalhar, estudar, jogar e interagir.

A Verisign está comprometida em trabalhar com ISPs pra simplificar e padronizar o DNSSEC. Saiba o que o DNSSEC significa para você, o que você pode fazer para se preparar para o DNSSEC, e como as ferramentas, informações e os recursos da Verisign podem ajudá-lo a planejar, testar e habilitar o DNSSEC de forma efetiva.

Por que agir agora O que fazer O que levar em consideração Onde começar

Devido à percepção cada vez maior das ameaças de DNS e à trajetória de outras iniciativas de segurança da Internet, como o Secure Sockets Layer, é provável que o DNSSEC se torne imperativo em ISPs, direcionado por requisitos internos, como gerenciamento de riscos e demanda do consumidor por uma Internet mais segura.

Ao agir agora, você pode proteger melhor seus clientes, reforçar a sua reputação de liderança na proteção ao cliente e segurança na Internet, e se diferenciar dos concorrentes. Como um dos pioneiros, você também pode ser capaz de influenciar o desenvolvimento de produtos e serviços, além de outras iniciativas do setor, que apoiem e beneficiem a sua empresa.

Benefícios para os ISPs proativos

Adicionando essa camada de forma proativa, é possível:

  • Ajudar a diminuir o risco de que seus clientes se tornem vítimas de crimes cibernéticos
  • Ajudar a proteger e construir sua marca e reputação
  • Manter a confiança e a fidelidade dos seus clientes.
  • Oferecer uma Internet mais segura como parte da sua proposta de valor para os clientes
  • Atrair e reter clientes com foco em segurança.
  • Proteger seu negócio principal melhorando a confiança na Internet.
  • Exercer sua liderança e influência para moldar o futuro do DNSSEC.

Os ISPs desempenham um papel essencial no funcionamento da Internet e no sucesso do DNSSEC. Os servidores recursivos de nomes (resolvedores) gerenciados pelos ISPs ajudam os usuários da Internet a resolver rapidamente milhares de nomes de domínio por dia. Servidores recursivos de nomes também são o principal vetor para o envenenamento do cache.

Servidores recursivos de nomes que utilizam o DNSSEC podem ajudar a impedir o envenenamento do cache da seguinte forma: quando um servidor recursivo de nomes solicita informações de DNS de um servidor autorizado de uma zona e a zona é assinada, o servidor recursivo de nomes também solicita a chave DNSSEC da zona para que ele possa verificar se a informação recebida é idêntica à informação do servidor autorizado.

Para ajudar a propagar o DNSSEC por todo o ecossistema da Internet, você precisa permitir o uso do DNSSEC em seus servidores recursivos de nomes e assegurar a compatibilidade das suas infraestruturas de rede (por exemplo: firewalls, roteadores, switches e balanceadores de carga) com as respostas de DNS maiores, geradas pelo DNSSEC. Com o tempo, você pode incorporar o DNSSEC nos seus ciclos de desenvolvimento e testes. Os ISPs que fornecem serviços de hospedagem de DNS também precisarão ativar a funcionalidade DNSSEC para esses serviços.

A maioria dos servidores recursivos de nomes disponíveis comercialmente já suportam DNSSEC e exigem somente uma atualização ou alteração de parâmetros. No entanto, as empresas de registros podem ter que atualizar ou substituir servidores de nomes antigos e dispositivos de rede existentes.

A Verisign está comprometida em ajudá-lo a identificar a melhor estratégia de implementação do DNSSEC para o seu caso.

A tabela a seguir apresenta recomendações para abordar algumas questões importantes associadas à implementação do DNSSEC.

PROBLEMA: AS VERSÕES ANTIGAS DO SOFTWARE SERVIDOR DE NOMES NÃO SUPORTAM O DNSSEC.
Explicação: o DNS tem sido uma plataforma muito resistente. Como resultado, a frequência de atualização dos softwares servidores de nomes por parte dos administradores é baixa. Alguns softwares servidores de nomes, incluindo versões antigas do BIND, não terão suporte às DNSSEC. Recomendação: analise seus servidores de nome e atualize para uma versão que suporte o protocolo DNSSEC e RSA-SHA256, NSEC e NSEC3.

Considere as seguintes versões compatíveis com o DNSSEC: BIND 9.9.0, 9.81-p1, 9.7.4-p1 e Unbound 1.4.16
PROBLEMA: OS PACOTES PARA O DNSSEC SÃO MAIORES (> 512 BYTES) DO QUE OS PACOTES TRADICIONAIS DE DNS.
Explicação: os pacotes DNSSEC são maiores que os pacotes tradicionais e contêm informações diferentes. Os softwares servidores de nomes compatíveis com DNSSEC podem aumentar o uso de recursos por parte de um servidor. Pacotes maiores, por exemplo, aumentarão os requisitos de capacidade da CPU, da memória do servidor e da largura de banda para o funcionamento do ISP. Recomendação: analise o hardware em que seus servidores de nomes são executados para garantir que os servidores estejam preparados para o aumento de carga.
PROBLEMA: SERVIDORES RECURSIVOS DE NOMES REQUEREM QUE A VALIDAÇÃO ESTEJA "LIGADA".
Explicação: para fornecer a funcionalidade DNSSEC aos seus clientes, você deve ativar a validação DNSSEC nos servidores recursivos de nomes. Recomendação: avalie e decida por "ligar" ou não a validação. A seguir, crie e mantenha servidor recursivo de nomes de validação sensível às DNSSEC.
PROBLEMA: O DNSSEC AUMENTARÁ AS RESPONSABILIDADES DE GERENCIAMENTO DE DNS PARA OS ADMINISTRADORES DE SISTEMA.
Explicação: os administradores de sistema responsáveis pelas operações de DNS precisarão realizar manutenções periódicas de confiança e atualizar a chave pública (utilizada para autenticação DNSSEC) quando os operadores da zona raiz passarem a utilizar novos pares de chaves públicas/privadas para as assinaturas digitais. Recomendação: certifique-se de que os administradores de sistema que gerenciam as suas operações de DNS tenham bons conhecimentos dos conceitos de DNSSEC e manutenção de âncora de confiança. Proporcione treinamentos técnicos e aumente a familiaridade com as ferramentas disponíveis.
PROBLEMA: OS USUÁRIOS FINAIS ENCONTRARÃO FALHAS DE VALIDAÇÃO DE DNSSEC.
Explicação: uma preocupação significante para ISPs e a comunidade da Internet, é a experiência do usuário final quando dados DNS fraudulentos são detectados ou a resolução de nomes falha porque as assinaturas digitais utilizadas para autenticar o DNS expiraram. Recomendação: eduque e treine sua equipe de atendimento ao cliente para que eles saibam como diagnosticar e explicar tais falhas à sua base de usuários. Colabore com a Verisign, outros ISPs e participantes do ecossistema da Internet para encontrar uma solução padronizada para esse problema.

Você pode tomar providências cadenciadas para alcançar seu objetivo de um sistema com DNSSEC que ajude a manter a confiança dos usuários finais e forneça uma vantagem competitiva. Com base nas lições aprendidas através do trabalho com distribuidores autorizados de domínios e ISPs, bem como através do trabalho para implementar o DNSSEC nas zonas raízes .edu, .net e .com, sugerimos os seguintes passos para começar.

Explorar e educar

  • Entenda como o DNSSEC se encaixa na sua estratégia de segurança cibernética.
  • Conheça os benefícios e desafios da implementação do DNSSEC.
  • Entenda a criptografia de chaves públicas, os padrões de criptografia e como as assinaturas digitais e as chaves públicas/privadas funcionam em conjunto.
  • Garanta que sua equipe de TI e de suporte ao cliente receba treinamento para tratar de questões relacionadas ao DNSSEC.
  • Aproveite os recursos da Verisign e planeje estratégias para informar clientes sobre o DNSSEC.

Planejamento

  • Estabeleça um cronograma para a adoção do DNSSEC.
  • Decida como você integrará o DNSSEC na sua arquitetura de DNS existente.
  • Crie políticas e processos para sistematizar a integração de atualizações de chaves públicas de empresas de registro de domínios ou outras âncoras de confiança.

Avaliar e atualizar

  • Faça um inventário e revise sua infraestrutura. Por exemplo: observe qual a versão do BIND ou Unbound está sendo executada e determine se os servidores de nomes suportam os protocolos NSEC3 e SHA-256.
  • Determine qual será o impacto, caso existente, que o DNSSEC terá na largura de banda da rede (os pacotes maiores do DNSSEC aumentam o tráfego de rede).
  • Considere como o DNSSEC afetará o gerenciamento dos servidores recursivos de nomes.
  • Pergunte a seus fornecedores de hardware onde o DNSSEC se encaixa em seus planos e se há atualizações disponíveis para seus atuais dispositivos de rede.
  • Avalie produtos e serviços que suportam sua implementação.
  • Atualize o hardware de DNS e o software do servidor de nomes, conforme necessário, para que eles sejam compatíveis com DNSSEC.

Participe

  • Trabalhe com consórcios do setor, entidades de padrões e fornecedores de software e hardware para ajudar a desenvolver soluções e abordagens que atendam às necessidades de sua organização.
  • Colabore e crie estratégias voltadas para a experiência do usuário final quando o DNSSEC detecta dados “ruins”.

ler maisler menos

PRECISA DE MAIS INFORMAÇÕES?

Avisos legais// Privacidade// Repositório// Fale conosco// Mapa do site


© 2011-2013 VeriSign, Inc. todos os direitos reservados.
VERISIGN, o logotipo VERISIGN e outras marcas comerciais, marcas de serviços e designs são marcas comerciaisregistradas ou não registradas da VeriSign, Inc. e de suas subsidiárias nos Estados Unidos e em outros países. Todas as outras marcas comerciais são de propriedade de seus respectivos proprietários.