A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

DNSSEC Erika Medeiros. DNS – Domain Name System O Sistema de Nomes de Domínio é um banco de dados distribuido. Isso permite um controle local dos segmentos.

PublicouGabriella D’Souza Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "DNSSEC Erika Medeiros. DNS – Domain Name System O Sistema de Nomes de Domínio é um banco de dados distribuido. Isso permite um controle local dos segmentos."— Transcrição da apresentação:

1 DNSSEC Erika Medeiros

2 DNS – Domain Name System O Sistema de Nomes de Domínio é um banco de dados distribuido. Isso permite um controle local dos segmentos do banco de dados global: Arquitetura hierárquica, dados dispostos em uma arvore invertida Distribuida eficientemente, sistema descentralizado e com cache O principal propósito e a resolução de nomes de domínio em enderecos IP e vice-versa

3 DNS – Domain Name System

4 Hierarquia

5 Cada ponto da árvore de DNS é representada por muitos computadores. Um nome de domínio é lido da direita para a esquerda; Existem os domínios primários (chamados de top level domains, ou TLD's), como.com,.net,.info,.cc,.biz, etc. Existem os domínios secundários (country code TLD's, ou ccTLD's), que recebem o prefixo de cada país, como.com.br ou.net.br. Nesse caso, o "com" é um subdomínio do domínio "br".

6 Hierarquia

7 Domínio x Zona Zona armazena todos os dados a qual ela tem autoridade; Um domínio armazena a zona e todos os seus subdomínios; Cada subdomínio tem sua própria zona;

8 Delegação

9 Como fazer parte da árvore DNS? Precisa-se registrar o domínio; Reserva o direito da pessoa física ou jurídica sobre um determinado nome de endereço na Internet. Domínios não registrados não podem ser encontrados na Internet.

10 Formas de Registro

11 Exercício Visitar o site http://www.domaintools.com/internet-statistics/ Checar as estatísticas

12 Top Level Domain Para registrar um domínio TLD basta escolher uma empresa de registro e pagar; Os registrars TLD reconhecidos pelo ICANN podem ser encontrados em http://www.icann.org/en/registrars/accredited-list.html

13

14 Domain Parking Uma prática muito comum é registrar domínios em que se tenha interesse, mas que não pretenda usar de imediato; Mostra-se uma página genérica, contendo um "em construção" ou alguns links de anúncios; Esta prática é chamada de "domain parking" (reserva de domínios, ou estacionamento de domínios) Sai mais barato registrar um domínio antecipadamente do que ter que disputá-lo mais tarde;

15 Cybersquatting Existem também casos de registros de domínios contendo: Marcas; Palavras similares a marcas; O objetivo é enganar os visitantes (encaminhando-os a outras páginas) e/ou lesar ou extorquir os proprietários da marca; Esta prática é ilegal na maioria dos países, incluindo o Brasil.

16 UDRP - Uniform Domain-Name Dispute-Resolution Policy Serve para TLD; É possível disputar a posse de um domínio registrado; Esse processo se aplica em casos em que a empresa é detentora de uma marca registrada, ou é proprietária de um site que esteja sendo lesado por um domínio similar, registrado com o propósito de roubar visitantes; Detalhes em: http://www.icann.org/udrp/udrp.htm

17 Como disputar domínios ccTLD? Os ccTLDs são os domínios com código de país; São responsabilidade de entidades separadas; O processo para disputa da posse do domínio varia; Algumas entidades aceitam a aplicação do UDRP; Outras entidades aplicam conjuntos particulares de regras; Outras entidades simplesmente não possuem uma política definida, se limitando a acatar decisões judiciais.

18 Em que categoria está o Registro.br? O Registro.br ainda faz parte da terceira categoria; Mas, existem negociações com relação à adoção do UDRP; Pode-se ver algumas cartas trocadas entre os responsáveis pelo Registro.br e a ICANN, disponíveis no: http://www.icann.org/cctlds/br/br-icann- letters-10may07.pdf http://www.icann.org/cctlds/br/br-icann- letters-10may07.pdf

19 Publicação

20

21 Resource Records Os dados associados com os nomes de domnio estão contidos em Resource Records ou RRs (Registro de Recursos); São divididos em classes e tipos;

22 Classes do RR IN – Internet CH (Chaos Network) – Rede antiga HS - MIT

23 Tipos de RR Atualmente existe uma grande variedade de tipos; O conjunto de resource records com o mesmo nome de domínio, classe e tipo e denominado RRset;

24 Tipos de RR

25 Tipo SOA Guarda a versão da atualização da Zona; Numa zona existem vários computadores: Computador primário; Computadores secundários (guardam cópias dos computadores primários); É através do incremento do SOA que os computadores secundários sabem que houve mudanças no computador primário;

26 Tipo NS Guarda os endereços de todos os servidores; Os servidores estão na própria zona; Ou os servidores estão na delegação logo abaixo dele;

27 Exemplo de um arquivo de zona NOME DE DOMÍNIOIN - INTERNET INFORMAÇÕES PARA OS SERVIDORES SECUNDÁRIOS SERIAL – VERSÃO SOA REFRESH – DE QUANTO EM QUANTO TEMPO O SERVIDOR SECUNDÁRIO TEM QUE PERGUNTAR AO PRIMÁRIO A SUA VERSÃO COM FINS DE SE ATUALIZAR RETRY – CASO O SERVIDOR PRIMÁRIO ESTEJA OFF, EM QUANTO TEMPO O SERVIDOR SECUNDÁRIO VAI TENTAR NOVA CONEXÃO, PARA FINS DE SE ATUALIZAR. EXPIRE – CASO O RETRY FALHE, POR QUANTO TEMPO OS DADOS DO DNS AINDA SERÃO VÁLIDOS EM REQUISIÇÕES CLIENTES; TTL Minimum – TEMPO DE VIDA NOS SERVIDORES RECURSIVOS;

28 TTL – Tempo de Vida As informações do cache são armazenadas por um determinado período de tempo através de um parâmetro conhecido por TTL (Time-to-Live). Utilizado para evitar que as informações gravadas se tornem desatualizadas. O período de tempo do TTL varia conforme o servidor e administrador;

29 Onde fica fisicamento o arquivo de zona? Nos servidores autoritativos; Servidores autoritativos são: Servidor Master Servidor Slave

30 Tipos de Servidores

31 Exemplo de requisição de endereço

32 Fluxo de Dados Atualizações – Referentes a Zona Requisições

33 Fluxo de Dados

34 Atualizações de Zona Atualizações estáticas Pára o servidor Recebe o arquivo da Zona Atualizações dinâmicas Não pára o servidor

35 Comunicação entre Master/Slave AXFR Master passa todas as informações que ele tem para o servidor Slave IXFR Master checa o SOA dos Slaves; Manda apenas as modificações desde a última atualização;

36 Vulnerabilidades

37 Vulnerabilidades nas atualizações Hoje não existe autenticidade; Pode haver atualizações indevidas;

38 Ambientes Propícios Ethernet Ethernet Wireless (802.11)

39 Vulnerabilidades nas requisições

40 Exemplo do Man-in-the-Middle

41 Cenário – Cache Poisoning O servidor recursivo é também servidor de cache; Isto significa que se uma estação solicitar um IP para um endereço, a resposta pode estar na cache; Porém, eventualmente a entrada da cache expira;

42 Cenário – Cache Poisoning Quando o servidor recursivo precisa enviar uma consulta, o atacante “ganha” o servidor autoritativo; O objetivo é forjar uma resposta e enviá-la ao servidor recursivo; Se a resposta do atacante chegar ao servidor recursivo, antes da resposta verdadeira e o atacante conseguir o ID da consulta, o servidor recursivo irá fazer cache da informação.

43 Como realizar o ataque? (Tipo I) A consulta do servidor recursivo ao servidor autoritativo gera um ID da transação; A resposta terá o mesmo ID; O ID da transação é um número entre 0 e 65.535; Quanto mais tentativas de ataque, maior a chance de haver um match com ID da transação;

44 Como realizar o ataque? (Tipo II) Pode-se fazer um flooding no servidor recursivo, tornando-o vulnerável; O atacante envia inúmeras requisições falsas ao servidor recursivo, com a certeza que este não possui as informações; Por exemplo, qual o IP para o endereço qqq.richbank.com?

45 Como realizar o ataque? (Tipo II) O procedimento irá forçar o servidor recursivo a enviar solicitações ao servidor autoritativo; As solicitações podem ser interceptadas; Uma resposta possível do atacante, seria enviar ao servidor recursivo que não tem a informação requisitada mas um servidor autoritativo fake deve ter;

46 Soluções para vulnerabilidade de requisições e atualizações

47 TSIG Os servidores distribuem a mesma chave simétrica para os servidores que vão fazer as atualizações; Desta forma eles assinam o trafégo de atualização;

48 DNSSEC Domain Name System SECurity extensions Extensão da tecnologia DNS O que existia continua a funcionar Possibilita maior segurança para o usuário na Internet Corrige falhas do DNS Atualmente na versão denominada DNSSEC bis com opcional NSEC3

49 DNSSEC Suas vericações ocorrem antes de diversas aplicações de seguranca (SSL, SSH, PGP, etc...)

50 Garantias do DNSSEC

51 Quem pode utilizar o DNSSEC Dominios abaixo do.br; b.br – Domínios para bancos eng.br gov.br eti.br blog.br

52 Não utilizarão o DNSSEC gov.br com.br

53 Chaves Assimétricas Cada zona segura requer um par de chaves; A chave privada da zona estará armazenada em algum lugar seguro; A chave pública da zona é o DNSKEY record e está associada ao domínio da zona; As chaves serão usadas para os processos de autenticação do DNS;

54 Chaves assimétricas

55

56 Novos tipos de RR para DNSSEC DNSKEY - Chave publica RRSIG - Assinatura do RRset (somente registros com autoridade) DS - Delegation Signer (Ponteiro para a cadeia de confiança) NSEC - Aponta para o próximo nome e indica quais os tipos dos RRsets para o nome atual

57 Breve Resumo Uma zona assina seu RRset autoritativo usando sua chave privada. Um resolver pode usar a chave pública da zona, obtida através de uma query para o DNSKEY type;

58 DNSKEY NOME DO DOMÍNIO A QUEM PERTENCE A CHAVE TTL CLASSE DO RR RR TYPE 256 implica que o DNSKEY contem a chave pública do DNS 0 implica que o DNS possui alguma outra chave 3 é fixo – Compatibilidade com protocolos anteriores Identifica o algoritmo de chave pública.

59 Algoritemos de chave pública DNSKey

60 Usando o Dig para encontrar informações acerca dos servidores Usar a aplicação WEB: http://www.epideme.com/digger/

61 DIG DEIXAR EM BRANCO SELECIONAR

62 Prática – Tipo I ROOT SERVERS

63

64 Exemplo Prático Obtendo o DNSKEY de ns1.dnssec-tools.org;

65 DNSKEY

66 RRSIG

67

Carregar ppt "DNSSEC Erika Medeiros. DNS – Domain Name System O Sistema de Nomes de Domínio é um banco de dados distribuido. Isso permite um controle local dos segmentos."

Apresentações semelhantes

DNS Domain Name System.

DNS Domain Name System.
Servidor de DNS Profº Marcio Funes.

Servidor de DNS Profº Marcio Funes.
Aula 3 Sistema de Nomes de Domínios

Aula 3 Sistema de Nomes de Domínios
Rede Local Instalação de Software Base

Rede Local Instalação de Software Base
Bruno Rafael de Oliveira Rodrigues

Bruno Rafael de Oliveira Rodrigues
Curso Técnico de Informática

Curso Técnico de Informática
Configuração de um servidor DHCP

Configuração de um servidor DHCP
Configuração de um servidor DNS

Configuração de um servidor DNS
Disciplina: Gerência de Redes Profa. Ana Cristina Benso da Silva

Disciplina: Gerência de Redes Profa. Ana Cristina Benso da Silva
CPU – based DoS Attacks Against SIP Servers

CPU – based DoS Attacks Against SIP Servers
Curso Básico de DNS Domain Name System.

Curso Básico de DNS Domain Name System.
DNS Introdução.

DNS Introdução.
Esdras Degaspari Leite

Esdras Degaspari Leite
DNS Suporte - DI.

DNS Suporte - DI.
Redes Privadas Virtuais (VPN)

Redes Privadas Virtuais (VPN)
A grande rede mundial de computadores

A grande rede mundial de computadores
Sistemas Distribuídos

Sistemas Distribuídos
TCP/IP CAMADA DE APLICAÇÃO SERVIÇOS

TCP/IP CAMADA DE APLICAÇÃO SERVIÇOS
Modelo de Segurança para Ambientes Cooperativos

Modelo de Segurança para Ambientes Cooperativos
Redes de computadores Prof. António dos Anjos

Redes de computadores Prof. António dos Anjos

Apresentações semelhantes

Anúncios Google