Téchne Digitus InfoSec Artigos

<índice "[ Hacking ]-[ Redes de Comunicação ]-[ DeepWeb ]-[ Anonimato ]-[ Criptomoedas ]-[ Programação ]-[ InfoSec em Geral ]-[ Off-Topic but Important ]" />

terça-feira, 17 de fevereiro de 2015

Logo Téchne Digitus InfoSec

Uma Introdução ao DNSSEC

Introdução

Os sistemas de DNS não foram originalmente desenvolvidos para serem seguros. Não há como verificar a autenticidade de um nome DNS a não ser pelo próprio servidor de nomes (Domain Name Server).

Para tentar resolver este problema, criou-se o DNSSEC.

DNSSEC Logo Téchne Digitus
Phishing Scam - O "Contra-Ataque" Parte II

O que é DNSSEC?

DNSSEC significa Extensão de Segurança para DNS.

Especificado pelas RFCs 4033, 4034, 4035 e 5155, visa proteger contra DNS Spoofing e Envenenamento de Cache (Cache Poisoning).

Técnicas como DNS Spoofing ou Cache Poisoning são um incremento em ataques de Phishings, que basicamente simula ser o que não é para persuadir o usuário a cair em algum tipo de golpe.

Ou seja, DNSSEC pode considerado um mecanismo Anti-Phishing!

O DNSSEC faz com que um serviço de DNS armazene chaves criptográficas de identidades digitais e verificá-las a cada acesso.

Como funciona o DNSSEC?

Primeiro, vamos observar como funciona uma solicitação de DNS Normal (Sem o DNSSEC):

Como funciona o DNSSEC Imagem 01 Téchne Digitus
Resolução Sem DNSSEC

Resolução sem DNSSEC:
  1. Usuário solicita resolução de um nome para seu servidor DNS;
  2. Seu servidor DNS solicita a referência do domínio para o servidor raiz;
  3. Servidor raiz responde o servidor autoridade sobre aquele tipo de domínio;
  4. Servidor de DNS solicita referência ao servidor de autoridade sobre aquele tipo de domínio;
  5. Servidor de autoridade responde com informações de quem é o servidor daquele nome;
  6. Servidor de DNS envia solicitação de resolução para o servidor de DNS daquele nome;
  7. Servidor de DNS responsável por aquele nome responde para o servidor de DNS do usuário;
  8. Servidor de DNS do usuário responde a resolução para o usuário.


Agora vamos ver como funciona a resolução de nomes com DNSSEC:

Como funciona o DNSSEC Imagem 02 Téchne Digitus
Resolução de nomes com DNSSEC
Resolução COM DNSSEC:
  1. Usuário solicita resolução de um nome para seu servidor DNS;
  2. Seu servidor DNS solicita a referência do domínio para o servidor raiz - porém, o servidor de DNS do usuário possui a chave pública do servidor raiz.  Ou seja, se a resposta não vier dele, ela não será aceita;
  3. Servidor raiz responde o servidor autoridade sobre aquele tipo de domínio com a informação da chave pública daquele servidor de autoridade, ou seja, se a resposta não vier de um servidor com a chave correta, ela não será aceita;
  4. Servidor de DNS solicita referência ao servidor de autoridade sobre aquele tipo de domínio;
  5. Servidor de autoridade responde com informações de quem é o servidor daquele nome (se resposta vier com a chave certa, o servidor de DNS do Usuário vai até o servidor do nome destino) somando a chave pública do servidor de DNS do nome destino;
  6. Servidor de DNS envia solicitação de resolução para o servidor de DNS daquele nome usando a chave pública do servidor de DNS do nome destino;
  7. Servidor de DNS responsável por aquele nome responde para o servidor de DNS do usuário se ele for o servidor correto (que tenha a chave privada daquela resolução);
  8. Servidor de DNS do usuário responde a resolução para o usuário.
Em resumo, o DNSSEC forma uma rede de confiança entre servidores de DNS utilizando chaves digitais de identificação. Se alguém dessa cadeia de comunicação não possuir a chave privada necessária, a operação irá falhar e a resolução não irá ocorrer.

Principais características do DNSSEC

  • Uso de chaves públicas de criptografia;
  • Cada zona tem uma chave pública e outra privada (tipicamente um nível dois de hierarquia (KSK e ZSK);
  • Chaves públicas são usadas pelos resolvedores de DNS para validar as assinaturas (autenticação);
  • Chaves públicas de zonas são organizadas na escala de confiança que segue a hierarquia de delegação do DNS;
  • Resolvedores autenticam as assinaturas com os servidores raízes das zonas que contém o nome solicitado.

Tipos Adicionais de Registro


Registros X Descrição Téchne Digitus

Dois Videos Rápidos Sobre DNSSEC







Nenhum comentário: