![Page 1: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/1.jpg)
Tutorial DNSSEC 1
Cesar Henrique Kuroiwa<[email protected]>
Registro.br
21 de julho de 2020
1versao 1.8.0
A ultima versao deste tutorial pode ser encontrada em: ftp://ftp.registro.br/pub/doc/tutorial-dnssec.pdf
1 / 123
![Page 2: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/2.jpg)
Objetivos
Introduzir os conceitos de DNS e DNSSEC
Apresentar um exemplo pratico de DNSSEC utilizando BIND
Incentivar a utilizacao de DNSSEC
2 / 123
![Page 3: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/3.jpg)
Cronograma
1 Introducao DNSConceitosPublicacaoArquiteturaSoftwaresVulnerabilidades
2 DNSSECConceitosResource RecordsFuncionamentoDNS vs DNSSECSoftwares
3 DNSSEC na PraticaDNSSEC no Servidor AutoritativoDNSSEC no Servidor Recursivo
4 Referencias
3 / 123
![Page 4: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/4.jpg)
Parte I
Introducao DNS
4 / 123
![Page 5: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/5.jpg)
DNS - Motivacao
Mapear nomes para enderecos IP
Crescimento acelerado do numero de computadores na Internet
Substitui o antigo arquivo /etc/hosts
exemplo.foo.eng.br ←→ 200.160.10.251www.cgi.br ←→ 200.160.4.2
www.registro.br ←→ 2001:12ff:0:2::3
5 / 123
![Page 6: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/6.jpg)
DNS - Domain Name System
Arquitetura hierarquica, dados dispostos em uma arvore invertida
Descentralizado e distribuıdo
Novas funcionalidades alem de domınio ←→ IP
6 / 123
![Page 7: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/7.jpg)
Hierarquia
"."
br
eng
foo
tutorial
DNS
database
tutorial.foo.eng.br
/
usr
local
bin
imake
UNIX
filesystem
/usr/local/bin/imake
7 / 123
![Page 8: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/8.jpg)
Delegacao e Zona
Zona gov.brZona nom.br
Zona eng.br
Domínio br
Zona joao.silva.nom.brZona tutorial.foo.eng.br
Zona foo.eng.br
Zona br
"."
com
eng
br org
nom gov
foo
tutorial
joao
Zona fazenda.gov.br
fazenda
Delegação
silva
Delegacao
Indica uma transferencia
de responsabilidade na
administracao a partir
daquele ponto na arvore
DNS
ZonaParte do sistema de
domınios com
informacoes e
administracao locais (ex:
eng.br e foo.eng.br)
8 / 123
![Page 9: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/9.jpg)
Registro de domınios (.br)
Reserva o direito da pessoa fısica ou jurıdica sobre um determinadonome de endereco na Internet.
Inclui uma nova delegacao para o domınio abaixo da zona .br.
Domınios nao registrados nao podem ser encontrados na Internet.
9 / 123
![Page 10: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/10.jpg)
Formas de registro
Sistema WEB
A interface WEB permite de maneira pratica gerenciar os domınios dequalquer pessoa fısica ou jurıdica.− http://registro.br/suporte/tutoriais/novo-registro.html
EPP - Extensible Provisioning Protocol
E uma interface destinada somente a provedores de servico previamentecertificados pelo Registro.br.− http://registro.br/epp/
10 / 123
![Page 11: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/11.jpg)
Publicacao DNS
As alteracoes feitas nos servidores DNS nao sao efetivadasimediatamente.
Publicacoes DNS fazem com essas alteracoes sejam propagadas paraa Internet.
Ocorrem a cada 30 minutos.
Para domınios novos, eles estarao visıveis na Internet apos a proximapublicacao.
Para mudancas de servidor DNS, o tempo de propagacao para toda aInternet pode ser de ate 24 horas, devido ao cache e TTL.
11 / 123
![Page 12: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/12.jpg)
Resource RecordsOs dados associados com os nomes de domınio estao contidos emResource Records ou RRs (Registro de Recursos)
Sao compostos por nome, classe, tipo e dados
Atualmente existe uma grande variedade de tipos
O conjunto de resource records com o mesmo nome de domınio,classe e tipo e denominado Resource Record Set (RRset)
Alguns Tipos Comuns de Records
SOA Indica onde comeca a autoridade a zona
NS Indica um servidor de nomes para a zona
A Mapeamento de nome a endereco (IPv4)
AAAA Mapeamento de nome a endereco (IPv6)
MX Indica servidor de email para o domınio
CNAME Mapeia um nome alternativo (apelido) Apendice II - CNAME
12 / 123
![Page 13: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/13.jpg)
Exemplo de records de uma zona
Arquivo de zona - Possui os RRs referentes a um determinado domınio,sendo que cada domınio possui um arquivo de zona.
exemplo.com.br. IN SOA ns1.exemplo.com.br. hostmaster.exemplo.com.br. (
1 ; serial
3600 ; refresh (1h)
1800 ; retry (30m) Apendice I - SOA
86400 ; expire (1d)
900 ) ; minimum (15m)
exemplo.com.br. IN NS ns1.exemplo.com.br.
exemplo.com.br. IN NS ns2.exemplo.com.br.
ns1.exemplo.com.br. IN A 10.0.0.1
ns2.exemplo.com.br. IN A 10.0.0.2
exemplo.com.br. IN MX 10 mail.exemplo.com.br.
mail.exemplo.com.br. IN A 10.0.0.3
www.exemplo.com.br. IN A 10.0.0.4
13 / 123
![Page 14: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/14.jpg)
SoftwaresFerramenta para consultas DNS
Ferramentas recomendadas para consultas sobre registros de DNS de umdeterminado domınio, host ou IP:
DIG (Domain Information Groper)
— http://www.isc.org/software/bind
DRILL— http://www.nlnetlabs.nl/projects/drill
14 / 123
![Page 15: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/15.jpg)
SoftwaresLicenca de Servidores DNS
Criador Codigo Aberto Gratis
ANS NominumBIND Internet System Consortium
√ √
djbdns Daniel J. Bernstein√ √
DNSSHIM Registro.br√ √
IPControl INSIPM DNS EfficientIPMaraDNS Sam Trenholme
√ √
Microsoft DNS MicrosoftNSD NLnet Labs
√ √
PowerDNS PowerDNS.com / Bert Hubert√ √
Unbound NLnet Labs√ √
Vantio NominumVitalQIP Lucent Technologies
15 / 123
![Page 16: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/16.jpg)
SoftwaresCompatibilidade de Servidores DNS com Sistemas Operacionais
BSDa Solaris Linux Windows MAC OS X
ANS√ √ √
BIND√ √ √ √ √
djbdns√ √ √ √
DNSSHIM√ √ √ √ √
IPControl√ √ √
IPM DNS√ √ √ √
MaraDNS√ √ √ √
b√
Microsoft DNS√
NSD√ √ √ √
PowerDNS√ √ √ √ √
c
Unbound√ √ √ √
Vantio√ √ √
VitalQIP√ √ √
aSistema compatıvel com a norma POSIX assim como outros clones do Unix.
bApenas nas versoes mais recentes do sistema operacional
cSoftware em versao Beta
16 / 123
![Page 17: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/17.jpg)
Tipos de servidores
Servidor Autoritativo
Responde com autoridade para uma zona especıfica
Deve estar disponıvel publicamente para toda a internet
Servidor Recursivo
Nao e responsavel por uma unica zona
Ao receber uma requisicao, consulta servidores autoritativos paraobter a informacao desejada
Faz cache de informacoes
Pode ter acesso controlado
17 / 123
![Page 18: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/18.jpg)
Tipos de Servidores
Servidor 1
Contem a configuracao da zona pela qual e responsavel
A cada alteracao, as novas informacoes sao propagadas para osservidores 2 a n
Hidden Server 1 (Servidor 1 oculto): tipo especıfico de servidor 1 quenao e visıvel na Internet
Servidores [2-n]
Apenas obtem a configuracao da zona do servidor 1
18 / 123
![Page 19: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/19.jpg)
Conceitos uteis - Cache e TTL
Cache
Cache e o ato de armazenar informacoes de consultas anteriores.
Usado somente em servidores recursivos.
Reduz o tempo de resposta para informacoes muito consultadas.
TTL
TTL e o tempo em segundos que uma informacao fica armazenada noCache de um servidor recursivo.
19 / 123
![Page 20: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/20.jpg)
Conceitos uteis - Glue Records
Necessario quando o nome de um servidor DNS contem o proprionome do domınio
Neste caso e necessario ter o endereco IP do servidor para poderacessa-lo.
Glue e o record que contem este endereco IP
Deve ser incluıdo na zona pai do domınio
Exemplo:
Domınio: EXEMPLO.COM.BR
Servidor: NS.EXEMPLO.COM.BR
Glue record: NS.EXEMPLO.COM.BR - 123.123.123.123
20 / 123
![Page 21: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/21.jpg)
Exemplo de requisicao de endereco
Supondo que o
cache esta vazio ou
sem informacoes de
br, eng.br,
foo.eng.br,
exemplo.foo.eng.br
ResolverServico localizado
no cliente que tem
como
responsabilidade
resolver as
requisicoes DNS
para diversos
aplicativos21 / 123
![Page 22: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/22.jpg)
Exemplo de requisicao de endereco
Supondo que o
cache esta vazio ou
sem informacoes de
br, eng.br,
foo.eng.br,
exemplo.foo.eng.br
22 / 123
![Page 23: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/23.jpg)
Exemplo de requisicao de endereco
23 / 123
![Page 24: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/24.jpg)
Exemplo de requisicao de endereco
24 / 123
![Page 25: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/25.jpg)
Exemplo de requisicao de endereco
25 / 123
![Page 26: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/26.jpg)
Exemplo de requisicao de endereco
26 / 123
![Page 27: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/27.jpg)
Exemplo de requisicao de endereco
Resolver
Servidor DNSRecursivo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
exem
plo
.foo.e
ng.b
r ?
exemplo.fo
o.eng.br ?
Refere
ncia se
rvidore
s .br
exemplo.foo.eng.br ?
Referencia servidores foo.eng.br
exemplo.foo.eng.br ?
"."
BR
ENG
FOO
EXEMPLO
27 / 123
![Page 28: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/28.jpg)
Exemplo de requisicao de endereco
Resolver
Servidor DNSRecursivo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
exem
plo
.foo.e
ng.b
r ?
exemplo.fo
o.eng.br ?
Refere
ncia se
rvidore
s .br
exemplo.foo.eng.br ?
Referencia servidores foo.eng.br
exemplo.foo.eng.br ?
200.160.10.251
"."
BR
ENG
FOO
EXEMPLO
28 / 123
![Page 29: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/29.jpg)
Exemplo de requisicao de endereco
Resolver
Servidor DNSRecursivo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
exem
plo
.foo.e
ng.b
r ?
20
0.1
60.1
0.2
51
exemplo.fo
o.eng.br ?
Refere
ncia se
rvidore
s .br
exemplo.foo.eng.br ?
Referencia servidores foo.eng.br
exemplo.foo.eng.br ?
200.160.10.251
"."
BR
ENG
FOO
EXEMPLO
29 / 123
![Page 30: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/30.jpg)
Exemplo de requisicao de endereco
Resolver
Servidor DNSRecursivo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
exem
plo
.foo.e
ng.b
r ?
20
0.1
60.1
0.2
51
exemplo.fo
o.eng.br ?
Refere
ncia se
rvidore
s .br
exemplo.foo.eng.br ?
Referencia servidores foo.eng.br
exemplo.foo.eng.br ?
200.160.10.251
"."
BR
ENG
FOO
EXEMPLO
30 / 123
![Page 31: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/31.jpg)
Fluxo de dados
Re����i��
Server 1 Zona
Servers 2-n DynUpdate
Resolver
11
11
1 Resolver faz consultas no Recursivo2 Recursivo faz consultas nos servidores 1 a 63 Master tem a zona original (via arquivo ou Dynamic Update)4 Servidor [2-6] recebe a zona do Servidor 1 (AXFR ou IXFR)
31 / 123
![Page 32: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/32.jpg)
Vulnerabilidades
Recursivo
Servidor 1 Zona
Serv. [2-n] DynUpdate
Resolver
Impersoni�caçãodo Recursivo
Poluiçãode Cache
Impersoni�caçãodo Servidor 1
11
11
Dados Corrompidos
Updates não autorizados
32 / 123
![Page 33: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/33.jpg)
Exemplo de Ataque 1Man-in-The-Middle
Resolver
33 / 123
![Page 34: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/34.jpg)
Exemplo de Ataque 1Man-in-The-Middle
Resolver
Servidor DNSRecursivo
exem
plo
.foo.e
ng.b
r ?
Atacante
34 / 123
![Page 35: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/35.jpg)
Exemplo de Ataque 1Man-in-The-Middle
O atacante responde mais rapido, spoofando endereco do recursivo
Resolver
Servidor DNSRecursivo
exem
plo
.foo.e
ng.b
r ?
Atacante
20
7.4
6.2
32
.18
2
35 / 123
![Page 36: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/36.jpg)
Exemplo de Ataque 1Man-in-The-Middle
O atacante responde mais rapido, spoofando endereco do recursivo
Resolver
Servidor DNSRecursivo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
exem
plo
.foo.e
ng.b
r ?
20
0.1
60.1
0.2
51
"."
BR
ENG
FOO
EXEMPLO
Atacante
20+�,�
.2-
.1.
36 / 123
![Page 37: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/37.jpg)
Exemplo de Ataque 2Poluicao de Cache
37 / 123
![Page 38: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/38.jpg)
Exemplo de Ataque 2Poluicao de Cache
38 / 123
![Page 39: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/39.jpg)
Exemplo de Ataque 2Poluicao de Cache
Resolver
Servidor DNSRecursivo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
���
�
ENG
FOO
EXEMPLO
39 / 123
![Page 40: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/40.jpg)
Exemplo de Ataque 2Poluicao de Cache
Resolver
Servidor DNSRecursivo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
"."
BR
ENG
FOO
EXEMPLO
Atac���e
e�emplo.foo.eng.br ?
40 / 123
![Page 41: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/41.jpg)
Exemplo de Ataque 2Poluicao de Cache
O atacante responde mais rapido, spoofando endereco do autoritativo
Resolver
Servidor DNSRecursivo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
"."
BR
ENG
FOO
EXEMPLO
Atac� �e
e�emplo.foo.eng.br ?
&�(�)��&�&���&
41 / 123
![Page 42: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/42.jpg)
Exemplo de Ataque 2Poluicao de Cache
O atacante responde mais rapido, spoofando endereco do autoritativo
Resolver
Servidor DNSRecursivo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
"."
BR
ENG
FOO
EXEMPLO
Atac���e
e�emplo.foo.eng.br ?
!"#$%# ' #*/
42 / 123
![Page 43: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/43.jpg)
Exemplo de Ataque 2Poluicao de Cache
O atacante responde mais rapido, spoofando endereco do autoritativo
Resolver
Servidor DNSRecursivo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
Servidor DNSAutoritativo
"."
BR
ENG
FOO
EXEMPLO
Atac012e
e3emplo.foo.eng.br ?
45678974:47;<4=>>?@A>?@>?=B@
43 / 123
![Page 44: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/44.jpg)
Ambientes Propıcios
Segmentos compartilhados L2 ponto-multiponto
Ethernet (nao bridge 802.1d)
Ethernet Wireless (802.11)
44 / 123
![Page 45: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/45.jpg)
Ambientes Propıcios
Segmentos compartilhados L2 ponto-multiponto
Ethernet (nao bridge 802.1d)
Ethernet Wireless (802.11)
Atencao muito cuidado em conferencias !
44 / 123
![Page 46: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/46.jpg)
Solucoes
Recursivo
Servidor 1 ZCDE
Serv. [2-n] DynUpdate
Resolver
ImpersonificEFGo
do Recursivo
PCoHIFGCdJ KEchJ
LMNJOPCDIficEFGo
do Servidor 1
11
11
Dados Corrompidos
Updates DGC EHaCOIQEdCP
RSTTUV
TSIG / SIG0
45 / 123
![Page 47: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/47.jpg)
Solucoes
TSIG
Transaction Signatures − RFC 2845
Trafego assinado com uma chave compartilhada (simetrica) entre asduas partes
Utilizado principalmente em tranferencias de zona
46 / 123
![Page 48: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/48.jpg)
Solucoes
TSIG
Transaction Signatures − RFC 2845
Trafego assinado com uma chave compartilhada (simetrica) entre asduas partes
Utilizado principalmente em tranferencias de zona
DNSSEC
Assinatura digital das informacoes da zona
Utiliza o conceito de chaves assimetricas (publica e privada)
Garante integridade e autenticidade das informacoes
Prove seguranca para a resolucao de enderecos
46 / 123
![Page 49: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/49.jpg)
Parte II
DNSSEC
47 / 123
![Page 50: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/50.jpg)
DNSSECDomain Name System SECurity extensions
Extensao da tecnologia DNS(o que existia continua a funcionar)
Possibilita maior seguranca para o usuario na Internet(corrige algumas vulnerabilidades do DNS)
Atualmente na versao denominada DNSSEC bis com opcional NSEC3
48 / 123
![Page 51: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/51.jpg)
Garantias de DNSSEC
O que garante?
Origem (Autenticidade)
Integridade
A nao existencia de um nome ou tipo
49 / 123
![Page 52: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/52.jpg)
Garantias de DNSSEC
O que garante?
Origem (Autenticidade)
Integridade
A nao existencia de um nome ou tipo
O que NAO garante?
Confidencialidade
Protecao contra ataques de negacao de servico (DOS)
49 / 123
![Page 53: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/53.jpg)
Avanco de DNSSEC no Mundo
fonte: http://www.xelerance.com/dnssec/50 / 123
![Page 54: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/54.jpg)
Utilizacao de DNSSEC
Quem pode utilizar DNSSEC abaixo do .br?
Todos os domınios abaixo do .br podem (e devem) utilizar DNSSEC.Atualmente com cerca de 250.000 domınios assinados (9%)Mais informacoes podem ser obtidas no site http://www.registro.br/dominio/dpn.html
51 / 123
![Page 55: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/55.jpg)
Utilizacao de DNSSEC
Quem pode utilizar DNSSEC abaixo do .br?
Todos os domınios abaixo do .br podem (e devem) utilizar DNSSEC.Atualmente com cerca de 250.000 domınios assinados (9%)Mais informacoes podem ser obtidas no site http://www.registro.br/dominio/dpn.html
Onde DNSSEC e Obrigatorio?
E obrigatorio nos registros que estiverem diretamente abaixo dos domınios.B.BR e .JUS.BR
51 / 123
![Page 56: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/56.jpg)
Chaves Assimetricas
DNSSEC utiliza o conceito de chaves assimetricas− chave publica e chave privada
52 / 123
![Page 57: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/57.jpg)
Chaves Assimetricas
DNSSEC utiliza o conceito de chaves assimetricas− chave publica e chave privada
53 / 123
![Page 58: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/58.jpg)
Novos Resource Records
DNSKEY Chave publica (incluıda na propria zona)
RRSIG Assinatura do RRset (somente registros com autoridade)
DS Delegation Signer (Ponteiro para a cadeia de confianca)
NSEC(3) Next Secure (Prova de nao existencia)
54 / 123
![Page 59: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/59.jpg)
DNSKEY
Representa a chave publica de uma zona
1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Flags | Protocol | Algorithm |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
/ /
/ Public Key /
/ /
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
55 / 123
![Page 60: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/60.jpg)
Exemplo de consulta DNSKEY
$ dig foo.eng.br dnskey +dnssec;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26230
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 1280
;; QUESTION SECTION:
;foo.eng.br. IN DNSKEY
;; ANSWER SECTION:
foo.eng.br. 70946 IN DNSKEY 257 3 5 (
AwEAAa1ZWWcbEa05xKyJVyIC1inc/DclqTWIhlUsYiuy
qbiC7Kz5lwOYMPNh00edsC3d9S6Ccj06T3OUMjFfA+FS
wf7eqtv09w7XeuAg9uNdS6wtDL6Qz+UTv9qUzpdclaHK
TY8VIfy1Kc8XkR2lgbnpFZkhKlactVJMD4dsUUUJIryF
) ; key id = 58729
foo.eng.br. 70946 IN RRSIG DNSKEY 5 3 86400 20120516101147 (
20120426101147 58729 foo.eng.br.
LFT+hSwL6MeFxB2O2liuLocmmR8ua6BmphAan7FXCero
SwvEKwwvFlLo5piyDkBY5opSLWhbRInahw3F/SZqxt+I
MY/zleKOY646+ZvRP4Jt4wjnx2kJG2Bp1NddiFSPoK4X
l7+DRgB0s80M9kzfEw10FSEJH2HQ/v+g3zgN770= )
56 / 123
![Page 61: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/61.jpg)
RRSIG
Representa a assinatura de um RRset especıfico com umadeterminada chave (DNSKEY)
Possui uma validade inicial (inception) e final (expiration)
Exemplos de RRset:
foo.eng.br. IN NS ns1.foo.eng.br.
foo.eng.br. IN NS ns2.foo.eng.br.
ns1.foo.eng.br. IN A 200.160.3.97
ns2.foo.eng.br. IN A 200.160.3.97
57 / 123
![Page 62: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/62.jpg)
RRSIG
1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type Covered | Algorithm | Labels |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Original TTL |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Signature Expiration |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Signature Inception |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Key Tag | /
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Signer’s Name /
/ /
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
/ /
/ Signature /
/ /
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
58 / 123
![Page 63: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/63.jpg)
Exemplo de consulta com RRSIG
$ dig @200.160.10.251 foo.eng.br SOA +dnssec +noadditional;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6372
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 5
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;foo.eng.br. IN SOA
;; ANSWER SECTION:
foo.eng.br. 900 IN SOA ns1.foo.eng.br. hostmaster.foo.eng.br. 1 3600 3600 3600 900
foo.eng.br. 900 IN RRSIG SOA 5 3 900 20070617200428 20070518200428 62745 foo.eng.br.
glEeCYyd/CCBfzH64y0RAQf9OxYDsI4xuBNaam+8DZQZxeoSLQEEtwmp
6wBtQ7G10wSM9nEjRRhbZdNPNKJMp2PElLLgLI+BLwdlz0t8MypcpLOa
Tm9rc7pP7UR5XLzU1k8Dm6ePW1bNkId7i0IPSghyoHM7tPVdL2GW51hCujA=
;; AUTHORITY SECTION:
foo.eng.br. 900 IN NS ns2.foo.eng.br.
foo.eng.br. 900 IN NS ns1.foo.eng.br.
foo.eng.br. 900 IN RRSIG NS 5 3 900 20070617200428 20070518200428 62745 foo.eng.br.
3iLm1ROC+UeqYk0xgQGQQXkBzcKiKQRPwe+1JZlpjEzjU1Uj0HUOHefa
jXzMv7FlFMWYeU51Ybg49HFe67XQVlK54GeAFXWB7YS59yODLoNEBxQl
9QEy6g/OOnLpuKTrST8qqd5Fc/eYqN/Ag3GnfcAviZgiQhhveGH9mJHWZyc=
59 / 123
![Page 64: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/64.jpg)
DS - Delegation Signer
Representa um hash de um record DNSKEY
Indica:
que a zona delegada esta assinada
qual a chave usada na zona delegada
A zona Pai possui autoridade pelo record DS das zonas delegadas
O record DS nao deve aparecer no Filho
60 / 123
![Page 65: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/65.jpg)
DS - Delegation Signer
tutorial
foo
WXY
br [\ ]^_`bbr)
DS(foob^_`bbr)
DS(tutorfgjbklob^_`bmr)
n DS (br) Cadeia de Confianca
O Record DS forma uma cadeia deconfianca, a qual garante aautenticidade das delegacoes de umazona ate um ponto de confianca(uma chave ancorada)
61 / 123
![Page 66: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/66.jpg)
DS - Delegation Signer
1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Key Tag | Algorithm | Digest Type |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
/ /
/ Digest /
/ /
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Exemplofoo.eng.br. IN DS 817 5 1 EAEC29E4B0958D4D3DFD90CC70C6730AD5880DD3
62 / 123
![Page 67: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/67.jpg)
DS - Delegation Signer
E possıvel obter os DS da zona utilizando o sistema Whois.
Exemplo de DS pelo Whois$ whois foo.eng.brdomain: foo.eng.br
owner: Frederico A. C. Neves
address: Av. das Nacoes Unidas, 11541, 7 andar
address: 04578-000 - S~ao Paulo - SP
country: BR
owner-c: FAN
admin-c: FAN
tech-c: FAN
billing-c: FAN
nserver: dixit.foo.eng.br 200.160.7.134
nsstat: 20070619 AA
nslastaa: 20070619
nserver: sroot.dns.br
nsstat: 20070619 AA
nslastaa: 20070619
ds-record: 6928 RSA/SHA-1 CA7D9EE79CC37D8DC8011F33D330436DF76220D1
created: 20000103 #237812
expires: 20080103
changed: 20070604
status: published
63 / 123
![Page 68: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/68.jpg)
NSEC - Next SecurePermite autenticar uma resposta negativa
Indica o proximo nome seguro na zona
Indica os tipos de RRsets existentes para o nome
Circular (Ultimo aponta para o primeiro)
1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
/ Next Domain Name /
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
/ Type Bit Maps /
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Exemplofoo.eng.br. 900 IN NSEC ns1.exemplo.foo.eng.br. NS SOA RRSIG NSEC DNSKEY
Prova de nao existencia, com pre-assinatura, sem a necessidade de chaveson-line para assinatura on-demand. Diminuindo a possibilidade de DOS.
64 / 123
![Page 69: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/69.jpg)
NSEC - Simulacao nome nao existente
Respostas NXDOMAIN
- Um ou mais registros NSEC indicam que o nome ou a sintetizacao deum wildcard nao existe
$ dig @200.160.10.251 zzz.foo.eng.br SOA +dnssec;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 18301
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 1
;; QUESTION SECTION:
;zzz.foo.eng.br. IN SOA
;; AUTHORITY SECTION:
foo.eng.br. 0 IN SOA ns1.foo.eng.br. hostmaster.foo.eng.br. 1 3600 3600 3600 900
foo.eng.br. 0 IN RRSIG SOA 5 3 900 20070617200428 20070518200428 62745 foo.eng.br.
glEeCYyd/CCBfzH64y0RAQf9OxYDsI4xuBNaam+8DZQZxeoSLQEEtwmp
6wBtQ7G10wSM9nEjRRhbZdNPNKJMp2PElLLgLI+BLwdlz0t8MypcpLOa
Tm9rc7pP7UR5XLzU1k8Dm6ePW1bNkId7i0IPSghyoHM7tPVdL2GW51hCujA=
foo.eng.br. 900 IN NSEC ns1.exemplo.foo.eng.br. NS SOA RRSIG NSEC DNSKEYfoo.eng.br. 900 IN RRSIG NSEC 5 3 900 20070617200428 20070518200428 62745 foo.eng.br.
OCOCpFW5fR6MPhVBaUWfrP9pkIqVc+NDORi6PRwIX/p1dLmAT7NF5Rkc
9IfbAHZTxefoqTKqN/vPl1PqSxUzh0rl+atHblaH6yt79CTkmStota7C
SLYYXX5c7D93hRYJ2yk1COxQz6GG9SIp/U4qR4//TcQDHpqQ4bFs42ZsD4I=
ns2.foo.eng.br. 900 IN NSEC foo.eng.br. A RRSIG NSECns2.foo.eng.br. 900 IN RRSIG NSEC 5 4 900 20070617200428 20070518200428 62745 foo.eng.br.
XVf7M09L4rVUD6uxa1P+EhQYohuimuwk1xzAemsn292esUhkkYz/BG7b
OT/L9fhzOEPYtYGFyMF4gZ1/mxwY31UmX6xVZZPYFJ7x5Kw2uTSD49FK
VsdUOLBCAHzO88byAm8EwLe3l+U0/q8RvPimAfpouoivUDcuWtKxs0CzLyc=
65 / 123
![Page 70: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/70.jpg)
NSEC - Simulacao tipo nao existente
Resposta NOERROR + sem resposta (ANSWER = 0)
- O registro NSEC prova que o tipo consultado nao existe
$ dig @200.160.10.251 foo.eng.br TXT +dnssec;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60466
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1
;; QUESTION SECTION:
;foo.eng.br. IN TXT
;; AUTHORITY SECTION:
foo.eng.br. 900 IN SOA ns1.foo.eng.br. hostmaster.foo.eng.br. 1 3600 3600 3600 900
foo.eng.br. 900 IN RRSIG SOA 5 3 900 20070617200428 20070518200428 62745 foo.eng.br.
glEeCYyd/CCBfzH64y0RAQf9OxYDsI4xuBNaam+8DZQZxeoSLQEEtwmp
6wBtQ7G10wSM9nEjRRhbZdNPNKJMp2PElLLgLI+BLwdlz0t8MypcpLOa
Tm9rc7pP7UR5XLzU1k8Dm6ePW1bNkId7i0IPSghyoHM7tPVdL2GW51hCujA=
foo.eng.br. 900 IN NSEC ns1.exemplo.foo.eng.br. NS SOA RRSIG NSEC DNSKEYfoo.eng.br. 900 IN RRSIG NSEC 5 3 900 20070617200428 20070518200428 62745 foo.eng.br.
OCOCpFW5fR6MPhVBaUWfrP9pkIqVc+NDORi6PRwIX/p1dLmAT7NF5Rkc
9IfbAHZTxefoqTKqN/vPl1PqSxUzh0rl+atHblaH6yt79CTkmStota7C
SLYYXX5c7D93hRYJ2yk1COxQz6GG9SIp/U4qR4//TcQDHpqQ4bFs42ZsD4I=
66 / 123
![Page 71: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/71.jpg)
NSEC3 - DNSSEC Hashed Authenticated Denial of Existence
RFC 5155
Soluciona o problema do “Zone Walking”
Substitui o record NSEC pelo record NSEC3
Consiste na sequencia de hashes dos nomes da zona
COM.BR e NET.BR
67 / 123
![Page 72: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/72.jpg)
Funcionamento
RRsets sao assinados com a chave privada da zona, gerandoRRSIGs
Chave publica e usada para verificar a assinatura (RRSIG) dosRRsets
Autenticidade da chave e verificada pelo record DS assinado nazona pai (hash da chave publica da zona filha)
NSEC fornece prova de nao existencia
68 / 123
![Page 73: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/73.jpg)
DNSSEC nao e PKI
Nao existem Certificados(Certification Authority, Service Level Agreement, Certificate Revogation List)
Chaves nunca expiram
Assinaturas tem prazo de validade(inception e expiration do RRSIG)
Polıticas das chaves sao locais a zona
69 / 123
![Page 74: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/74.jpg)
Servidor Recursivo
Para habilitar um servidor recursivo com DNSSEC e necessarioancorar uma chave publica, que servira como inıcio da cadeia deconfianca.
Obtendo a chave da zona “.” (raiz)
https://registro.br/dominio/root-anchor.html
70 / 123
![Page 75: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/75.jpg)
Exemplo
O resolver recursivo japossui a chave publicada zona “.” (raiz)ancorada
71 / 123
![Page 76: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/76.jpg)
Exemplo
72 / 123
![Page 77: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/77.jpg)
Exemplo
73 / 123
![Page 78: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/78.jpg)
Exemplo
Compara a chaveancorada com aDNSKEY, caso sejavalida continua com asrequisicoes
74 / 123
![Page 79: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/79.jpg)
Exemplo
75 / 123
![Page 80: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/80.jpg)
Exemplo
Retorna sem resposta,mas com referenciapara “br”:
- NS de “br”- DS de “br”
- RRSIG do Record DS
76 / 123
![Page 81: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/81.jpg)
Exemplo
O servidor DNSrecursivo utiliza aDNSKEY para checara assinatura (RRSIG)do Record DS
77 / 123
![Page 82: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/82.jpg)
Exemplo
78 / 123
![Page 83: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/83.jpg)
Exemplo
O servidor DNSresponde enviandoDNSKEY e o RRSIG
79 / 123
![Page 84: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/84.jpg)
Exemplo
O servidor DNSrecursivo verifica,atraves do DS, se aDNSKEY e valida.
80 / 123
![Page 85: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/85.jpg)
Exemplo
81 / 123
![Page 86: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/86.jpg)
Exemplo
Retorna sem resposta,mas com referencia“foo.eng.br”:
- NS de “foo.eng.br”- DS de “foo.eng.br”
- RRSIG do Record DS
82 / 123
![Page 87: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/87.jpg)
Exemplo
O servidor DNSrecursivo utiliza aDNSKEY para checara assinatura (RRSIG)do Record DS
83 / 123
![Page 88: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/88.jpg)
Exemplo
84 / 123
![Page 89: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/89.jpg)
Exemplo
85 / 123
![Page 90: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/90.jpg)
Exemplo
O servidor DNSrecursivo verifica,atraves do DS, se aDNSKEY e valida.
86 / 123
![Page 91: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/91.jpg)
Exemplo
Resolver
Servidor DNS
Recursivo
Servidor DNS
Autoritativo
Servidor DNS
Autoritativo
Servidor DNS
Autoritativo
exem
plo
.foo.e
ng.b
r ?
exemplo.fo
o.eng.br ?
Refere
ncia se
rvidore
s .br
exemplo.foo.eng.br ?
Referencia servidores foo.eng.br
exemplo.foo.eng.br ?
Autoritativo sobre o FOO.ENG.BR
e TUTORIAL.FOO.ENG.BR
87 / 123
![Page 92: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/92.jpg)
Exemplo
Resolver
Servidor DNS
Recursivo
Servidor DNS
Autoritativo
Servidor DNS
Autoritativo
Servidor DNS
Autoritativo
exem
plo
.foo.e
ng.b
r ?
exemplo.fo
o.eng.br ?
Refere
ncia se
rvidore
s .br
exemplo.foo.eng.br ?
Referencia servidores foo.eng.br
exemplo.foo.eng.br ?
200.160.10.251
Autoritativo sobre o FOO.ENG.BR
e TUTORIAL.FOO.ENG.BR
Retorna o Record A esua assinatura RRSIG.
88 / 123
![Page 93: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/93.jpg)
Exemplo
Resolver
Servidor DNS
Recursivo
Servidor DNS
Autoritativo
Servidor DNS
Autoritativo
Servidor DNS
Autoritativo
exem
plo
.foo.e
ng.b
r ?
exemplo.fo
o.eng.br ?
Refere
ncia se
rvidore
s .br
exemplo.foo.eng.br ?
Referencia servidores foo.eng.br
exemplo.foo.eng.br ?
200.160.10.251
Autoritativo sobre o FOO.ENG.BR
e TUTORIAL.FOO.ENG.BR
O servidor DNSrecursivo utiliza aDNSKEY para checara assinatura (RRSIG)do Record A
89 / 123
![Page 94: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/94.jpg)
Exemplo
90 / 123
![Page 95: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/95.jpg)
EDNS0 (RFC 2671)
Outra extensao ao protocolo DNS
Distingue quem suporta DNSSEC
Possibilita mensagens DNS UDP maiores que 512 bytes◮ Mensagens DNSSEC sao bem maiores
Lembrete
E necessario que o transporte TCP tambem esteja habilitado no servidor.
91 / 123
![Page 96: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/96.jpg)
Alguns cuidados
Configuracao de Firewall
O firewall deve ser capaz de tratar corretamente fragmentos UDP.
92 / 123
![Page 97: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/97.jpg)
Alguns cuidados
Configuracao de Firewall
O firewall deve ser capaz de tratar corretamente fragmentos UDP.
Caso isto nao seja possıvel, uma alternativa e configurar o servidor paratrabalhar com pacotes UDP menores que o MTU da rede.
options {edns-udp-size 1252; # Servidores recursivos
max-udp-size 1252; # Servidores recursivos e autoritativos
};
1252 e apenas uma sugestao, este valor deve refletir as configuracoes de Firewall.
Recomendacao
Firewalls e DNS, como e porque configurar corretamenteftp://ftp.registro.br/pub/doc/dns-fw.pdf
92 / 123
![Page 98: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/98.jpg)
DNS vs DNSSECDiferencas entre uma requisicao DNS e uma requisicao DNSSEC:
8 Pacotes − X Bytes 12 Pacotes ± 6X Bytesa
aDiferenca proporcional ao tamanho da chave
93 / 123
![Page 99: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/99.jpg)
SoftwaresCompatibilidade DNSSEC
Autoritativo Recursivo DNSSEC bisa NSEC3b RFC 5011 TSIG IPv6
ANS√ √ √ √
BIND√ √ √ √
c√ √ √
djbdns√ √ √
DNSSHIM√ √ √ √
IPControl√ √ √ √ √
IPM DNS√ √ √ √ √
MaraDNS√ √
Microsoft DNS√ √ √
d√ √
NSD√ √ √ √ √ √
PowerDNS√ √ √
Unbound√ √ √ √ √
Vantio√ √ √ √
VitalQIP√ √ √ √
aVersao atual do protocolo
bServidores recursivos devem(!) ter suporte a NSEC3 para pleno funcionamento com DNSSEC
cSuporte a partir da versao 9.6.0
dSuporte a partir da versao Windows Server 2008 R2 ou Windows 7
94 / 123
![Page 100: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/100.jpg)
SoftwaresDNSSHIM - DNS Secure Hidden Master
http://registro.br/dnsshim/
Open-Source
Automatiza o processo de provisionamento de zonas
Suporte a DNSSEC
Interface Automatizavel
Manutencao de chaves/assinaturas
Publico Alvo
Provedores de hospedagem ou qualquer outra instituicao responsavel poradministrar servidores DNS autoritativos para muitas zonas
95 / 123
![Page 101: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/101.jpg)
SoftwaresDNSSHIM - DNS Secure Hidden Master
96 / 123
![Page 102: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/102.jpg)
Parte III
Utilizando DNSSEC na Pratica
97 / 123
![Page 103: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/103.jpg)
DNSSEC no Servidor Autoritativo
DNSSEC no Servidor Autoritativo
98 / 123
![Page 104: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/104.jpg)
Passo 1 — Criacao de Chaves
Utilizacao do comando dnssec-keygen para geracao de chaves:$ dnssec-keygen -r /dev/urandom -f KSK dominio.com.br
Onde, dominio.com.br deve ser substituıdo pelo seu domınio.
- O comando ira gerar dois arquivos com extensoes .key e .private
Mais informacoes no Apendice III
99 / 123
![Page 105: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/105.jpg)
Passo 2 — Assinar o domınio (arquivo de zona)
Lembrete
Nao se esquecer de incrementar o serial do SOA da zona!
Utilizacao do comando dnssec-signzone para assinatura
$ dnssec-signzone -S -z -o dominio.com.br db.dominio.com.br
Onde, dominio.com.br deve ser substituıdo pelo nome do domınio edb.dominio.com.br pelo nome do arquivo de zona.
- O comando ira gerar um novo arquivo de zona com a extensao .signed
- O perıodo de validade padrao da assinatura e de 30 dias
Mais informacoes no Apendice IV
100 / 123
![Page 106: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/106.jpg)
Passo 3 — Atualizacao do named.conf
Alteracao da referencia para o arquivo de zona
zone "dominio.com.br" {type master;
file "/etc/namedb/db.dominio.com.br.signed";
...
};
Onde, dominio.com.br deve ser substituıdo pelo nome do domınio edb.dominio.com.br deve ser substituıdo pelo nome do arquivo de zona.
101 / 123
![Page 107: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/107.jpg)
Passo 4 — Reiniciar o Bind
Reiniciar o Bind
102 / 123
![Page 108: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/108.jpg)
Passo 5 — Adicionar o DS no site do Registro.br
Copiar os dados de KeyTag e Digest do arquivo dsset-dominio.com.br para a
interface no site do Registro.br.
Exemplo: $ cat dsset-dominio.com.br.| head -1
KeyTag Digestdominio.com.br IN DS 15469 5 1 5EC0184678E0B7DC3AACFFA5D0EB9DBA1F3F6C37
- Onde, dominio.com.br deve ser substituıdo pelo nome do domınio
103 / 123
![Page 109: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/109.jpg)
Passo 6 — Aguardar nova publicacao
Aguardar nova publicacao no site do Registro.br
104 / 123
![Page 110: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/110.jpg)
Roteiro — Configurar um Servidor Autoritativo
1 Criar chave (dnssec-keygen) (slide 121)
2 Assinar a zona (dnssec-signzone) (slide 123)
3 Modificar o named.conf (slide 106)
4 Reiniciar o BIND (named) no servidores Master
5 Adicionar o DS no site do Registro.br (slide 108)
6 Aguardar nova publicacao
105 / 123
![Page 111: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/111.jpg)
Informacoes Importantes
Servidor Autoritativo
Reassinar a zona antes das assinaturas expirarem
1 Incrementar o serial (record SOA) do arquivo de zona original
2 Reassinar a zona utilizando o comando dnssec-signzone
106 / 123
![Page 112: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/112.jpg)
DNSSEC no Servidor Recursivo
DNSSEC no Servidor Recursivo
107 / 123
![Page 113: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/113.jpg)
Passo 1 — Ancorar a chave da raiz
Obter a chave da raiz no formato do Bind
https://registro.br/dominio/root-anchor.html
named.confmanaged-keys {. initial-key 257 3 8
"AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
QxA+Uk1ihz0=";
};
...
108 / 123
![Page 114: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/114.jpg)
Passo 2 — Reiniciar o Bind
Reiniciar o Bind
109 / 123
![Page 115: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/115.jpg)
Referencias
RFC 2671Extension Mechanisms for DNS (EDNS0)
RFC 2845Secret Key Transaction Authentication for DNS (TSIG)
RFC 4033DNS Security Introduction and Requirements (DNSSEC-bis)
RFC 4034Resource Records for the DNS Security Extensions (DNSSEC-bis)
RFC 4035Protocol Modifications for the DNS Security Extensions (DNSSEC-bis)
RFC 4431The DNSSEC Lookaside Validation (DLV) DNS Resource Record
RFC 4470Minimally Covering NSEC Records and DNSSEC On-line Signing
RFC 4641DNSSEC Operational Practices
RFC 5155
DNSSEC Hashed Authenticated Denial of Existence
110 / 123
![Page 116: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/116.jpg)
Referencias◮ DNSSEC.NET
http://www.dnssec.net
◮ DNSSHIMhttp://www.registro.br/dnsshim
◮ Wikipedia - DNSSEChttp://pt.wikipedia.org/wiki/DNSSEC
◮ Wikipedia - Comparacao entre softwares de servidores DNShttp://en.wikipedia.org/wiki/Comparison of DNS server software
◮ Firewalls e DNS, como e porque configurar corretamenteftp://ftp.registro.br/pub/doc/dns-fw.pdf
◮ Recomendacoes para Evitar o Abuso de Servidores DNS Recursivos Abertoshttp://www.cert.br/docs/whitepapers/dns-recursivo-aberto
◮ FAQ - Registro.br (Perguntas Frequentes)http://registro.br/suporte/faq
◮ A ultima versao do tutorial de DNSSEC pode ser encontrada emftp://ftp.registro.br/pub/doc/tutorial-dnssec.pdf
◮ DNSSEC − Olaf Kolkman (RIPE NCC/NLnet Labs)
http://www.nlnetlabs.nl/dnssec howto
111 / 123
![Page 117: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/117.jpg)
Perguntas?Fim da Apresentacao
Referencias
112 / 123
![Page 118: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/118.jpg)
Obrigado!
113 / 123
![Page 119: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/119.jpg)
Apendice ISOA
Serial O numero de revisao do arquivo de zona. Esse numero aumentacada vez que um record e alterado na zona.
Refresh O tempo, em segundos, que um servidor DNS secundario esperaantes de consultar sua origem da zona para tentar renova-la.
Retry O tempo, em segundos, que um servidor secundario esperaantes de tentar novamente uma transferencia de zona falha.
Expire O tempo, em segundos, antes que o servidor secundario pare deresponder as consultas depois de transcorrido um intervalo deatualizacao no qual a zona nao foi renovada ou atualizada.
Minimum O menor tempo de vida (TTL) da zona e o intervalo maximopara armazenar respostas negativas em cache.
Exemplo Arquivo Zona
114 / 123
![Page 120: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/120.jpg)
Apendice IICNAME
O que e
Um alias para nomes alternativos
Funcionalidade
Mapeia um nome de domınio alternativo ou apelido no campo proprietario
para um canonico especificado no campo Nome Canonico
Problemas
Records MX, NS, CNAME, e SOA so devem se referir a um record A.
RRs referindo-se a um CNAME podem ocasionar problemas de buscase carga extra na rede.
Recomenda-se utilizar um RR A ao inves de CNAME.
Resource Records
115 / 123
![Page 121: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/121.jpg)
Apendice IIIDetalhes sobre o comando para geracao de chaves (1/2)
BIND: dnssec-keygenZona foo.eng.br:dnssec-keygen -f KSK -a RSASHA1 -b 2048 -n ZONE foo.eng.br
Onde,
-f : Define o tipo da chave
-a : Algoritmo
-b : Tamanho da chave (bits)
-n : Especifica o tipo de dono da chave
-r : Device de randomizacao
Em determinados ambientes, onde a geracao de chaves demorar muito pode ser necessarioespecificar o device de randomizacao, como por exemplo: “-r /dev/urandom”
OBS1: Guardar o nome das chaves geradas para ser usado futuramente.
OBS2: Chaves geradas com dnssec-keygen nao possuem passphrase.
Exemplo de Tamanho de chavesBR: 1280 bits
116 / 123
![Page 122: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/122.jpg)
Apendice IIIExemplo dos arquivos de chave (2/2)
Chave publica (.key)foo.eng.br. IN DNSKEY 257 3 5 AwEAAdDaICi4nCQX+dC+kkGlGmi7+Pjww4O5WYZtt+oe1RG329H2+k0Y XhYiZx7tLULD8Fn3DtBC
hGTeFND+gCBj0vFS9MEjxHIkD2gtt3fFIbqN /sQIHDjNGr1M6aFngKxWTENWqkl71hT9jOEvzsLOD+deFDge4sDF5qOQ 4D8njiqIIqDsU
kt3I1cJoFtP9k9RPIijxWdILWuKgh7nEvKpX7eOEuXO YK1W88Av9ctpm3y6lzbsWC0K4OIl7nGTB+qMCbt/ZdYMwcaVuTBHQpEUKNVuq3m
FGj1MxwtadBimmqq+YhleGzn21x0CYmsStwNUAWcb/H9Sqg0G F3CVcH0t86k=
Chave privada (.private)Private-key-format: v1.2
Algorithm: 5 (RSASHA1)
Modulus: 0NogKLicJBf50L6SQaUaaLv4+PDDg7lZhm236h7VEbfb0fb6TRheFiJnHu0tQsPwWfcO0EKEZN4U0P6AIGPS8VL0wSPEciQPaC
23d8Uhuo3+xAgcOM0avUzpoWeArFZMQ1aqSXvWFP2M4S/Ows4P514UOB7iwMXmo5DgPyeOKogioOxSS3cjVwmgW0/2T1E8iKPFZ0gta4qCH
ucS8qlft44S5c5grVbzwC/1y2mbfLqXNuxYLQrg4iXucZMH6owJu39l1gzBxpW5MEdCkRQo1W6reYUaPUzHC1p0GKaaqr5iGV4bOfbXHQJi
axK3A1QBZxv8f1KqDQYXcJVwfS3zqQ==
. . .
OBS
Antes de assinar a zona incremente o serial do record SOA para que ocorraa sincronizacao com os servidores secundarios.
117 / 123
![Page 123: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/123.jpg)
Apendice IVDetalhes sobre o comando para assinar zona
Ao se assinar a zona sao gerados os records RRSIG e NSEC que ficarA£o ordenados de formacanonica dentro do arquivo de zona.
BIND: dnssec-signzone
Zona foo.eng.br:$ dnssec-signzone -S -z db.foo
Onde,
-S : Assinatura inteligente - busca as chaves da zona e determina como estas utilizadas
-z : Ignora o bit SEP da chave e assina toda a zona
-e : Data de expiracao das assinaturas (formato AAAAMMDDHHMMSS) - Se naoinformado e considerado 30 dias
o ultimo parametro se refere ao arquivo de zona
Geracao de records DSNo momento em que se assina uma zona e gerado um arquivo contendo o Records DS que serautilizado para as delegacoes.− o arquivo gerado neste exemplo: dsset-foo.eng.br.
118 / 123
![Page 124: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/124.jpg)
Apendice VConceito de Chaves (1/2)
Por que existem dois tipos de chave?
Permite substituir uma chave de uso frequente (ZSK) sem ter a necessidadede modificar o DS do parent (hash da KSK)
Permite criar uma chave de tamanho menor para criar assinaturas menores
Key Signing Key (KSK)
As chaves utilizadas para assinar as chaves da zona. Assinam apenas os RRsetsdo tipo DNSKEY − possui o flag bit SEP ligado
Zone Signing Key (ZSK)
As chaves utilizadas para assinar RRsets da zona sobre o qual tem autoridade
119 / 123
![Page 125: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/125.jpg)
Apendice VConceito de Chaves (2/2)
Lembrete
O record DNSKEY pode armazenar tanto a chave publica de uma KSKquanto de uma ZSK
O record RRSIG armazena a assinatura de um RRset realizada tanto poruma KSK quanto por uma ZSK
120 / 123
![Page 126: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/126.jpg)
Apendice VConceito de Chaves (2/2)
Lembrete
O record DNSKEY pode armazenar tanto a chave publica de uma KSKquanto de uma ZSK
O record RRSIG armazena a assinatura de um RRset realizada tanto poruma KSK quanto por uma ZSK
Trabalhando com uma unica chave!
Entretanto e aconselhavel a utilizacao de somente uma unica chave.Mais informacoes sobre como proceder no slide 123.
120 / 123
![Page 127: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/127.jpg)
Apendice VIInclusao dos Records DS das delegacoes
Caso existam zonas delegadas que utilizem DNSSSEC dentro do seudomınio, os Records DS destas zonas devem ser adicionados no arquivo
de zona
ExemploSHA1 tutorial.foo.eng.br. IN DS 3112 5 1 386B4390C5B30DB65D74EA8B660978077171948C
SHA256 tutorial.foo.eng.br. IN DS 3112 5 2
19602F6089F8877E037AA077B8376F30869E261EB55460F2A74E32AD1424F53A
foo.eng.br IN SOA ns1.foo.eng.br. hostmaster.foo.eng.br. (
3 ; serial
3600 ; refresh (1 hour)
3600 ; retry (1 hour)
3600 ; expire (1 hour)
900 ; minimum (15 minutes)
)
foo.eng.br. IN NS ns1.foo.eng.br.
foo.eng.br. IN NS ns2.foo.eng.br.
...tutorial.foo.eng.br. IN DS 3112 5 1 386B4390C5B30DB65D74EA8B660978077171948C
OBS
A zona deve ser re-assinada apos incluir o record DS121 / 123
![Page 128: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/128.jpg)
Apendice VIIBind no Windows
BIND no Windows
Faca o download da ultima versao do BIND em http://www.isc.org
Descompacte o arquivo ZIP e execute o programa BINDInstall.exe
Apos a instalacao, acesse os Servicos (ferramentas administrativas) einicie o servico “ISC BIND”
Erro ao iniciar o servico ISC BIND
Acesse a propriedade do servico, e na aba “Log On” selecione a opcao“Local System account”
122 / 123
![Page 129: Tutorial DNSSEC 1 · Publica¸c˜ao DNS As altera¸c˜oes feitas nos servidores DNS n˜ao s˜ao efetivadas imediatamente. Publicac¸˜oes DNS fazem com essas altera¸c˜oes sejam](https://reader036.vdocuments.net/reader036/viewer/2022070822/5f2471036276b078d338417b/html5/thumbnails/129.jpg)
Apendice VIIBind no Windows
BIND no WindowsO BIND no Windows funciona da mesma forma que no Linux, sendo que os arquivos ficam localizados em locais diferentes.
Os arquivos de configuracao estao localizados em c:\windows\system32\dns\etc
Os executaveis (named, dig) estao localizados em c:\windows\system32\dns\bin
123 / 123