DNSSEC (Português)
Do artigo do Wikipédia sobre o DNSSEC:
- As Extensões de Segurança do Sistema de Nomes de Domínio ou, em inglês Domain Name System Security Extensions (DNSSEC), são um conjunto de especificações da IETF (Internet Engineering Task Force) para proteger certos tipos de informações fornecidas pelo Sistema de Nomes de Domínio (DNS), conforme usado em redes IP (Internet Protocol). É um conjunto de extensões para o DNS que fornecem aos clientes DNS (resolvedores ou resolvers) autenticação de origem de dados DNS, negação de existência autenticada e integridade de dados, mas não disponibilidade ou confidencialidade.
Validação básica de DNSSEC
Instalação
A ferramenta drill pode ser usada para validação básica de DNSSEC. Para usar o drill, instale o pacote ldns.
Para outras ferramentas disponíveis, veja Resolução de nome de domínio#Utilitários de pesquisa.
Consulta com validação DNSSEC
Então, para consultar com validação DNSSEC, use a opção -D
:
$ drill -D exemplo.com
Testando
Como um teste, use os seguintes domínios, adicionando a opção -T
, que rastreia dos servidores raiz descendo até o domínio sendo resolvido:
$ drill -DT sigfail.verteiltesysteme.net
O resultado deve terminar com as seguintes linhas, indicando que a assinatura DNSSEC é falsa (bogus):
[B] sigfail.verteiltesysteme.net. 60 IN A 134.91.78.139 ;; Error: Bogus DNSSEC signature ;;[S] self sig OK; [B] bogus; [T] trusted
Agora, para testar uma assinatura confiável:
$ drill -DT sigok.verteiltesysteme.net
O resultado deve terminar com as seguintes linhas, indicando que a assinatura é confiável:
[T] sigok.verteiltesysteme.net. 60 IN A 134.91.78.139 ;;[S] self sig OK; [B] bogus; [T] trusted
Instalar um resolvedor de validação de DNSSEC
Para usar o DNSSEC em todo o sistema, você pode usar um resolvedor de DNS que seja capaz de validar registros de DNSSEC, para que todas as pesquisas de DNS passem por ele. Veja Resolução de nome de domínio#Servidores DNS para as opções disponíveis. Observe que cada um requer opções específicas para ativar seu recurso de validação do DNSSEC.
Se você tentar visitar um site com um endereço IP falso (spoofed), o resolvedor de validação impedirá que você receba os dados DNS inválidos e seu navegador (ou outro aplicativo) será informado de que não existe esse host. Como todas as pesquisas de DNS passam pelo resolvedor de validação, você não precisa de um software que tenha suporte a DNSSEC integrado ao usar essa opção.
Habilitar DNSSEC em um software específico
Se você optar por não #Instalar um resolvedor de validação de DNSSEC, será necessário usar o software que possui suporte a DNSSEC integrado para usar seus recursos. Muitas vezes isso significa que você deve corrigir o software sozinho. Uma lista de vários aplicativos corrigidos é encontrada aqui. Além disso, alguns navegadores web têm extensões ou complementos que podem ser instalados para implementar o DNSSEC sem corrigir o programa.
Veja também
- DNSSEC Resolver Test - um teste simples para ver se você tem DNSSEC implementado em sua máquina.
- DNSSEC-Tools
- DNSSEC Visualizer - uma ferramenta para visualizar o status de uma zona de DNS.
- RedHat: Securing DNS Traffic with DNSSEC - Artigo completo sobre a implementação do DNSSEC com unbound. Note que algumas ferramentas são específicas do RedHat e não são encontradas no Arch Linux.
- DNSSEC no Wikipedia em inglês e em português