Escolar Documentos
Profissional Documentos
Cultura Documentos
Tutorial Dnssec
Tutorial Dnssec
<tutorial-dnssec@registro.br> Registro.br
18 de julho de 2012
1 vers ao 1.8.0 Au ltima vers ao deste tutorial pode ser encontrada em: ftp://ftp.registro.br/pub/doc/tutorial-dnssec.pdf 1 / 123
Objetivos
Introduzir os conceitos de DNS e DNSSEC Apresentar um exemplo pr atico de DNSSEC utilizando BIND Incentivar a utiliza c ao de DNSSEC
2 / 123
Cronograma
Introdu c ao DNS Conceitos Publica c ao Arquitetura Softwares Vulnerabilidades DNSSEC Conceitos Resource Records Funcionamento DNS vs DNSSEC Softwares
DNSSEC na Pr atica DNSSEC no Servidor Autoritativo DNSSEC no Servidor Recursivo Refer encias
3 / 123
4 / 123
DNS - Motiva c ao
Mapear nomes para endere cos IP Crescimento acelerado do n umero de computadores na Internet Substitui o antigo arquivo /etc/hosts
5 / 123
Arquitetura hier arquica, dados dispostos em uma arvore invertida Descentralizado e distribu do Novas funcionalidades al em de dom nio IP
6 / 123
Hierarquia
DNS database
"."
UNIX lesystem
7 / 123
Delega c ao e Zona
"."
Delegao
Delega c ao
Indica uma transfer encia de responsabilidade na administra c ao a partir daquele ponto na arvore DNS
com
br
Zona br
org
eng
Zona eng.br Zona foo.eng.br
nom silva
Zona nom.br
gov
Zona gov.br
foo
joao
fazenda
Zona
tutorial
Zona tutorial.foo.eng.br Zona joao.silva.nom.br Zona fazenda.gov.br
Domnio br
Parte do sistema de dom nios com informa c oes e administra c ao locais (ex: eng.br e foo.eng.br)
8 / 123
Reserva o direito da pessoa f sica ou jur dica sobre um determinado nome de endere co na Internet. Inclui uma nova delega c ao para o dom nio abaixo da zona .br. Dom nios n ao registrados n ao podem ser encontrados na Internet.
9 / 123
Formas de registro
Sistema WEB
A interface WEB permite de maneira pr atica gerenciar os dom nios de qualquer pessoa f sica ou jur dica.
http://registro.br/suporte/tutoriais/novo-registro.html
10 / 123
Publica c ao DNS
As altera c oes feitas nos servidores DNS n ao s ao efetivadas imediatamente. Publica c oes DNS fazem com essas altera c oes sejam propagadas para a Internet. Ocorrem a cada 30 minutos. Para dom nios novos, eles estar ao vis veis na Internet ap os a pr oxima publica c ao. Para mudan cas de servidor DNS, o tempo de propaga c ao para toda a Internet pode ser de at e 24 horas, devido ao cache e TTL.
11 / 123
Resource Records
Os dados associados com os nomes de dom nio est ao contidos em Resource Records ou RRs (Registro de Recursos) S ao compostos por nome, classe, tipo e dados Atualmente existe uma grande variedade de tipos O conjunto de resource records com o mesmo nome de dom nio, classe e tipo e denominado Resource Record Set (RRset)
Indica onde come ca a autoridade a zona Indica um servidor de nomes para a zona Mapeamento de nome a endere co Mapeamento de nome a endere co Mapeia um nome alternativo
(IPv4) (IPv6) (servidor de email)
Softwares
Ferramenta para consultas DNS
Ferramentas recomendadas para consultas sobre registros de DNS de um determinado dom nio, host ou IP: DIG (Domain Information Groper)
http://www.isc.org/software/bind
DRILL
http://www.nlnetlabs.nl/projects/drill
14 / 123
Softwares
Licen ca de Servidores DNS
ANS BIND djbdns DNSSHIM IPControl IPM DNS MaraDNS Microsoft DNS NSD PowerDNS Unbound Vantio VitalQIP
Criador Nominum Internet System Consortium Daniel J. Bernstein Registro.br INS EcientIP Sam Trenholme Microsoft NLnet Labs PowerDNS.com / Bert Hubert NLnet Labs Nominum Lucent Technologies
C odigo Aberto
Gr atis
15 / 123
Softwares
Compatibilidade de Servidores DNS com Sistemas Operacionais
ANS BIND djbdns DNSSHIM IPControl IPM DNS MaraDNS Microsoft DNS NSD PowerDNS Unbound Vantio VitalQIP
a b c
BSDa
Solaris
Linux
Windows b
MAC OS X c
Sistema compat vel com a norma POSIX assim como outros clones do Unix. Apenas nas vers oes mais recentes do sistema operacional Software em vers ao Beta
16 / 123
Tipos de servidores
Servidor Autoritativo
Responde com autoridade para uma zona espec ca Deve estar dispon vel publicamente para toda a internet Podem ser do tipo Master ou Slave
Servidor Recursivo
N ao e respons avel por uma u nica zona Ao receber uma requisi c ao, consulta servidores autoritativos para obter a informa c ao desejada Faz cache de informa c oes Pode ter acesso controlado
17 / 123
Servidor Master
Cont em a congura c ao da zona pela qual e respons avel A cada altera c ao, as novas informa c oes s ao propagadas para os servidores Slaves Hidden Master (Master oculto): tipo espec co de master que n ao e vis vel na Internet
Servidor Slave
Apenas obt em a congura c ao da zona do servidor Master
18 / 123
Cache
Cache e o ato de armazenar informa c oes de consultas anteriores. Usado somente em servidores recursivos. Reduz o tempo de resposta para informa c oes muito consultadas.
TTL
TTL e o tempo (em segundos) que uma informa c ao ca armazenada no Cache de um servidor recursivo.
19 / 123
Exemplo:
Dom nio: EXEMPLO.COM.BR Servidor: NS.EXEMPLO.COM.BR Glue record: NS.EXEMPLO.COM.BR - 123.123.123.123
20 / 123
Resolver
Servi co localizado no cliente que tem como responsabilidade resolver as requisi c oes DNS para diversos aplicativos
21 / 123
22 / 123
23 / 123
24 / 123
25 / 123
26 / 123
"."
em ex
.fo plo
n o.e
fe Re
n re
se cia
rv
BR
ENG
ex em
plo .fo
o.e n
Resolver
exemplo.foo.eng.br ?
g.b
r?
FOO
EXEMPLO
27 / 123
"."
em ex
.fo plo
n o.e
fe Re
n re
se cia
rv
BR
ENG
ex em
20
0.1
o.e n
Resolver
exemplo.foo.eng.br ?
60
g.b
r?
.25
FOO
EXEMPLO
28 / 123
"."
em ex
.fo plo
n o.e
fe Re
n re
se cia
rv
BR
ENG
ex em
20
0.1
o.e n
exemplo.foo.eng.br ?
60
g.b
200.160.10.251
r?
.25
FOO
EXEMPLO
Resolver
29 / 123
"."
em ex
.fo plo
n o.e
fe Re
n re
se cia
rv
BR
ENG
ex em
20
0.1
o.e n
exemplo.foo.eng.br ?
60
g.b
200.160.10.251
r?
.25
FOO
EXEMPLO
Resolver
30 / 123
Fluxo de dados
1 2 3 4
Resolver faz consultas no Recursivo Recursivo faz consultas no Master ou Slave Master tem a zona original (via arquivo ou Dynamic Update) Slave recebe a zona do Master (AXFR ou IXFR)
31 / 123
Vulnerabilidades
32 / 123
Exemplo de Ataque 1
Man-in-The-Middle
Resolver
33 / 123
Exemplo de Ataque 1
Man-in-The-Middle
Atacante
Resolver
exemplo.foo.eng.br ?
34 / 123
Exemplo de Ataque 1
Man-in-The-Middle
Atacante
exemplo.foo.eng.br ?
207.46.232.182
Resolver
35 / 123
Exemplo de Ataque 1
Man-in-The-Middle
"."
Atacante
BR
ENG
exemplo.foo.eng.br ?
20
200.160.10.251
C D E F
.2 .1
FOO
EXEMPLO
Resolver
36 / 123
Exemplo de Ataque 2
Polui c ao de Cache
37 / 123
Exemplo de Ataque 2
Polui c ao de Cache
38 / 123
Exemplo de Ataque 2
Polui c ao de Cache
"."
BR
ENG
FOO
EXEMPLO
Resolver
39 / 123
Exemplo de Ataque 2
Polui c ao de Cache
"."
BR
ex em
ENG
plo .fo
o.e n
g.b
r?
FOO
EXEMPLO
Resolver Atacante
40 / 123
Exemplo de Ataque 2
Polui c ao de Cache
"."
BR
ex em
ENG
plo .fo
o.e n
g.b
r?
20 7. 46 .2 32 .1 82
FOO
EXEMPLO
Resolver Atacante
41 / 123
Exemplo de Ataque 2
Polui c ao de Cache
"."
BR
ex em
ENG
plo .fo
o.e n
g.b
r?
20 7. 46 .2 32 .1 82
FOO
EXEMPLO
Resolver Atacante
42 / 123
Exemplo de Ataque 2
Polui c ao de Cache
"."
BR
ex em
ENG
plo .fo
o.e n
g.b
r?
20 7. 46 .2 32 .1 82
20
0.1
60
.10
.2
FOO
EXEMPLO
Resolver Atacante
43 / 123
44 / 123
44 / 123
Solu c oes
45 / 123
Solu c oes
TSIG
Transaction Signatures RFC 2845 Tr afego assinado com uma chave compartilhada (sim etrica) entre as duas partes Utilizado principalmente em tranfer encias de zona (master e slave)
46 / 123
Solu c oes
TSIG
Transaction Signatures RFC 2845 Tr afego assinado com uma chave compartilhada (sim etrica) entre as duas partes Utilizado principalmente em tranfer encias de zona (master e slave)
DNSSEC
Assinatura digital das informa c oes da zona Utiliza o conceito de chaves assim etricas (p ublica e privada) Garante integridade e autenticidade das informa c oes Prov e seguran ca para a resolu c ao de endere cos
46 / 123
Parte II DNSSEC
47 / 123
Extens ao da tecnologia DNS (o que existia continua a funcionar) Possibilita maior seguran ca para o usu ario na Internet (corrige algumas vulnerabilidades do DNS) Atualmente na vers ao denominada DNSSEC bis com opcional NSEC3
48 / 123
Garantias de DNSSEC
O que garante?
Origem (Autenticidade) Integridade A n ao exist encia de um nome ou tipo
49 / 123
Garantias de DNSSEC
O que garante?
Origem (Autenticidade) Integridade A n ao exist encia de um nome ou tipo
49 / 123
fonte: http://www.xelerance.com/dnssec/
50 / 123
Utiliza c ao de DNSSEC
51 / 123
Utiliza c ao de DNSSEC
51 / 123
DNSKEY Chave p ublica (inclu da na pr opria zona) RRSIG Assinatura do RRset (somente registros com autoridade) DS Delegation Signer (Ponteiro para a cadeia de conan ca) NSEC(3) Next Secure (Prova de n ao exist encia)
54 / 123
DNSKEY
55 / 123
do; udp:
1280
;; ANSWER SECTION: foo.eng.br. 70946 IN DNSKEY 257 3 5 ( AwEAAa1ZWWcbEa05xKyJVyIC1inc/DclqTWIhlUsYiuy qbiC7Kz5lwOYMPNh00edsC3d9S6Ccj06T3OUMjFfA+FS wf7eqtv09w7XeuAg9uNdS6wtDL6Qz+UTv9qUzpdclaHK TY8VIfy1Kc8XkR2lgbnpFZkhKlactVJMD4dsUUUJIryF ) ; key id = 58729 foo.eng.br. 70946 IN RRSIG DNSKEY 5 3 86400 20120516101147 ( 20120426101147 58729 foo.eng.br. LFT+hSwL6MeFxB2O2liuLocmmR8ua6BmphAan7FXCero SwvEKwwvFlLo5piyDkBY5opSLWhbRInahw3F/SZqxt+I MY/zleKOY646+ZvRP4Jt4wjnx2kJG2Bp1NddiFSPoK4X l7+DRgB0s80M9kzfEw10FSEJH2HQ/v+g3zgN770= )
56 / 123
RRSIG
Representa a assinatura de um RRset espec co com uma determinada chave (DNSKEY) Possui uma validade inicial (inception) e nal (expiration)
Exemplos de RRset:
foo.eng.br. foo.eng.br. IN NS ns1.foo.eng.br. IN NS ns2.foo.eng.br.
ns1.foo.eng.br.
IN A 200.160.3.97
ns2.foo.eng.br.
IN A 200.160.3.97
57 / 123
RRSIG
1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type Covered | Algorithm | Labels | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Original TTL | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Signature Expiration | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Signature Inception | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Key Tag | / +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Signers Name / / / +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ / / / Signature / / / +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
58 / 123
$ dig @200.160.10.251 foo.eng.br SOA +dnssec +noadditional ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6372 ;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 5 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ;; QUESTION SECTION: ;foo.eng.br. IN SOA ;; ANSWER SECTION: foo.eng.br. 900 IN SOA ns1.foo.eng.br. hostmaster.foo.eng.br. 1 3600 3600 3600 900 foo.eng.br. 900 IN RRSIG SOA 5 3 900 20070617200428 20070518200428 62745 foo.eng.br. glEeCYyd/CCBfzH64y0RAQf9OxYDsI4xuBNaam+8DZQZxeoSLQEEtwmp 6wBtQ7G10wSM9nEjRRhbZdNPNKJMp2PElLLgLI+BLwdlz0t8MypcpLOa Tm9rc7pP7UR5XLzU1k8Dm6ePW1bNkId7i0IPSghyoHM7tPVdL2GW51hCujA= ;; AUTHORITY SECTION: foo.eng.br. 900 IN NS ns2.foo.eng.br. foo.eng.br. 900 IN NS ns1.foo.eng.br. foo.eng.br. 900 IN RRSIG NS 5 3 900 20070617200428 20070518200428 62745 foo.eng.br. 3iLm1ROC+UeqYk0xgQGQQXkBzcKiKQRPwe+1JZlpjEzjU1Uj0HUOHefa jXzMv7FlFMWYeU51Ybg49HFe67XQVlK54GeAFXWB7YS59yODLoNEBxQl 9QEy6g/OOnLpuKTrST8qqd5Fc/eYqN/Ag3GnfcAviZgiQhhveGH9mJHWZyc=
59 / 123
DS - Delegation Signer
Indica:
que a zona delegada est a assinada qual a chave usada na zona delegada
60 / 123
DS - Delegation Signer
DS (br)
Cadeia de Conan ca
O Record DS forma uma cadeia de conan ca, a qual garante a autenticidade das delega c oes de uma zona at e um ponto de conan ca (uma chave ancorada)
br
DS (eng.br)
eng
DS(foo.eng.br)
foo
DS(tutorial.foo.eng.br)
tutorial
61 / 123
DS - Delegation Signer
Exemplo
foo.eng.br. IN DS 817 5 1 EAEC29E4B0958D4D3DFD90CC70C6730AD5880DD3
62 / 123
DS - Delegation Signer
poss E vel obter os DS da zona utilizando o sistema Whois.
63 / 123
Exemplo
foo.eng.br. 900 IN NSEC ns1.exemplo.foo.eng.br. NS SOA RRSIG NSEC DNSKEY
Prova de n ao exist encia, com pr e-assinatura, sem a necessidade de chaves on-line para assinatura on-demand. Diminuindo a possibilidade de DOS.
64 / 123
NSEC
Respostas NXDOMAIN
- Um ou mais registros NSEC indicam que o nome ou a sintetiza c ao de um wildcard n ao existe
$ dig @200.160.10.251 zzz.foo.eng.br SOA +dnssec ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 18301 ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 1 ;; QUESTION SECTION: ;zzz.foo.eng.br. IN SOA ;; AUTHORITY SECTION: foo.eng.br. 0 IN SOA ns1.foo.eng.br. hostmaster.foo.eng.br. 1 3600 3600 3600 900 foo.eng.br. 0 IN RRSIG SOA 5 3 900 20070617200428 20070518200428 62745 foo.eng.br. glEeCYyd/CCBfzH64y0RAQf9OxYDsI4xuBNaam+8DZQZxeoSLQEEtwmp 6wBtQ7G10wSM9nEjRRhbZdNPNKJMp2PElLLgLI+BLwdlz0t8MypcpLOa Tm9rc7pP7UR5XLzU1k8Dm6ePW1bNkId7i0IPSghyoHM7tPVdL2GW51hCujA= foo.eng.br. 900 IN NSEC ns1.exemplo.foo.eng.br. NS SOA RRSIG NSEC DNSKEY foo.eng.br. 900 IN RRSIG NSEC 5 3 900 20070617200428 20070518200428 62745 foo.eng.br. OCOCpFW5fR6MPhVBaUWfrP9pkIqVc+NDORi6PRwIX/p1dLmAT7NF5Rkc 9IfbAHZTxefoqTKqN/vPl1PqSxUzh0rl+atHblaH6yt79CTkmStota7C SLYYXX5c7D93hRYJ2yk1COxQz6GG9SIp/U4qR4//TcQDHpqQ4bFs42ZsD4I= ns2.foo.eng.br. 900 IN NSEC foo.eng.br. A RRSIG NSEC ns2.foo.eng.br. 900 IN RRSIG NSEC 5 4 900 20070617200428 20070518200428 62745 foo.eng.br. XVf7M09L4rVUD6uxa1P+EhQYohuimuwk1xzAemsn292esUhkkYz/BG7b OT/L9fhzOEPYtYGFyMF4gZ1/mxwY31UmX6xVZZPYFJ7x5Kw2uTSD49FK VsdUOLBCAHzO88byAm8EwLe3l+U0/q8RvPimAfpouoivUDcuWtKxs0CzLyc=
65 / 123
NSEC
(ANSWER = 0)
66 / 123
NSEC3
RFC 5155 Soluciona o problema do Zone Walking Substitui o record NSEC pelo record NSEC3 Consiste na sequ encia de hashes dos nomes da zona COM.BR e NET.BR
67 / 123
Funcionamento
RRsets s ao assinados com a chave privada da zona, gerando RRSIGs Chave p ublica e usada para vericar a assinatura (RRSIG) dos RRsets Autenticidade da chave e vericada pelo record DS assinado na zona pai (hash da chave p ublica da zona lha) NSEC fornece prova de n ao exist encia
68 / 123
DNSSEC n ao e PKI
N ao existem Certicados
(Certication Authority, Service Level Agreement, Certicate Revogation List)
69 / 123
Servidor Recursivo
Para habilitar um servidor recursivo com DNSSEC e necess ario ancorar uma chave p ublica, que servir a como in cio da cadeia de conan ca.
70 / 123
Exemplo
O resolver recursivo j a possui a chave p ublica da zona . (raiz) ancorada
71 / 123
Exemplo
72 / 123
Exemplo
73 / 123
Exemplo
Compara a chave ancorada com a DNSKEY, caso seja v alida continua com as requisi c oes
74 / 123
Exemplo
75 / 123
Exemplo
Retorna sem resposta, mas com refer encia para br:
- NS de br - DS de br - RRSIG do Record DS
76 / 123
Exemplo
O servidor DNS recursivo utiliza a DNSKEY para checar a assinatura (RRSIG) do Record DS
77 / 123
Exemplo
78 / 123
Exemplo
O servidor DNS responde enviando DNSKEY e o RRSIG
79 / 123
Exemplo
O servidor DNS recursivo verica, atrav es do DS, se a DNSKEY e v alida.
80 / 123
Exemplo
81 / 123
Exemplo
Retorna sem resposta, mas com refer encia foo.eng.br:
- NS de foo.eng.br - DS de foo.eng.br - RRSIG do Record DS
82 / 123
Exemplo
O servidor DNS recursivo utiliza a DNSKEY para checar a assinatura (RRSIG) do Record DS
83 / 123
Exemplo
84 / 123
Exemplo
85 / 123
Exemplo
O servidor DNS recursivo verica, atrav es do DS, se a DNSKEY e v alida.
86 / 123
Exemplo
em ex
se cia
rv
fe Re
ex em
Resolver
exemplo.foo.eng.br ?
g.b
r?
87 / 123
Exemplo
Retorna o Record A e sua assinatura RRSIG.
Servidor DNS Autoritativo
g.b r? s re ido .br n o.e .fo plo n re
em ex
se cia
rv
fe Re
ex em
20
0. 1
Resolver
exemplo.foo.eng.br ?
60
g.b
r?
88 / 123
Exemplo
O servidor DNS recursivo utiliza a DNSKEY para checar a assinatura (RRSIG) do Record A
em ex
se cia
rv
fe Re
ex em 20
0. 1
Resolver
exemplo.foo.eng.br ?
60
g.b
r?
89 / 123
Exemplo
90 / 123
Outra extens ao ao protocolo DNS Distingue quem suporta DNSSEC Possibilita mensagens DNS UDP maiores que 512 bytes
Lembrete
necess E ario que o transporte TCP tamb em esteja habilitado no servidor.
91 / 123
Alguns cuidados
Congura c ao de Firewall
O rewall deve ser capaz de tratar corretamente fragmentos UDP.
92 / 123
Alguns cuidados
Congura c ao de Firewall
O rewall deve ser capaz de tratar corretamente fragmentos UDP. Caso isto n ao seja poss vel, uma alternativa e congurar o servidor para trabalhar com pacotes UDP menores que o MTU da rede.
options { edns-udp-size 1252; # Servidores recursivos max-udp-size 1252; # Servidores recursivos e autoritativos }; 1252 e apenas uma sugest ao, este valor deve reetir as congura c oes de Firewall.
Recomenda c ao
Firewalls e DNS, como e porque congurar corretamente ftp://ftp.registro.br/pub/doc/dns-fw.pdf
92 / 123
DNS vs DNSSEC
Diferen cas entre uma requisi c ao DNS e uma requisi c ao DNSSEC:
8 Pacotes X Bytes a
93 / 123
Softwares
Compatibilidade DNSSEC
Autoritativo
ANS BIND djbdns DNSSHIM IPControl IPM DNS MaraDNS Microsoft DNS NSD PowerDNS Unbound Vantio VitalQIP
a b c d Vers ao atual do protocolo
Recursivo
DNSSEC bisa
NSEC3b
RFC 5011
TSIG
IPv6
Servidores recursivos devem(!) ter suporte a NSEC3 para pleno funcionamento com DNSSEC Suporte a partir da vers ao 9.6.0 Suporte a partir da vers ao Windows Server 2008 R2 ou Windows 7
94 / 123
Softwares
DNSSHIM - DNS Secure Hidden Master
http://registro.br/dnsshim/ Open-Source Automatiza o processo de provisionamento de zonas Suporte a DNSSEC Interface Automatiz avel Manuten c ao de chaves/assinaturas
P ublico Alvo
Provedores de hospedagem ou qualquer outra institui c ao respons avel por administrar servidores DNS autoritativos para muitas zonas
95 / 123
Softwares
DNSSHIM - DNS Secure Hidden Master
96 / 123
97 / 123
98 / 123
Onde, dominio.com.br deve ser substitu do pelo seu dom nio. - O comando ir a gerar dois arquivos com extens oes .key e .private
Mais informa c oes no Ap endice III
99 / 123
Lembrete
N ao se esquecer de incrementar o serial do SOA da zona!
Onde, dominio.com.br deve ser substitu do pelo nome do dom nio e db.dominio.com.br pelo nome do arquivo de zona.
- O comando ir a gerar um novo arquivo de zona com a extens ao .signed - O per odo de validade padr ao da assinatura e de 30 dias
Mais informa c oes no Ap endice IV
100 / 123
Onde, dominio.com.br deve ser substitu do pelo nome do dom nio e db.dominio.com.br deve ser substitu do pelo nome do arquivo de zona.
101 / 123
Reiniciar o Bind
102 / 123
103 / 123
104 / 123
1 2 3 4 5 6
Reiniciar o BIND (named) no servidores Master Adicionar o DS no site do Registro.br Aguardar nova publica c ao
(slide 108)
105 / 123
Servidor Autoritativo
Reassinar a zona antes das assinaturas expirarem
1 2
Incrementar o serial (record SOA) do arquivo de zona original Reassinar a zona utilizando o comando dnssec-signzone
106 / 123
107 / 123
108 / 123
Reiniciar o Bind
109 / 123
Refer encias
RFC 2671 Extension Mechanisms for DNS (EDNS0) RFC 2845 Secret Key Transaction Authentication for DNS (TSIG) RFC 4033 DNS Security Introduction and Requirements (DNSSEC-bis) RFC 4034 Resource Records for the DNS Security Extensions (DNSSEC-bis) RFC 4035 Protocol Modications for the DNS Security Extensions (DNSSEC-bis) RFC 4431 The DNSSEC Lookaside Validation (DLV) DNS Resource Record RFC 4470 Minimally Covering NSEC Records and DNSSEC On-line Signing RFC 4641 DNSSEC Operational Practices RFC 5155 DNSSEC Hashed Authenticated Denial of Existence
110 / 123
Refer encias
DNSSEC.NET http://www.dnssec.net DNSSHIM http://www.registro.br/dnsshim Wikip edia - DNSSEC http://pt.wikipedia.org/wiki/DNSSEC Wikip edia - Compara c ao entre softwares de servidores DNS http://en.wikipedia.org/wiki/Comparison of DNS server software Firewalls e DNS, como e porque congurar corretamente ftp://ftp.registro.br/pub/doc/dns-fw.pdf Recomenda c oes para Evitar o Abuso de Servidores DNS Recursivos Abertos http://www.cert.br/docs/whitepapers/dns-recursivo-aberto FAQ - Registro.br (Perguntas Frequentes) http://registro.br/suporte/faq Au ltima vers ao do tutorial de DNSSEC pode ser encontrada em ftp://ftp.registro.br/pub/doc/tutorial-dnssec.pdf DNSSEC Olaf Kolkman (RIPE NCC/NLnet Labs) http://www.nlnetlabs.nl/dnssec howto
111 / 123
Perguntas?
Fim da Apresenta c ao Refer encias
112 / 123
Obrigado!
113 / 123
Ap endice I
SOA
Serial
O n umero de revis ao do arquivo de zona. Esse n umero aumenta cada vez que um record e alterado na zona. O tempo, em segundos, que um servidor DNS secund ario espera antes de consultar sua origem da zona para tentar renov a-la. O tempo, em segundos, que um servidor secund ario espera antes de tentar novamente uma transfer encia de zona falha. O tempo, em segundos, antes que o servidor secund ario pare de responder ` as consultas depois de transcorrido um intervalo de atualiza c ao no qual a zona n ao foi renovada ou atualizada. O menor tempo de vida (TTL) da zona e o intervalo m aximo para armazenar respostas negativas em cache.
Exemplo Arquivo Zona
Refresh
Retry
Expire
Minimum
114 / 123
Ap endice II
CNAME
O que e
Um alias para nomes alternativos
Funcionalidade
Mapeia um nome de dom nio alternativo ou apelido no campo propriet ario para um can onico especicado no campo Nome Can onico
Problemas
Records MX, NS, CNAME, e SOA s o devem se referir a um record A. RRs referindo-se a um CNAME podem ocasionar problemas de buscas e carga extra na rede. Recomenda-se utilizar um RR A ao inv es de CNAME.
Resource Records
115 / 123
Ap endice III
Detalhes sobre o comando para gera c ao de chaves (1/2)
BIND: dnssec-keygen
Zona foo.eng.br: dnssec-keygen -f KSK -a RSASHA1 -b 2048 -n ZONE foo.eng.br Onde, -f : Dene o tipo da chave -a : Algoritmo -b : Tamanho da chave (bits) -n : Especica o tipo de dono da chave -r : Device de randomiza c ao Em determinados ambientes, onde a gera c ao de chaves demorar muito pode ser necess ario especicar o device de randomiza c ao, como por exemplo: -r /dev/urandom OBS1: Guardar o nome das chaves geradas para ser usado futuramente. OBS2: Chaves geradas com dnssec-keygen n ao possuem passphrase.
Ap endice III
Exemplo dos arquivos de chave (2/2)
...
OBS
Antes de assinar a zona incremente o serial do record SOA para que ocorra a sincroniza c ao com os servidores secund arios.
117 / 123
Ap endice IV
Detalhes sobre o comando para assinar zona
o ordenados de forma Ao se assinar a zona s ao gerados os records RRSIG e NSEC que carA can onica dentro do arquivo de zona.
BIND: dnssec-signzone
Zona foo.eng.br:
$ dnssec-signzone -S -z db.foo Onde, -S : Assinatura inteligente - busca as chaves da zona e determina como estas utilizadas -z : Ignora o bit SEP da chave e assina toda a zona -e : Data de expira c ao das assinaturas (formato AAAAMMDDHHMMSS) - Se n ao informado e considerado 30 dias ou ltimo par ametro se refere ao arquivo de zona
Gera c ao de records DS
No momento em que se assina uma zona e gerado um arquivo contendo o Records DS que ser a utilizado para as delega c oes. o arquivo gerado neste exemplo: dsset-foo.eng.br.
118 / 123
Ap endice V
Conceito de Chaves
(1/2)
119 / 123
Ap endice V
Conceito de Chaves
(2/2)
Lembrete
O record DNSKEY pode armazenar tanto a chave p ublica de uma KSK quanto de uma ZSK O record RRSIG armazena a assinatura de um RRset realizada tanto por uma KSK quanto por uma ZSK
120 / 123
Ap endice V
Conceito de Chaves
(2/2)
Lembrete
O record DNSKEY pode armazenar tanto a chave p ublica de uma KSK quanto de uma ZSK O record RRSIG armazena a assinatura de um RRset realizada tanto por uma KSK quanto por uma ZSK
Trabalhando com uma u nica chave! Entretanto e aconselhav el a utiliza c ao de somente uma u nica chave.
Mais informa c oes sobre como proceder no slide 123.
120 / 123
Ap endice VI
Inclus ao dos Records DS das delega co es
Caso existam zonas delegadas que utilizem DNSSSEC dentro do seu dom nio, os Records DS destas zonas devem ser adicionados no arquivo de zona
Exemplo
SHA1 tutorial.foo.eng.br. IN DS 3112 5 1 386B4390C5B30DB65D74EA8B660978077171948C SHA256 tutorial.foo.eng.br. IN DS 3112 5 2 19602F6089F8877E037AA077B8376F30869E261EB55460F2A74E32AD1424F53A
foo.eng.br IN SOA ns1.foo.eng.br. hostmaster.foo.eng.br. ( 3 ; serial 3600 ; refresh (1 hour) 3600 ; retry (1 hour) 3600 ; expire (1 hour) 900 ; minimum (15 minutes) ) foo.eng.br. IN NS ns1.foo.eng.br. foo.eng.br. IN NS ns2.foo.eng.br. ... tutorial.foo.eng.br. IN DS 3112 5 1 386B4390C5B30DB65D74EA8B660978077171948C
OBS
A zona deve ser re-assinada ap os incluir o record DS
121 / 123
Ap endice VII
Bind no Windows
BIND no Windows
Fa ca o download da u ltima vers ao do BIND em http://www.isc.org Descompacte o arquivo ZIP e execute o programa BINDInstall.exe Ap os a instala c ao, acesse os Servi cos (ferramentas administrativas) e inicie o servico ISC BIND
122 / 123
Ap endice VII
Bind no Windows
BIND no Windows
O BIND no Windows funciona da mesma forma que no Linux, sendo que os arquivos cam localizados em locais diferentes. Os arquivos de congura c ao est ao localizados em c:\windows\system32\dns\etc Os execut aveis (named, dig) est ao localizados em c:\windows\system32\dns\bin
123 / 123