O que é a segurança do DNS?
O Sistema de Nome de Domínio (DNS) Extensões de Segurança (DNSSEC) são um meio de proteger a Internet e seus usuários de possíveis ataques que podem desativar ou dificultar o acesso aos serviços essenciais de nomeação na Internet. As extensões de segurança criam uma maneira de os servidores DNS continuarem fornecendo suas funções de tradução de endereço do protocolo da Internet (IP), mas com a provisão adicional de que os servidores DNS se autenticam, criando uma série de relações de confiança. Através das extensões, os dados compartilhados entre os servidores DNS também atingem um nível de integridade que normalmente é difícil para o protocolo existente pelo qual os dados são transferidos.
Originalmente, o DNS foi criado como uma distribuição pública não segura de nomes e seus endereços IP relacionados. À medida que a Internet crescia, no entanto, vários problemas desenvolvidos relacionados à segurança do DNS, privacidade e integridade dos dados do DNS. Com relação às questões de privacidade, o problema foi tratado desde o início por C apropriadoONFIGURAÇÃO dos servidores DNS. Ainda assim, é possível que um servidor DNS seja submetido a vários tipos diferentes de ataques, como a negação de serviço distribuída (DDOS) e ataques de transbordamento de buffer, que podem afetar qualquer tipo de servidor. Específico para o DNS, no entanto, é a questão de algumas fontes externas envenenando os dados introduzindo informações falsas.
DNSSEC foi desenvolvido pela Força -Tarefa de Engenharia da Internet (IETF) e detalhado em vários documentos de Comentário (RFC), 4033 a 4035. Esses documentos descrevem a segurança do DNS como alcançável através do uso de técnicas de autenticação de chave pública. Para aliviar o processamento nos servidores DNS, apenas as técnicas de autenticação são usadas e não a criptografia.
A maneira como o DNSSEC obra é através da criação de relações de confiança entre os diferentes níveis da hierarquia do DNS. No nível superior, o domínio raiz do DNS é estaBrinha como o principal intermediário entre os domínios inferiores, como .com, .org e assim por diante. Os subdomínios então olham para o domínio raiz, agindo como chamado de terceiros confiáveis, para validar a credibilidade dos outros para que eles possam compartilhar dados precisos de DNS entre si.
Uma questão que aparece como resultado dos métodos descritos nos RFCs é chamada de enumeração de zona. Torna -se possível para uma fonte externa aprender a identidade de cada computador nomeado em uma rede. Alguma controvérsia se desenvolveu com a segurança do DNS e o problema de enumeração da zona devido ao fato de que, embora o DNS não tenha sido originalmente projetado para privacidade, várias obrigações legais e governamentais exigem que os dados permaneçam privados. Um protocolo adicional, descrito no RFC 5155, descreve um meio de implementar registros de recursos adicionais no DNS que podem aliviar o problema, embora não o remova completamente.
Outros problemas com a implementação da segurança do DNS giram em torno do compatibility com sistemas mais antigos. Os protocolos implementados devem ser universais e, portanto, entendidos por todos os computadores, servidores e clientes, que estão usando a Internet. Como o DNSSEC é implementado por meio de extensões de software para o DNS, no entanto, surgiu alguma dificuldade em obter sistemas mais antigos atualizados adequadamente para apoiar os novos métodos. Ainda assim, a implantação dos métodos DNSSEC começou no nível da raiz no final de 2009 e no início de 2010, e muitos sistemas operacionais de computador modernos estão equipados com as extensões de segurança do DNS.