Home Noticias DNSSEC no Windows Server 2012

DNSSEC no Windows Server 2012

O DNSSEC (Domain Name System Security Extensions) é um padrão internacional que utiliza um mecanismo  baseado na tecnologia de criptografia de chaves públicas.

O DNSSEC tem seu uso obrigatório somente nos domínios JUS.BR e no B.BR. Para todos os outros DPNs a utilização de DNSSEC é opcional.
A extensão DNSSEC autentica as informações do DNS e garante que estas informações selam autênticas e íntegras.
É muito simples de criar um servidor DNS que pode forjar um servidor real a fornecer informações não corretas aos seus clientes (resolver).
Vamos entender melhor:


Basicamente um servidor DNS responde solicitações de mapeamento IP para os clientes na rede.
Exemplo:

Um cliente na rede abre o browser e digita o seu site preferido: http://pt.partypoker.com/tournaments.html 
Nesse momento o computador cliente busca na cache local, no arquivo hosts e se não existir essa informaçãolocalmente ele encaminha uma solicitação para o seu servidor DNS. Assim o servidor DNS inicia uma serie de métodos para resolução de nomes com consultas recursivas e Iterativas.
Agora que garante que a resposta do DNS é verdadeira ? Como é que pode não ser verdadeira ? Com um tipo de ataque muito comum chamado DNS SPoofing

DNS SPoofing é um tipo de ataque que envolve a representação de respostas do servidor de DNS para apresentar informações falsas. Em um ataque de spoofing, um usuário mal-intencionado tenta adivinhar que um cliente ou servidor DNS enviou uma consulta DNS e está aguardando uma resposta de DNS. Um ataque de falsificação de sucesso irá inserir uma resposta DNS falso no cache do servidor DNS, um processo conhecido como envenenamento de cache.

Também é possível enviar um ataque de falsificação de DNS diretamente para um cliente DNS, no entanto estes ataques são menos persistentes do que os ataques de envenenamento de cache. Ambos os tipos de ataques podem ser evitados com DNSSEC, exigindo que as respostas DNS são validados como autêntica

No protocolo DNS, um ataque onde a informação é corrompida é extremamente difícil de ser detectado e, na prática, impossível de ser prevenido. É ai que entra o DNSSEC.

DNSSEC requer uma infra-estrutura de assinatura pública / privada
Cada resposta a uma consulta deve ser assinado com a chave como um meio para autenticar a validade dos registros retornados.
Assim ao assinar os registros dos clientes será capaz de confiar nos resultados de uma consulta

 

Como implementar o DNSSEC no Windows Server 2012 passo a passo (Laboratório)

Instalação do DNSSEC no Windows Server 2012 (Vídeo)
.

 

 


Última atualização (Qui, 06 de Setembro de 2012 19:37)

 


Artigos relacionados:

Powered By relatedArticle

World's Top Web Hosting providers awarded and reviewed. Find a reliable green hosting service, read greengeeks review