DNSSEC (Português)
Do artigo do Wikipédia sobre o DNSSEC:
- As Extensões de Segurança do Sistema de Nomes de Domínio ou, em inglês Domain Name System Security Extensions (DNSSEC), são um conjunto de especificações da IETF (Internet Engineering Task Force) para proteger certos tipos de informações fornecidas pelo Sistema de Nomes de Domínio (DNS), conforme usado em redes IP (Internet Protocol). É um conjunto de extensões para o DNS que fornecem aos clientes DNS (resolvedores ou resolvers) autenticação de origem de dados DNS, negação de existência autenticada e integridade de dados, mas não disponibilidade ou confidencialidade.
Contents
Validação básica de DNSSEC
Instalação
A ferramenta drill pode ser usada para validação básica de DNSSEC. Para usar o drill, instale o pacote ldns.
Consulta com validação DNSSEC
Então, para consultar com validação DNSSEC, use a opção -D
:
$ drill -D exemplo.com
Testando
Como um teste, use os seguintes domínios, adicionando a opção -T
, que rastreia dos servidores raiz descendo até o domínio sendo resolvido:
$ drill -DT sigfail.verteiltesysteme.net
O resultado deve terminar com as seguintes linhas, indicando que a assinatura DNSSEC é falsa (bogus):
[B] sigfail.verteiltesysteme.net. 60 IN A 134.91.78.139 ;; Error: Bogus DNSSEC signature ;;[S] self sig OK; [B] bogus; [T] trusted
Agora, para testar uma assinatura confiável:
$ drill -DT sigok.verteiltesysteme.net
O resultado deve terminar com as seguintes linhas, indicando que a assinatura é confiável:
[T] sigok.verteiltesysteme.net. 60 IN A 134.91.78.139 ;;[S] self sig OK; [B] bogus; [T] trusted
Instalar um servidor recursivo de validação compatível com DNSSEC
Para usar o DNSSEC em todo o sistema, você pode usar um resolvedor recursivo de validação que seja compatível com DNSSEC, para que todas as pesquisas de DNS passem pelo resolvedor recursivo. Veja Resolução de nome de domínio#Resolvedores para as opções disponíveis. Observe que cada um requer opções específicas para ativar seu recurso de validação do DNSSEC.
Se você tentar visitar um site com um endereço IP falso (spoofed), o resolvedor de validação impedirá que você receba os dados DNS inválidos e seu navegador (ou outro aplicativo) será informado de que não existe esse host. Como todas as pesquisas de DNS passam pelo resolvedor de validação, você não precisa de um software que tenha suporte a DNSSEC integrado ao usar essa opção.
Habilitar DNSSEC em um software específico
Se você optar por não #Instalar um servidor recursivo de validação compatível com DNSSEC, será necessário usar o software que possui suporte a DNSSEC integrado para usar seus recursos. Muitas vezes isso significa que você deve corrigir o software sozinho. Uma lista de vários aplicativos corrigidos é encontrada aqui. Além disso, alguns navegadores web têm extensões ou complementos que podem ser instalados para implementar o DNSSEC sem corrigir o programa.
Hardware de DNSSEC
Você pode verificar se o seu roteador, modem, AP, etc. suporta DNSSEC (muitos recursos diferentes) usando dnssec-tester (aplicativo baseado em Python e GTK+) para saber se é compatível com DNSSEC, e usando essa ferramenta você também pode enviar dados coletados para um servidor, para que outros usuários e fabricantes possam ser informados sobre a compatibilidade de seus dispositivos e, eventualmente, consertar o firmware (eles provavelmente serão encorajados a fazê-lo). (Antes de executar o dnssec-tester, certifique-se de que você não possui nenhum outro servidor de nomes em /etc/resolv.conf
). Você também pode encontrar os resultados dos testes realizados no site dnssec-tester.
Veja também
- DNSSEC Resolver Test - um teste simples para ver se você tem DNSSEC implementado em sua máquina.
- DNSSEC-Tools
- DNSSEC Visualizer - uma ferramenta para visualizar o status de uma zona de DNS.
- RedHat: Securing DNS Traffic with DNSSEC - Artigo completo sobre a implementação do DNSSEC com unbound. Note que algumas ferramentas são específicas do RedHat e não são encontradas no Arch Linux.
- DNSSEC no Wikipedia em inglês e em português