O que é segurança DNS?
As extensões de segurança do sistema de nomes de domínio (DNS) (DNSSEC) são um meio de proteger a Internet e seus usuários contra possíveis ataques que podem desativar ou dificultar o acesso aos serviços essenciais de nomenclatura na Internet. As extensões de segurança criam uma maneira de os servidores DNS continuarem fornecendo suas funções de conversão de endereço IP (protocolo de Internet), mas com a provisão adicional de que os servidores DNS se autenticam criando uma série de relacionamentos de confiança. Por meio das extensões, os dados compartilhados entre os servidores DNS também atingem um nível de integridade que normalmente é difícil para o protocolo existente pelo qual os dados são transferidos.
Originalmente, o DNS foi criado como uma distribuição pública não segura de nomes e seus endereços IP relacionados. À medida que a Internet cresceu, no entanto, vários problemas foram relacionados à segurança, privacidade e integridade dos dados do DNS. Com relação aos problemas de privacidade, o problema foi tratado desde o início pela configuração adequada dos servidores DNS. Ainda assim, é possível que um servidor DNS esteja sujeito a vários tipos diferentes de ataques, como DDoS (Denial of Service Distribuído) e ataques de estouro de buffer, que podem afetar qualquer tipo de servidor. Porém, específico ao DNS é o problema de alguma fonte externa envenenar os dados, introduzindo informações falsas.
O DNSSEC foi desenvolvido pela IETF (Internet Engineering Task Force) e detalhado em vários documentos de solicitação de comentários (RFC), 4033 a 4035. Esses documentos descrevem a segurança do DNS como alcançável através do uso de técnicas de autenticação de chave pública. Para aliviar o processamento nos servidores DNS, apenas as técnicas de autenticação são usadas, e não a criptografia.
O funcionamento do DNSSEC é através da criação de relações de confiança entre as diferentes camadas da hierarquia DNS. No nível superior, o domínio raiz do DNS é estabelecido como o principal intermediário entre os domínios inferiores, como .com, .org e assim por diante. Os subdomínios examinam o domínio raiz, agindo como um terceiro confiável, para validar a credibilidade dos outros, para que possam compartilhar dados DNS precisos entre si.
Um problema que aparece como resultado dos métodos descritos nas RFCs é chamado de enumeração de zona. Torna-se possível para uma fonte externa aprender a identidade de todos os computadores nomeados em uma rede. Alguma controvérsia se desenvolveu com a segurança do DNS e o problema de enumeração de zonas devido ao fato de que, embora o DNS não tenha sido originalmente projetado para privacidade, várias obrigações legais e governamentais exigem que os dados permaneçam privados. Um protocolo adicional, descrito na RFC 5155, descreve um meio de implementar registros de recursos adicionais no DNS que podem aliviar o problema, embora não o remova totalmente.
Outros problemas com a implementação da segurança do DNS giram em torno da compatibilidade com sistemas mais antigos. Os protocolos implementados devem ser universais e, portanto, entendidos por todos os computadores, servidores e clientes que usam a Internet. Como o DNSSEC é implementado por meio de extensões de software para o DNS, no entanto, surgiram algumas dificuldades em atualizar corretamente os sistemas mais antigos para dar suporte aos novos métodos. Ainda assim, a implantação dos métodos DNSSEC começou no nível raiz no final de 2009 e no início de 2010, e muitos sistemas operacionais de computadores modernos estão equipados com as extensões de segurança do DNS.