DNSSEC (Português)

From ArchWiki
Jump to: navigation, search
Status de tradução: Esse artigo é uma tradução de DNSSEC. Data da última tradução: 2018-08-24. Você pode ajudar a sincronizar a tradução, se houver alterações na versão em inglês.

Do artigo do Wikipédia sobre o DNSSEC:

As Extensões de Segurança do Sistema de Nomes de Domínio ou, em inglês Domain Name System Security Extensions (DNSSEC), são um conjunto de especificações da IETF (Internet Engineering Task Force) para proteger certos tipos de informações fornecidas pelo Sistema de Nomes de Domínio (DNS), conforme usado em redes IP (Internet Protocol). É um conjunto de extensões para o DNS que fornecem aos clientes DNS (resolvedores ou resolvers) autenticação de origem de dados DNS, negação de existência autenticada e integridade de dados, mas não disponibilidade ou confidencialidade.

Validação básica de DNSSEC

Nota: É necessária uma configuração adicional para as suas lookups de DNS DNSSEC por padrão. Veja #Instalar um servidor recursivo de validação compatível com DNSSEC e #Habilitar DNSSEC em um software específico.

Instalação

A ferramenta drill pode ser usada para validação básica de DNSSEC. Para usar o drill, instale o pacote ldns.

Consulta com validação DNSSEC

Então, para consultar com validação DNSSEC, use a opção -D:

$ drill -D exemplo.com

Testando

Como um teste, use os seguintes domínios, adicionando a opção -T, que rastreia dos servidores raiz descendo até o domínio sendo resolvido:

$ drill -DT sigfail.verteiltesysteme.net

O resultado deve terminar com as seguintes linhas, indicando que a assinatura DNSSEC é falsa (bogus):

[B] sigfail.verteiltesysteme.net.       60      IN      A       134.91.78.139
;; Error: Bogus DNSSEC signature
;;[S] self sig OK; [B] bogus; [T] trusted

Agora, para testar uma assinatura confiável:

$ drill -DT sigok.verteiltesysteme.net

O resultado deve terminar com as seguintes linhas, indicando que a assinatura é confiável:

[T] sigok.verteiltesysteme.net. 60      IN      A       134.91.78.139
;;[S] self sig OK; [B] bogus; [T] trusted

Instalar um servidor recursivo de validação compatível com DNSSEC

Para usar o DNSSEC em todo o sistema, você pode usar um resolvedor recursivo de validação que seja compatível com DNSSEC, para que todas as pesquisas de DNS passem pelo resolvedor recursivo. Veja Resolução de nome de domínio#Resolvedores para as opções disponíveis. Observe que cada um requer opções específicas para ativar seu recurso de validação do DNSSEC.

Se você tentar visitar um site com um endereço IP falso (spoofed), o resolvedor de validação impedirá que você receba os dados DNS inválidos e seu navegador (ou outro aplicativo) será informado de que não existe esse host. Como todas as pesquisas de DNS passam pelo resolvedor de validação, você não precisa de um software que tenha suporte a DNSSEC integrado ao usar essa opção.

Habilitar DNSSEC em um software específico

Se você optar por não #Instalar um servidor recursivo de validação compatível com DNSSEC, será necessário usar o software que possui suporte a DNSSEC integrado para usar seus recursos. Muitas vezes isso significa que você deve corrigir o software sozinho. Uma lista de vários aplicativos corrigidos é encontrada aqui. Além disso, alguns navegadores web têm extensões ou complementos que podem ser instalados para implementar o DNSSEC sem corrigir o programa.

Hardware de DNSSEC

Você pode verificar se o seu roteador, modem, AP, etc. suporta DNSSEC (muitos recursos diferentes) usando dnssec-tester (aplicativo baseado em Python e GTK+) para saber se é compatível com DNSSEC, e usando essa ferramenta você também pode enviar dados coletados para um servidor, para que outros usuários e fabricantes possam ser informados sobre a compatibilidade de seus dispositivos e, eventualmente, consertar o firmware (eles provavelmente serão encorajados a fazê-lo). (Antes de executar o dnssec-tester, certifique-se de que você não possui nenhum outro servidor de nomes em /etc/resolv.conf). Você também pode encontrar os resultados dos testes realizados no site dnssec-tester.

Veja também