Introduo a DNS & DNSSEC ca

David Robert Camargo de Campos Rafael Dantas Justo

<tutorial-dnssec@registro.br> Registro.br

1 verso 1.5.0 (Revision: 7420 ) a A ultima verso deste tutorial pode ser encontrada em: ftp://ftp.registro.br/pub/doc/introducao-dns-dnssec.pdf a 1 / 28

DNS - Domain Name System

O Sistema de Nomes de Dom um banco de dados distribu nio e do. Isso permite um controle local dos segmentos do banco de dados global, embora os dados em cada segmento estejam dispon veis em toda a rede atravs de um esquema cliente-servidor. e - Arquitetura hierrquica a - Distribu ecientemente, sistema descentralizado e com cache da - O principal propsito a resoluo de nomes de dom em o e ca nio endereos IP e vice-versa c

exemplo.foo.eng.br www.cgi.br www.registro.br

200.160.10.251 200.160.4.2 2001:12:0:2::3

2 / 28

Registro de dom nios (.br)

Reserva o direito da pessoa f sica ou jur dica sobre um determinado nome de endereo na Internet. c Dom nios no registrados no podem ser encontrados na Internet. a a

Sistema WEB
A interface WEB permite de maneira prtica gerenciar os dom a nios de qualquer pessoa f sica ou jur dica.
http://registro.br/suporte/tutoriais/novo-registro.html

3 / 28

Publicao quasi-on-line ca
O que uma Publicao? e ca
As modicaes que so realizadas pela interface de provisionamento no co a a so efetivadas imediatamente. A cada intervalo de tempo pr-determinado a e ocorre uma publicao DNS a qual atualiza o sistema DNS. ca

4 / 28

Publicao quasi-on-line ca
O que uma Publicao? e ca
As modicaes que so realizadas pela interface de provisionamento no co a a so efetivadas imediatamente. A cada intervalo de tempo pr-determinado a e ocorre uma publicao DNS a qual atualiza o sistema DNS. ca As publicaes DNS ocorrem a cada 30 minutos co No caso do registro de um novo dom ele j estar vis na nio a a vel Internet aps a prxima publicao. o o ca No caso da alterao de dados de um dom ca nio, aps a prxima o o publicao, o dom passar por um per ca nio a odo de transio que ca poder durar at 24 horas. a e

4 / 28

Tipos de servidores

Servidor Autoritativo
Ao receber requisies de resoluo de nome, responde um endereo caso co ca c possua, uma referncia caso conhea o caminho da resoluo ou uma e c ca negao caso no conhea ca a c

Servidor Recursivo
Ao receber requisies de resoluo de nomes, faz requisies para os co ca co servidores autoritativos e conforme a resposta recebida dos mesmos continua a realizar requisies para outros servidores autoritativos at co e obter a resposta satisfatria o

5 / 28

Tipos de dados que podem ser armazenados

Os dados associados com os nomes de dom esto contidos em nio a Resource Records ou RRs (Registro de Recursos) Atualmente existe uma grande variedade de tipos

Alguns Tipos Comuns de Records

SOA NS A AAAA MX CNAME TXT

Indica onde comea a autoridade a zona c Indica um servidor de nomes para a zona Mapeamento de nome a endereo c Mapeamento de nome a endereo c Mapeia um nome alternativo Campo de texto livre
6 / 28

(IPv4) (IPv6) (servidor de email)

Indica um mail exchanger para um nome

(apelido ou indireo) ca

Exemplo de requisio de endereo ca c

Resolver
Servio localizado c no cliente que tem como responsabilidade resolver as requisies DNS co para diversos aplicativos

7 / 28

Exemplo de requisio de endereo ca c

Supondo que o cache est vazio ou a sem informaes co relevantes

8 / 28

Exemplo de requisio de endereo ca c

9 / 28

Exemplo de requisio de endereo ca c

10 / 28

Exemplo de requisio de endereo ca c

11 / 28

Exemplo de requisio de endereo ca c

12 / 28

Exemplo de requisio de endereo ca c

13 / 28

Exemplo de requisio de endereo ca c

14 / 28

Exemplo de requisio de endereo ca c

15 / 28

Exemplo de requisio de endereo ca c

16 / 28

Fluxo de dados

1 2 3 4

Resolver faz consultas no Recursivo Recursivo faz consultas no Autoritativo (Master ou Slave) Master tem os dados originais Slave recebe os dados do Master
17 / 28

Vulnerabilidades

18 / 28

Exemplo de Ataque
Poluio de Cache ca

19 / 28

Exemplo de Ataque
Poluio de Cache ca

20 / 28

Exemplo de Ataque
Poluio de Cache ca

21 / 28

Exemplo de Ataque
Poluio de Cache ca

22 / 28

Exemplo de Ataque
Poluio de Cache ca

O atacante responde mais rpido, spoofando endereo do autoritativo a c

23 / 28

Exemplo de Ataque
Poluio de Cache ca

O atacante responde mais rpido, spoofando endereo do autoritativo a c

24 / 28

Exemplo de Ataque
Poluio de Cache ca

O atacante responde mais rpido, spoofando endereo do autoritativo a c

25 / 28

DNSSEC Domain Name System SECurity extensions

Extenso da tecnologia DNS a (o que existia continua a funcionar) Possibilita maior segurana para o usurio na Internet c a (corrige falhas do DNS)

Garantias do DNSSEC
Origem (Autenticidade) Integridade

26 / 28

Como congurar DNSSEC

Como congurar DNSSEC no seu dominio (servidor autoritativo)

ftp://ftp.registro.br/pub/doc/conguracao dnssec dominio.pdf

Como congurar DNSSEC no servidor recursivo

ftp://ftp.registro.br/pub/doc/conguracao dnssec servidor recursivo.pdf Mais informaes podem ser encontradas nos tutoriais de DNS e DNSSEC: co https://registro.br/suporte/tutoriais/dnssec.html

27 / 28

Perguntas?
http://registro.br/suporte/tutoriais/dnssec.html Envie suas dvidas para tutorial-dnssec@registro.br u
28 / 28