DNSSECErika Medeiros

DNS – Domain Name System O Sistema de Nomes de Domínio é um

banco de dados distribuido. Isso permite um controle local dos

segmentos do banco de dados global: Arquitetura hierárquica, dados dispostos em uma

arvore invertida Distribuida eficientemente, sistema

descentralizado e com cache O principal propósito e a resolução de nomes de

domínio em enderecos IP e vice-versa

DNS – Domain Name System

Hierarquia

Hierarquia Cada ponto da árvore de DNS é representada por

muitos computadores. Um nome de domínio é lido da direita para a

esquerda; Existem os domínios primários (chamados de top

level domains, ou TLD's), como .com, .net, .info, .cc, .biz, etc.

Existem os domínios secundários (country code TLD's, ou ccTLD's), que recebem o prefixo de cada país, como .com.br ou .net.br.

Nesse caso, o "com" é um subdomínio do domínio "br".

Hierarquia

Domínio x Zona Zona armazena todos os dados a qual ela

tem autoridade; Um domínio armazena a zona e todos os

seus subdomínios; Cada subdomínio tem sua própria zona;

Delegação

Como fazer parte da árvore DNS? Precisa-se registrar o domínio; Reserva o direito da pessoa física ou jurídica

sobre um determinado nome de endereço na Internet.

Domínios não registrados não podem ser encontrados na Internet.

Formas de Registro

Exercício Visitar o site

http://www.domaintools.com/internet-statistics/ Checar as estatísticas

Top Level Domain Para registrar um domínio TLD basta

escolher uma empresa de registro e pagar; Os registrars TLD reconhecidos pelo ICANN

podem ser encontrados em

http://www.icann.org/en/registrars/accredited-list.html

Domain Parking Uma prática muito comum é registrar domínios em

que se tenha interesse, mas que não pretenda usar de imediato;

Mostra-se uma página genérica, contendo um "em construção" ou alguns links de anúncios;

Esta prática é chamada de "domain parking" (reserva de domínios, ou estacionamento de domínios)

Sai mais barato registrar um domínio antecipadamente do que ter que disputá-lo mais tarde;

Cybersquatting Existem também casos de registros de

domínios contendo: Marcas; Palavras similares a marcas;

O objetivo é enganar os visitantes (encaminhando-os a outras páginas) e/ou lesar ou extorquir os proprietários da marca;

Esta prática é ilegal na maioria dos países, incluindo o Brasil.

UDRP - Uniform Domain-Name Dispute-Resolution Policy Serve para TLD; É possível disputar a posse de um domínio

registrado; Esse processo se aplica em casos em que a

empresa é detentora de uma marca registrada, ou é proprietária de um site que esteja sendo lesado por um domínio similar, registrado com o propósito de roubar visitantes;

Detalhes em: http://www.icann.org/udrp/udrp.htm

Como disputar domínios ccTLD? Os ccTLDs são os domínios com código de país; São responsabilidade de entidades separadas; O processo para disputa da posse do domínio varia; Algumas entidades aceitam a aplicação do UDRP; Outras entidades aplicam conjuntos particulares de

regras; Outras entidades simplesmente não possuem uma

política definida, se limitando a acatar decisões judiciais.

Em que categoria está o Registro.br? O Registro.br ainda faz parte da terceira

categoria; Mas, existem negociações com relação à

adoção do UDRP; Pode-se ver algumas cartas trocadas entre

os responsáveis pelo Registro.br e a ICANN, disponíveis no: http://www.icann.org/cctlds/br/br-icann-letters-10may07.pdf

Publicação

Publicação

Resource Records Os dados associados com os nomes de

domnio estão contidos em Resource Records ou RRs (Registro de Recursos);

São divididos em classes e tipos;

Classes do RR IN – Internet CH (Chaos Network) – Rede antiga HS - MIT

Tipos de RR Atualmente existe uma grande variedade de

tipos; O conjunto de resource records com o

mesmo nome de domínio, classe e tipo e denominado RRset;

Tipos de RR

Tipo SOA Guarda a versão da atualização da Zona; Numa zona existem vários computadores:

Computador primário; Computadores secundários (guardam cópias dos

computadores primários); É através do incremento do SOA que os

computadores secundários sabem que houve mudanças no computador primário;

Tipo NS Guarda os endereços de todos os servidores; Os servidores estão na própria zona; Ou os servidores estão na delegação logo

abaixo dele;

Exemplo de um arquivo de zona

NOME DE DOMÍNIOIN - INTERNET

INFORMAÇÕES PARA OS SERVIDORES SECUNDÁRIOS

SERIAL – VERSÃO SOAREFRESH – DE QUANTO EM QUANTO TEMPO O SERVIDORSECUNDÁRIO TEM QUE PERGUNTAR AO PRIMÁRIO A SUA VERSÃOCOM FINS DE SE ATUALIZAR

RETRY – CASO O SERVIDOR PRIMÁRIO ESTEJA OFF, EM QUANTO TEMPO O SERVIDOR SECUNDÁRIO VAI TENTAR NOVA CONEXÃO,PARA FINS DE SE ATUALIZAR.

EXPIRE – CASO O RETRY FALHE, POR QUANTO TEMPO OS DADOS DO DNS AINDA SERÃO VÁLIDOS EM REQUISIÇÕES CLIENTES;

TTL Minimum – TEMPO DE VIDA NOS SERVIDORES RECURSIVOS;

TTL – Tempo de Vida As informações do cache são armazenadas

por um determinado período de tempo através de um parâmetro conhecido por TTL (Time-to-Live).

Utilizado para evitar que as informações gravadas se tornem desatualizadas.

O período de tempo do TTL varia conforme o servidor e administrador;

Onde fica fisicamento o arquivo de zona? Nos servidores autoritativos; Servidores autoritativos são:

Servidor Master Servidor Slave

Tipos de Servidores

Exemplo de requisição de endereço

Fluxo de Dados Atualizações – Referentes a Zona Requisições

Fluxo de Dados

Atualizações de Zona Atualizações estáticas

Pára o servidor Recebe o arquivo da Zona

Atualizações dinâmicas Não pára o servidor

Comunicação entre Master/Slave AXFR

Master passa todas as informações que ele tem para o servidor Slave

IXFR Master checa o SOA dos Slaves; Manda apenas as modificações desde a última

atualização;

Vulnerabilidades

Vulnerabilidades nas atualizações Hoje não existe autenticidade; Pode haver atualizações indevidas;

Ambientes Propícios Ethernet Ethernet Wireless (802.11)

Vulnerabilidades nas requisições

Exemplo do Man-in-the-Middle

Cenário – Cache Poisoning O servidor recursivo é também servidor de

cache; Isto significa que se uma estação solicitar um

IP para um endereço, a resposta pode estar na cache;

Porém, eventualmente a entrada da cache expira;

Cenário – Cache Poisoning Quando o servidor recursivo precisa enviar

uma consulta, o atacante “ganha” o servidor autoritativo;

O objetivo é forjar uma resposta e enviá-la ao servidor recursivo;

Se a resposta do atacante chegar ao servidor recursivo, antes da resposta verdadeira e o atacante conseguir o ID da consulta, o servidor recursivo irá fazer cache da informação.

Como realizar o ataque? (Tipo I)

A consulta do servidor recursivo ao servidor autoritativo gera um ID da transação;

A resposta terá o mesmo ID; O ID da transação é um número entre 0 e

65.535; Quanto mais tentativas de ataque, maior a

chance de haver um match com ID da transação;

Como realizar o ataque? (Tipo II) Pode-se fazer um flooding no servidor

recursivo, tornando-o vulnerável; O atacante envia inúmeras requisições falsas

ao servidor recursivo, com a certeza que este não possui as informações;

Por exemplo, qual o IP para o endereço qqq.richbank.com?

Como realizar o ataque?(Tipo II) O procedimento irá forçar o servidor

recursivo a enviar solicitações ao servidor autoritativo;

As solicitações podem ser interceptadas; Uma resposta possível do atacante, seria

enviar ao servidor recursivo que não tem a informação requisitada mas um servidor autoritativo fake deve ter;

Soluções para vulnerabilidade de requisições e atualizações

TSIG Os servidores distribuem a mesma chave

simétrica para os servidores que vão fazer as atualizações;

Desta forma eles assinam o trafégo de atualização;

DNSSEC Domain Name System SECurity extensions Extensão da tecnologia DNS O que existia continua a funcionar Possibilita maior segurança para o usuário

na Internet Corrige falhas do DNS Atualmente na versão denominada DNSSEC

bis com opcional NSEC3

DNSSEC Suas vericações ocorrem antes de diversas

aplicações de seguranca (SSL, SSH, PGP, etc...)

Garantias do DNSSEC

Quem pode utilizar o DNSSEC Dominios abaixo do .br; b.br – Domínios para bancos eng.br gov.br eti.br blog.br

Não utilizarão o DNSSEC gov.br com.br

Chaves Assimétricas Cada zona segura requer um par de chaves; A chave privada da zona estará armazenada

em algum lugar seguro; A chave pública da zona é o DNSKEY record

e está associada ao domínio da zona; As chaves serão usadas para os processos

de autenticação do DNS;

Chaves assimétricas

Chaves assimétricas

Novos tipos de RR para DNSSEC DNSKEY - Chave publica RRSIG - Assinatura do RRset (somente

registros com autoridade) DS - Delegation Signer (Ponteiro para a

cadeia de confiança) NSEC - Aponta para o próximo nome e

indica quais os tipos dos RRsets para o nome atual

Breve Resumo Uma zona assina seu RRset autoritativo

usando sua chave privada. Um resolver pode usar a chave pública da

zona, obtida através de uma query para o DNSKEY type;

DNSKEY

NOME DO DOMÍNIO A QUEM PERTENCE A CHAVE

TTL

CLASSE DO RR

RR TYPE256 implica que o DNSKEY contem a chave pública do DNS 0 implica que o DNS possui alguma outra chave3 é fixo – Compatibilidade com protocolos anteriores

Identifica o algoritmo de chave pública.

Algoritemos de chave pública DNSKey

Usando o Dig para encontrar informações acerca dos servidores Usar a aplicação WEB:

http://www.epideme.com/digger/

DIG

DEIXAR EM BRANCO

SELECIONAR

Prática – Tipo I

ROOT SERVERS

Exemplo Prático Obtendo o DNSKEY de ns1.dnssec-tools.org;

DNSKEY

RRSIG

RRSIG