fr

Práticas Recomendadas de Segurança: Validação do DNSSEC

21 juin 2016
Par Edward LewisEdward Lewis

null

Eu gostaria de compartilhar algumas observações importantes sobre o significado da tecnologia de segurança do DNSSEC (Domain Name System Security Extensions, Extensões de Segurança do Sistema de Nomes de Domínio) e algumas atualizações importantes que serão implementadas no próximo ano. Essas observações foram retiradas da minha recente apresentação na Cúpula da Internet na África de 2016 (AIS'16), em Gaborone, em Botswana.

O DNS é um sistema de perguntas e respostas, e todos que dependem da pesquisa de serviços na Internet dependem das respostas do DNS. No entanto, as respostas não protegidas do DNS talvez sejam falsificações que podem redirecionar o tráfego destinado a serviços confiáveis para sites maliciosos. Por exemplo, tentativas de acessar informações de contas bancárias podem resultar no redirecionamento para um site que roubará a identificação e a senha do usuário e até mesmo instalar malware no computador da vítima.

Os usuários da Internet podem se proteger contra ataques como esse fazendo a implementação do DNSSEC, que é composto por duas funções principais: assinatura e validação. Nesta postagem vou falar da validação, que é um aprimoramento de segurança do protocolo do DNS que verifica as respostas recebidas para confirmar a autenticidade e a integridade dos dados.

Já que a maioria dos usuários da Internet confiam e dependem dos seus provedores de serviço de rede, a ativação da validação do DNSSEC geralmente ocorre na infraestrutura desse provedor. Os provedores de serviços de Internet ou conectividade devem ativar a validação do DNSSEC nos resolvedores do DNS operados por eles. A validação do DNSSEC reduz o risco de invasores usarem o DNS para redirecionar os clientes de provedores de serviços para sites comprometidos. Embora esses ataques sejam relativamente raros, eles podem se tornar mais comuns conforme surgirem vulnerabilidades que permitam tipos de ataques mais fáceis.

Além de proteger a infraestrutura do provedor de serviços de rede, a ativação da validação do DNSSEC oferece um mecanismo que aumenta a confiança nos dados armazenados no DNS. Esse recurso cria uma nova infraestrutura pelo qual é possível desenvolver serviços mais seguros.

A configuração dos servidores de DNS para realizar a validação é relativamente simples, e a operação do resolvedor de validação continua sendo a mesma realizada pelo resolvedor sem validação. Algumas etapas de manutenção contínua são necessárias. Os operadores dos resolvedores de validação precisam garantir que a configuração da âncora de confiança da zona raiz do DNS seja mantida atualizada. Esse processo pode ser automatizado.

A âncora de confiança corresponde à chave pública de criptografia que faz parte da KSK (Key Signing Key, Chave de Assinatura de Chave) da zona raiz. Essa chave será mudada em 2017. Para garantir que a comunidade esteja ciente dessas alterações, criamos uma página de recursos “Implementação da KSK na zona raiz” que apresenta detalhes sobre as alterações, como os membros da comunidade podem se envolver e links para recursos adicionais.

Estamos satisfeitos de ver o número crescente de organizações que estão adotando a validação do DNSSEC. É um investimento mínimo que cria uma infraestrutura de DNS muito mais segura e eficiente.

Authors

Edward Lewis

Senior Technologist
Read biographyRead biography