O que é o DNSSEC?
DNSSEC (Domain Name System Security Extensions) é um conjunto de extensões criptográficas para DNS que autentica as respostas do DNS adicionando assinaturas digitais aos registros, impedindo os atacantes de falsificar ou manipular dados do DNS.Como funciona o DNSSEC
Chain of Trust:
Root Zone (.)
├── Signs: .com zone key
│ └── KSK (Key Signing Key)
│ └── ZSK (Zone Signing Key)
│
TLD Zone (.com)
├── Signs: example.com zone key
│ └── DS Record points to child KSK
│
Domain Zone (example.com)
├── Signs: All DNS records
│ └── RRSIG (Record Signature)
│ └── DNSKEY (Public keys)
│
Resolver validates entire chain from root
Tipos de Registos DNSSEC
| Gravar | Objecto | Designação das mercadorias |
|---|---|---|
| RRSIG | Assinatura | Assinatura criptográfica para cada conjunto de registos |
| DNSKEY | Chave Pública | Chaves de assinatura públicas da zona (KSK e ZSK) |
| DS | Signer da delegação | Hash do KSK da zona-mãe |
| NSEC/NSEC3 | Negação Autenticada | Prova que um registo não existe |
Tipos de Chave
| Chave | Objecto | Frequência de rotação |
|---|---|---|
| KSK (chave de assinatura da chave) | Sinais Registos DNSKEY | Anualmente ou menos |
| ZSK (chave de assinatura de zona) | Assina todos os outros registos | Mensal a trimestral |
Processo de validação do DNSSEC
1. Resolução DNS de consultas de clientes para o registro example.com A
2. Resolver recupera um registro + assinatura RRSIG
3. A Resolução obtém o DNSKEY para verificar o RRSIG
4. Resolução valida registro DS contra DNSKEY
5. A cadeia continua a root, verificando cada nível
6. Se todas as assinaturas forem válidas, a resposta é autenticada
Ameaças DNSSEC evita
| Ataque | Designação das mercadorias | Protecção do DNSSEC |
|---|---|---|
| Envenenamento por Cache | Injetando registros falsos na cache | Assinaturas detectam adulteração |
| Homem no Meio | Interceptando e alterando respostas | A validação criptográfica falhou |
| DNS Spoofing | Devolvendo endereços IP falsos | Registros falsificados não têm assinatura válida |
Considerações de Implementação
- Desempenho: Respostas maiores devido a assinaturas (~1000-4000 bytes vs ~100 bytes)
- Gestão de chaves: Requer geração segura de chaves, armazenamento e rotação
- Assinatura da zona: Deve re-assinar zona quando os registos mudam
- Suporte à resolução: Os clientes precisam de resolvedores de validação DNSSEC
Melhores Práticas
1. Use algoritmo 13 ou 14: ECDSA fornece assinaturas menores do que RSA
2. Automatizar rotação de teclas: Use ferramentas como OpenDNSSEC para o ciclo de vida da chave
3. Termo do monitor: assinaturas RRSIG têm períodos de validade
4. Teste antes da implantação: Validar zona com ferramentas como dnsviz.net
5. Plano para emergências: Os procedimentos principais de capotagem são documentados
O DNSSEC fornece proteção essencial para a integridade do DNS, garantindo que os usuários atinjam destinos legítimos em vez de servidores controlados por atacantes.