View
215
Download
0
Category
Preview:
Citation preview
DNSSECErika Medeiros
DNS – Domain Name System O Sistema de Nomes de Domínio é um
banco de dados distribuido. Isso permite um controle local dos
segmentos do banco de dados global: Arquitetura hierárquica, dados dispostos em uma
arvore invertida Distribuida eficientemente, sistema
descentralizado e com cache O principal propósito e a resolução de nomes de
domínio em enderecos IP e vice-versa
DNS – Domain Name System
Hierarquia
Hierarquia Cada ponto da árvore de DNS é representada por
muitos computadores. Um nome de domínio é lido da direita para a
esquerda; Existem os domínios primários (chamados de top
level domains, ou TLD's), como .com, .net, .info, .cc, .biz, etc.
Existem os domínios secundários (country code TLD's, ou ccTLD's), que recebem o prefixo de cada país, como .com.br ou .net.br.
Nesse caso, o "com" é um subdomínio do domínio "br".
Hierarquia
Domínio x Zona Zona armazena todos os dados a qual ela
tem autoridade; Um domínio armazena a zona e todos os
seus subdomínios; Cada subdomínio tem sua própria zona;
Delegação
Como fazer parte da árvore DNS? Precisa-se registrar o domínio; Reserva o direito da pessoa física ou jurídica
sobre um determinado nome de endereço na Internet.
Domínios não registrados não podem ser encontrados na Internet.
Formas de Registro
Exercício Visitar o site
http://www.domaintools.com/internet-statistics/ Checar as estatísticas
Top Level Domain Para registrar um domínio TLD basta
escolher uma empresa de registro e pagar; Os registrars TLD reconhecidos pelo ICANN
podem ser encontrados em
http://www.icann.org/en/registrars/accredited-list.html
Domain Parking Uma prática muito comum é registrar domínios em
que se tenha interesse, mas que não pretenda usar de imediato;
Mostra-se uma página genérica, contendo um "em construção" ou alguns links de anúncios;
Esta prática é chamada de "domain parking" (reserva de domínios, ou estacionamento de domínios)
Sai mais barato registrar um domínio antecipadamente do que ter que disputá-lo mais tarde;
Cybersquatting Existem também casos de registros de
domínios contendo: Marcas; Palavras similares a marcas;
O objetivo é enganar os visitantes (encaminhando-os a outras páginas) e/ou lesar ou extorquir os proprietários da marca;
Esta prática é ilegal na maioria dos países, incluindo o Brasil.
UDRP - Uniform Domain-Name Dispute-Resolution Policy Serve para TLD; É possível disputar a posse de um domínio
registrado; Esse processo se aplica em casos em que a
empresa é detentora de uma marca registrada, ou é proprietária de um site que esteja sendo lesado por um domínio similar, registrado com o propósito de roubar visitantes;
Detalhes em: http://www.icann.org/udrp/udrp.htm
Como disputar domínios ccTLD? Os ccTLDs são os domínios com código de país; São responsabilidade de entidades separadas; O processo para disputa da posse do domínio varia; Algumas entidades aceitam a aplicação do UDRP; Outras entidades aplicam conjuntos particulares de
regras; Outras entidades simplesmente não possuem uma
política definida, se limitando a acatar decisões judiciais.
Em que categoria está o Registro.br? O Registro.br ainda faz parte da terceira
categoria; Mas, existem negociações com relação à
adoção do UDRP; Pode-se ver algumas cartas trocadas entre
os responsáveis pelo Registro.br e a ICANN, disponíveis no: http://www.icann.org/cctlds/br/br-icann-letters-10may07.pdf
Publicação
Publicação
Resource Records Os dados associados com os nomes de
domnio estão contidos em Resource Records ou RRs (Registro de Recursos);
São divididos em classes e tipos;
Classes do RR IN – Internet CH (Chaos Network) – Rede antiga HS - MIT
Tipos de RR Atualmente existe uma grande variedade de
tipos; O conjunto de resource records com o
mesmo nome de domínio, classe e tipo e denominado RRset;
Tipos de RR
Tipo SOA Guarda a versão da atualização da Zona; Numa zona existem vários computadores:
Computador primário; Computadores secundários (guardam cópias dos
computadores primários); É através do incremento do SOA que os
computadores secundários sabem que houve mudanças no computador primário;
Tipo NS Guarda os endereços de todos os servidores; Os servidores estão na própria zona; Ou os servidores estão na delegação logo
abaixo dele;
Exemplo de um arquivo de zona
NOME DE DOMÍNIOIN - INTERNET
INFORMAÇÕES PARA OS SERVIDORES SECUNDÁRIOS
SERIAL – VERSÃO SOAREFRESH – DE QUANTO EM QUANTO TEMPO O SERVIDORSECUNDÁRIO TEM QUE PERGUNTAR AO PRIMÁRIO A SUA VERSÃOCOM FINS DE SE ATUALIZAR
RETRY – CASO O SERVIDOR PRIMÁRIO ESTEJA OFF, EM QUANTO TEMPO O SERVIDOR SECUNDÁRIO VAI TENTAR NOVA CONEXÃO,PARA FINS DE SE ATUALIZAR.
EXPIRE – CASO O RETRY FALHE, POR QUANTO TEMPO OS DADOS DO DNS AINDA SERÃO VÁLIDOS EM REQUISIÇÕES CLIENTES;
TTL Minimum – TEMPO DE VIDA NOS SERVIDORES RECURSIVOS;
TTL – Tempo de Vida As informações do cache são armazenadas
por um determinado período de tempo através de um parâmetro conhecido por TTL (Time-to-Live).
Utilizado para evitar que as informações gravadas se tornem desatualizadas.
O período de tempo do TTL varia conforme o servidor e administrador;
Onde fica fisicamento o arquivo de zona? Nos servidores autoritativos; Servidores autoritativos são:
Servidor Master Servidor Slave
Tipos de Servidores
Exemplo de requisição de endereço
Fluxo de Dados Atualizações – Referentes a Zona Requisições
Fluxo de Dados
Atualizações de Zona Atualizações estáticas
Pára o servidor Recebe o arquivo da Zona
Atualizações dinâmicas Não pára o servidor
Comunicação entre Master/Slave AXFR
Master passa todas as informações que ele tem para o servidor Slave
IXFR Master checa o SOA dos Slaves; Manda apenas as modificações desde a última
atualização;
Vulnerabilidades
Vulnerabilidades nas atualizações Hoje não existe autenticidade; Pode haver atualizações indevidas;
Ambientes Propícios Ethernet Ethernet Wireless (802.11)
Vulnerabilidades nas requisições
Exemplo do Man-in-the-Middle
Cenário – Cache Poisoning O servidor recursivo é também servidor de
cache; Isto significa que se uma estação solicitar um
IP para um endereço, a resposta pode estar na cache;
Porém, eventualmente a entrada da cache expira;
Cenário – Cache Poisoning Quando o servidor recursivo precisa enviar
uma consulta, o atacante “ganha” o servidor autoritativo;
O objetivo é forjar uma resposta e enviá-la ao servidor recursivo;
Se a resposta do atacante chegar ao servidor recursivo, antes da resposta verdadeira e o atacante conseguir o ID da consulta, o servidor recursivo irá fazer cache da informação.
Como realizar o ataque? (Tipo I)
A consulta do servidor recursivo ao servidor autoritativo gera um ID da transação;
A resposta terá o mesmo ID; O ID da transação é um número entre 0 e
65.535; Quanto mais tentativas de ataque, maior a
chance de haver um match com ID da transação;
Como realizar o ataque? (Tipo II) Pode-se fazer um flooding no servidor
recursivo, tornando-o vulnerável; O atacante envia inúmeras requisições falsas
ao servidor recursivo, com a certeza que este não possui as informações;
Por exemplo, qual o IP para o endereço qqq.richbank.com?
Como realizar o ataque?(Tipo II) O procedimento irá forçar o servidor
recursivo a enviar solicitações ao servidor autoritativo;
As solicitações podem ser interceptadas; Uma resposta possível do atacante, seria
enviar ao servidor recursivo que não tem a informação requisitada mas um servidor autoritativo fake deve ter;
Soluções para vulnerabilidade de requisições e atualizações
TSIG Os servidores distribuem a mesma chave
simétrica para os servidores que vão fazer as atualizações;
Desta forma eles assinam o trafégo de atualização;
DNSSEC Domain Name System SECurity extensions Extensão da tecnologia DNS O que existia continua a funcionar Possibilita maior segurança para o usuário
na Internet Corrige falhas do DNS Atualmente na versão denominada DNSSEC
bis com opcional NSEC3
DNSSEC Suas vericações ocorrem antes de diversas
aplicações de seguranca (SSL, SSH, PGP, etc...)
Garantias do DNSSEC
Quem pode utilizar o DNSSEC Dominios abaixo do .br; b.br – Domínios para bancos eng.br gov.br eti.br blog.br
Não utilizarão o DNSSEC gov.br com.br
Chaves Assimétricas Cada zona segura requer um par de chaves; A chave privada da zona estará armazenada
em algum lugar seguro; A chave pública da zona é o DNSKEY record
e está associada ao domínio da zona; As chaves serão usadas para os processos
de autenticação do DNS;
Chaves assimétricas
Chaves assimétricas
Novos tipos de RR para DNSSEC DNSKEY - Chave publica RRSIG - Assinatura do RRset (somente
registros com autoridade) DS - Delegation Signer (Ponteiro para a
cadeia de confiança) NSEC - Aponta para o próximo nome e
indica quais os tipos dos RRsets para o nome atual
Breve Resumo Uma zona assina seu RRset autoritativo
usando sua chave privada. Um resolver pode usar a chave pública da
zona, obtida através de uma query para o DNSKEY type;
DNSKEY
NOME DO DOMÍNIO A QUEM PERTENCE A CHAVE
TTL
CLASSE DO RR
RR TYPE256 implica que o DNSKEY contem a chave pública do DNS 0 implica que o DNS possui alguma outra chave3 é fixo – Compatibilidade com protocolos anteriores
Identifica o algoritmo de chave pública.
Algoritemos de chave pública DNSKey
Usando o Dig para encontrar informações acerca dos servidores Usar a aplicação WEB:
http://www.epideme.com/digger/
DIG
DEIXAR EM BRANCO
SELECIONAR
Prática – Tipo I
ROOT SERVERS
Exemplo Prático Obtendo o DNSKEY de ns1.dnssec-tools.org;
DNSKEY
RRSIG
RRSIG
Recommended