DNSSEC.OVERVIEW

As Extensões de Segurança do Sistema de Nomes de Domínio (DNSSEC) aumentam a segurança do DNS. Elas foram projetadas para lidar com ataques MITM e envenenamentos de cache através da autenticação da origem dos dados DNS e da verificação da sua integridade enquanto trafegam pela Internet.

Por que DNSSEC? Como funciona Pilares do sucesso História do DNSSEC

O Sistema de Nome de Domínio (DNS), o sistema de endereços da Internet, é o componente mais importante da infraestrutura da Internet. Sem ele, a Internet não funcionaria. No entanto, ele não foi projetado com a segurança em mente. Como resultado, é vulnerável aos ataques "man-in-the-middle" (MITM) e envenenamento de cache. Essas ameaças utilizam dados forjados para redirecionar o tráfego da Internet para sites fraudulentos e endereços indesejados. Saiba mais sobre o DNS

Quando um usuário desavisado ou dispositivo chega a um site fraudulento, os criminosos da Internet podem potencialmente extrair dados de cartão de crédito, roubar de senhas, escutar chamadas VoIP, instalar softwares maliciosos, exibir imagens e textos que difamam marcas legítimas ou fornecer informações enganosas. Uma vez que um único servidor de nomes DNS pode atuar como o ponto de resolução de nome para endereço para milhares de usuários, o impacto potencial de um ataque MITM ou envenenamento de cache pode ser considerável.

BENEFÍCIOS DO DNSSEC PARA USUÁRIOS FINAIS

O DNSSEC apresenta oportunidades a todos os membros do ecossistema da Internet. Seu impacto mais direto e generalizado é sobre os usuários finais.

  • Atividades confiáveis: ao reforçar a segurança do DNS, o DNSSEC aumenta a confiança para uma infinidade de atividades na Internet, incluindo comércio e atividades bancárias on-line, e-mail, VoIP e distribuição de software on-line.
  • Proteção de clientes e marcas: o DNSSEC minimiza o risco dos clientes serem vítimas de crimes cibernéticos quando tentam acessar um recurso.
  • Novos tipos de transações seguras: o DNSSEC abre as portas para utilizar o sistema de DNS para novos tipos de transações de dados seguras.

A Força-Tarefa de Engenharia na Internet (IETF) tem trabalhado por mais de 15 anos para desenvolver um padrão funcional para as extensões de segurança do sistema de nome de domínio (DNSSEC). O DNSSEC protege a comunidade da Internet contra dados falsos de DNS, usando criptografia de chave pública para assinar digitalmente os dados da zona autorizada quando eles entram no sistema e então validar os dados e seu destino. Saiba mais sobre a criptografia de chave pública

A assinatura digital garante aos usuários que os dados são provenientes da fonte indicada e que não foram modificados durante o trânsito. O DNSSEC também pode provar que um nome de domínio não existe. Esses recursos são essenciais para manter a confiança na Internet.

No DNSSEC, cada zona tem um par de chaves pública/privada. A chave pública da zona é publicada usando o DNS, enquanto que a chave privada é mantida em segurança e, idealmente, armazenada off-line. A chave privada de uma zona assina dados de DNS individuais naquela zona, criando assinaturas digitais que também são publicadas com o DNS.

O DNSSEC usa um modelo de confiança rígido, e essa cadeia de confiança flui da zona pai para a zona filho. Zonas de nível mais alto (pais) assinam, ou atestam, as chaves públicas das zonas de nível mais baixo (filhos). Os servidores autorizados de nomes para essas inúmeras zonas podem ser gerenciados por distribuidores autorizados de domínios, provedores de serviços de Internet (ISPs), empresas de hospedagem ou pelos próprios operadores dos sites (usuários finais que registram domínios).

Quando um usuário final quer acessar um site, um resolvedor stub no computador do usuário solicita o endereço IP do site a partir de um servidor de nomes recursivo. Depois que o servidor solicita esse registro, ele também solicita a chave DNSSEC associada com a zona. Essa chave permite que o servidor verifique se a informação recebida é idêntica ao registro no servidor autorizado de nomes.

Se o servidor recursivo de nomes determinar que o registro de endereço foi enviado pelo servidor autorizado de nomes e não foi alterado em trânsito, ele resolve o nome do domínio e o usuário pode acessar o site. Este processo é chamado de validação. Se o registro do endereço foi alterado ou não é da origem declarada, o servidor de nomes recursivo não permite que o usuário acesse o endereço fraudulento. O DNSSEC também pode provar que um nome de domínio não existe. Como resultado desse processo, consultas e respostas de DNS são protegidas contra ataques man-in-the-middle (MITM) e dos tipos de falsificações que poderiam redirecionar os usuários da Internet para sites falsos.

Para garantir o sucesso global do DNSSEC, a Verisign defende uma abordagem proativa, mas cautelosa, que gira em torno de três princípios fundamentais:

  • O DNSSEC representa uma boa solução para uma vulnerabilidade específica da Internet, mas devem ser complementadas por outras camadas de segurança.
  • Uma implantação controlada e metódica do DNSSEC é mais segura.
  • Todo o ecossistema da Internet divide a responsabilidade pelo DNSSEC.

UMA BOA SOLUÇÃO PARA UMA VULNERABILIDADE ESPECÍFICA

Embora o DNSSEC aumente a segurança do DNS, ele é apenas um componente da abordagem em camadas para a segurança da infraestrutura da Internet. Ele não protege os servidores de nomes contra ataques distribuídos de negação de serviço (DDoS), não garante a confidencialidade de trocas de dados, não criptografa dados de sites ou impede o uso de IPs falsos ou roubo de IP. Outras camadas de proteção, como mitigação de DDoS, inteligência da segurança, criptografia com Secure Sockets Layer (SSL) e validação de sites, bem como autenticação com dois fatores, também são muito importantes para tornar a Internet mais segura. Esses mecanismos deverão ser usados em conjunto com o DNSSEC.

IMPLANTAÇÃO CONTROLADA E METÓDICA

A ampla implementação do DNSSEC introduz um conjunto de mudanças complexas que afetam todo o ecossistema da Internet e exigem muitos recursos, documentação, testes e coordenação da indústria. Qualquer implantação do DNSSEC deve ser feita em fases, especialmente para a operação segura dos mais importantes domínios globais de nível superior (TLDs), como .com e .net. Estratégia de longo prazo, planejamento e colaboração, não somente dentro e entre organizações e indústrias, mas também internacionalmente, criam uma base sólida para a implantação bem-sucedida.

RESPONSABILIDADE COMPARTILHADA

Uma vez que o envenenamento do cache pode ocorrer em qualquer ponto da Internet, o DNSSEC é mais eficaz quando aplicado universalmente, iniciando na zona raiz e nos domínios de nível superior (TLDs) e movendo-se para os nomes de domínio individuais. Empresas e solicitantes de registros, empresas de hospedagem, desenvolvedores de software, fornecedores de hardware, entidades governamentais, empresas e agências com presença na Internet, bem como coligações e tecnólogos da Internet, são todos responsáveis pelo sucesso desse grande esforço.

A adoção do DNSSEC está ganhando velocidade à medida que governos, instituições financeiras, provedores de serviços de Internet (ISPs), empresas e outras organizações se tornam cada vez mais cientes das ameaças relacionadas ao DNS.

A zona raiz da Internet, os domínios de nível superior (TLDs), como .net, .com, .gov, .org, .museum e .edu, assim como grande número de TLDs com código de país (ccTLD), concluíram ou estão em vias de conclusão da implantação completa do DNSSEC. Esses TLDs começarão a aceitar em breve nomes de domínio de segundo nível assinados pelo DNSSEC. Certos provedores de serviços de Internet anunciaram a intenção de ativar a validação nos servidores recursivos de nomes que respondem perguntas dos usuários, e algumas empresas de registro de domínios incluíram a implementação do DNSSEC em seus planejamentos. Além disso, a ICANN abriu inscrições para novos TLDs, e é provável que a ICANN exija que os inscritos para novos TLDs tenham planos para a implementação do DNSSEC.

DNSSEC.TIMELINE

1990 Uma grande falha no DNS é descoberta e os diálogos sobre a segurança do DNS começam.
1995 O DNSSEC se torna um tópico formal no IETF.
1999 O protocolo DNSSEC (RFC2535) é finalizado e o BIND9 é desenvolvido como a primeira implementação habilitada para DNSSEC.
2001 A manipulação de chaves cria problemas operacionais que tornam impossível a implantação do DNSSEC para grandes redes. O IETF decide reescrever o protocolo.
2005 Os padrões do DNSSEC são reescritos em vários RFCs 4033, 4034, 4035. Em outubro, a Suécia (.se) habilita o DNSSEC na sua zona.
2007 Em julho, o ccTLD .pr (Porto Rico) habilita o DNSSEC, seguido pelo .br (Brasil) em setembro e pelo .bg (Bulgária) em outubro.
2008 O padrão NSEC3 (RFC 5155) é publicado. Em setembro, o ccTLD .cz (República Tcheca) habilita o DNSSEC.
2009 A Verisign e a EDUCAUSE hospedam um banco de ensaio de DNSSEC para alguns registrantes .edu. Zona raiz assinada para uso interno pela Verisign e ICANN. A ICANN e a Verisign exercem a assinatura do ZSK com o KSK.
2010 O primeiro servidor raiz começa servindo a raiz assinada, utilizando a metodologia DURZ (zona de raiz deliberadamente invalidável). Todos os servidores raiz servem a raiz assinada, usando a metodologia DURZ. A ICANN oferece o primeiro cerimonial do KSK em Culpeper, VA, EUA. A ICANN publica a âncora de confiança da zona raiz e os operadores de raiz começam a servir a zona raiz assinada com chaves reais. A zona raiz assinada está disponível. A Verisign e a EUDCAUSE habilitam o DNSSEC para o domínio .edu. A Verisign habilita o DNSSEC para o domínio .net.
2011 Em fevereiro de 2011, o registro .gov habilitado para DNSSEC é transferido para a Verisign. Em março de 2011, o serviço de DNS gerenciado da Verisign é aprimorado com suporte total à conformidade de DNSSEC. 59 TLDs são assinados com âncoras de confiança na zona raiz.
2012 Em janeiro de 2012, a Comcast anuncia que seus clientes estão utilizando resolvedores de validação DNSSEC. A partir de março, o número de TLDs assinados cresceu para 90.

O PAPEL DA VERISIGN

A Verisign está envolvida no desenvolvimento do DNSSEC desde 2000, e os nossos engenheiros desempenharam um papel essencial no desenvolvimento do protocolo NSEC3. Continuaremos a colaborar com a comunidade técnica da Internet conforme os testes, a implementação e a adoção do DNSSEC avançam. Por exemplo, fomos um membro ativo da Coalizão DNSSEC, uma organização do setor dedicada a facilitar a adoção do DNSSEC. Além disso, para garantir que estamos utilizando as melhores práticas, compartilhamos o que aprendemos em nossas implementações do DNSSEC, e apoiamos uma abordagem consistente do DNSSEC através dos registros.

Em julho de 2010, a Verisign, trabalhando com a Internet Assigned Numbers Authority (IANA) e o Departamento de Comércio dos Estados Unido (DoC), concluiu a implantação do DNSSEC na zona raiz (o ponto de partida da hierarquia de DNS). A Verisign também habilitou o DNSSEC no .edu em julho de 2010, em colaboração com a EDUCAUSE e o DoC no .net em dezembro de 2010, e no .com em março de 2011. Além disso, vários domínios de nível superior (TLDs) foram assinados por outros registros, incluindo .gov, .org e nomes de TLD com código de país para Brasil, Bulgária, República Checa, Porto Rico e Suécia.

Também tomamos várias medidas para ajudar os membros do ecossistema da Internet a aproveitar o DNSSEC. Essas etapas incluem a publicação de recursos técnicos, oferecendo um Ambiente de Teste Operacional, conduzindo sessões educacionais, participando de fóruns do setor, desenvolvendo ferramentas para simplificar o gerenciamento de DNSSEC e apoiando a comunidade com um laboratório de interoperabilidade.

ler maisler menos

PRECISA DE MAIS INFORMAÇÕES?

Avisos legais// Privacidade// Repositório// Fale conosco// Mapa do site


© 2011-2013 VeriSign, Inc. todos os direitos reservados.
VERISIGN, o logotipo VERISIGN e outras marcas comerciais, marcas de serviços e designs são marcas comerciaisregistradas ou não registradas da VeriSign, Inc. e de suas subsidiárias nos Estados Unidos e em outros países. Todas as outras marcas comerciais são de propriedade de seus respectivos proprietários.