Introdu c ao a DNS & DNSSEC

David Robert Camargo de Campos Rafael Dantas Justo

<tutorial-dnssec@registro.br> Registro.br

1 vers ao 1.5.0 (Revision: 7420 ) Au ltima vers ao deste tutorial pode ser encontrada em: ftp://ftp.registro.br/pub/doc/introducao-dns-dnssec.pdf 1 / 28

DNS - Domain Name System

O Sistema de Nomes de Dom nio e um banco de dados distribu do. Isso permite um controle local dos segmentos do banco de dados global, embora os dados em cada segmento estejam dispon veis em toda a rede atrav es de um esquema cliente-servidor. - Arquitetura hier arquica - Distribu da ecientemente, sistema descentralizado e com cache - O principal prop osito e a resolu c ao de nomes de dom nio em endere cos IP e vice-versa

exemplo.foo.eng.br www.cgi.br www.registro.br

200.160.10.251 200.160.4.2 2001:12:0:2::3

2 / 28

Registro de dom nios (.br)

Reserva o direito da pessoa f sica ou jur dica sobre um determinado nome de endere co na Internet. Dom nios n ao registrados n ao podem ser encontrados na Internet.

Sistema WEB
A interface WEB permite de maneira pr atica gerenciar os dom nios de qualquer pessoa f sica ou jur dica.
http://registro.br/suporte/tutoriais/novo-registro.html

3 / 28

Publica c ao quasi-on-line
O que e uma Publica c ao?
As modica c oes que s ao realizadas pela interface de provisionamento n ao s ao efetivadas imediatamente. A cada intervalo de tempo pr e-determinado ocorre uma publica c ao DNS a qual atualiza o sistema DNS.

4 / 28

Publica c ao quasi-on-line
O que e uma Publica c ao?
As modica c oes que s ao realizadas pela interface de provisionamento n ao s ao efetivadas imediatamente. A cada intervalo de tempo pr e-determinado ocorre uma publica c ao DNS a qual atualiza o sistema DNS. As publica c oes DNS ocorrem a cada 30 minutos No caso do registro de um novo dom nio ele j a estar a vis vel na Internet ap os a pr oxima publica c ao. No caso da altera c ao de dados de um dom nio, ap os a pr oxima publica c ao, o dom nio passar a por um per odo de transi c ao que poder a durar at e 24 horas.

4 / 28

Tipos de servidores

Servidor Autoritativo
Ao receber requisi c oes de resolu c ao de nome, responde um endere co caso possua, uma refer encia caso conhe ca o caminho da resolu c ao ou uma nega c ao caso n ao conhe ca

Servidor Recursivo
Ao receber requisi c oes de resolu c ao de nomes, faz requisi c oes para os servidores autoritativos e conforme a resposta recebida dos mesmos continua a realizar requisi c oes para outros servidores autoritativos at e obter a resposta satisfat oria

5 / 28

Tipos de dados que podem ser armazenados

Os dados associados com os nomes de dom nio est ao contidos em Resource Records ou RRs (Registro de Recursos) Atualmente existe uma grande variedade de tipos

Alguns Tipos Comuns de Records

SOA NS A AAAA MX CNAME TXT

Indica onde come ca a autoridade a zona Indica um servidor de nomes para a zona Mapeamento de nome a endere co Mapeamento de nome a endere co Mapeia um nome alternativo Campo de texto livre
6 / 28

(IPv4) (IPv6) (servidor de email)

Indica um mail exchanger para um nome

(apelido ou indire c ao)

Exemplo de requisi c ao de endere co

Resolver
Servi co localizado no cliente que tem como responsabilidade resolver as requisi c oes DNS para diversos aplicativos

7 / 28

Exemplo de requisi c ao de endere co

Supondo que o cache est a vazio ou sem informa c oes relevantes

8 / 28

Exemplo de requisi c ao de endere co

9 / 28

Exemplo de requisi c ao de endere co

10 / 28

Exemplo de requisi c ao de endere co

11 / 28

Exemplo de requisi c ao de endere co

12 / 28

Exemplo de requisi c ao de endere co

13 / 28

Exemplo de requisi c ao de endere co

14 / 28

Exemplo de requisi c ao de endere co

15 / 28

Exemplo de requisi c ao de endere co

16 / 28

Fluxo de dados

1 2 3 4

Resolver faz consultas no Recursivo Recursivo faz consultas no Autoritativo (Master ou Slave) Master tem os dados originais Slave recebe os dados do Master
17 / 28

Vulnerabilidades

18 / 28

Exemplo de Ataque
Polui c ao de Cache

19 / 28

Exemplo de Ataque
Polui c ao de Cache

20 / 28

Exemplo de Ataque
Polui c ao de Cache

21 / 28

Exemplo de Ataque
Polui c ao de Cache

22 / 28

Exemplo de Ataque
Polui c ao de Cache

O atacante responde mais r apido, spoofando endere co do autoritativo

23 / 28

Exemplo de Ataque
Polui c ao de Cache

O atacante responde mais r apido, spoofando endere co do autoritativo

24 / 28

Exemplo de Ataque
Polui c ao de Cache

O atacante responde mais r apido, spoofando endere co do autoritativo

25 / 28

DNSSEC Domain Name System SECurity extensions

Extens ao da tecnologia DNS (o que existia continua a funcionar) Possibilita maior seguran ca para o usu ario na Internet (corrige falhas do DNS)

Garantias do DNSSEC
Origem (Autenticidade) Integridade

26 / 28

Como congurar DNSSEC

Como congurar DNSSEC no seu dominio (servidor autoritativo)

ftp://ftp.registro.br/pub/doc/conguracao dnssec dominio.pdf

Como congurar DNSSEC no servidor recursivo

ftp://ftp.registro.br/pub/doc/conguracao dnssec servidor recursivo.pdf Mais informa c oes podem ser encontradas nos tutoriais de DNS e DNSSEC: https://registro.br/suporte/tutoriais/dnssec.html

27 / 28

Perguntas?
http://registro.br/suporte/tutoriais/dnssec.html Envie suas d uvidas para tutorial-dnssec@registro.br
28 / 28