DNSSEC Erika Medeiros. DNS – Domain Name System O Sistema de Nomes de Domínio é um banco de dados distribuido. Isso permite um controle local dos segmentos.

Slides:



Advertisements
Apresentações semelhantes
DNS Domain Name System.
Advertisements

Servidor de DNS Profº Marcio Funes.
Aula 3 Sistema de Nomes de Domínios
Rede Local Instalação de Software Base
Bruno Rafael de Oliveira Rodrigues
Curso Técnico de Informática
Configuração de um servidor DHCP
Configuração de um servidor DNS
Disciplina: Gerência de Redes Profa. Ana Cristina Benso da Silva
CPU – based DoS Attacks Against SIP Servers
Curso Básico de DNS Domain Name System.
DNS Introdução.
Esdras Degaspari Leite
DNS Suporte - DI.
Redes Privadas Virtuais (VPN)
A grande rede mundial de computadores
Sistemas Distribuídos
TCP/IP CAMADA DE APLICAÇÃO SERVIÇOS
Modelo de Segurança para Ambientes Cooperativos
Redes de computadores Prof. António dos Anjos
Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction.
Public Key Infrastructure PKI
Redes de computadores Prof. António dos Anjos
DNS (Domain Name System) Sistema de Nomes de Domínios
Hash HTTPS SSL Certificados.
Termo da Microsoft para designar um conjunto de serviços de directórios do Windows Server. Conceito utilizado a partir da versão do Windows Server 2000.
DNSSEC.
Dynamyc Domain Name Sistem Interação entre o DHCP e o DNS.
Faculdade de Tecnologia SENAI de Desenvolvimento Gerencial
Segurança e Auditoria de Sistemas
Redes de Computadores I Prof. Mateus Raeder Universidade do Vale do Rio dos Sinos - São Leopoldo -
Maria Alessandra Dubowski Nascimento
Protocolos Básicos Autenticação. Protocolos Básicos Esquemas de autenticação São métodos através dos quais alguém pode provar sua identidade, sem revelar.
Exercícios IPsec e LDAP
Controle de Acesso Kerberos
Sistema de Identificação OpenID
Tópicos Avançados em Redes de Computadores Prof. Fabiano Sabha.
Falso, HTTP usa TCP. 1) HTTP usa arquitetura cliente servidor, aceitando conexões UDP na porta 80.
DOMAIN INFORMATION GROPER - DIG Erika Carlos Medeiros.
Segurança Online Entenda e aprenda a driblar os perigos de compartilhar informações pessoais online.
Domain Name System - Sistema de Nomes de Domínios
Prof.°: João Henrique Disciplina: SOR II
FTIN Formação Técnica em Informática Módulo Sistema Proprietário Windows AULA 03 Prof. André Lucio.
Edgard Jamhour DNS: Domain Name System. Edgard Jamhour Serviço DNS: Domain Name System Nome? nome - ip IP nome - ip.
Redes de Computadores I Prof. Mateus Raeder Universidade do Vale do Rio dos Sinos - São Leopoldo -
ANTONIO LIMEIRA EDUARDO FRANKLIN LUCAS ARANHA RANIERI VALENÇA RODRIGO PIGATTI DNS.
DNS Willamys Araújo 1. Introdução A internet possui uma infinidade de sites e, para acessá-los, você digita um endereço no campo correspondente do seu.
Execícios de Revisão Redes de Computadores Edgard Jamhour
INE5630 Segurança em Computação Distribuída 1 MIP x HIP Um Estudo Sobre Segurança Em Redes Móveis Gino Dornelles Calebe Augusto do Santos Florianópolis,
Active Directory Services Serviço de Diretório Ativo
Planejamento e Implantação de Servidores
DEFINIÇÕES DE DNS DNS é a abreviatura de sistema de nomes de domínio (DNS, Domain Name System) Sistema de Resolução de Nomes. É um sistema para atribuir.
Microsoft Students to Business
Tema 07: A camada de aplicação: protocolos HTTP, SMTP, DNS, FTP
FIREWALL.
SERVIDOR PROXY - SQUID.
Serviços de rede e internet Jackson Eduardo da Silva.
Active Directory Profa. Priscila Facciolli Sistemas Operacionais.
PROTOCOLOS DE REDE Endereço Real e Reservado
REDES DE COMPUTADORES II
IP-INTERNET PROTOCOLO. EQUIPE: Aline Helena de Oliveira Dione de Souza Neves Jefferson Dalla Lasta Johnathan Maurício Silva Galvão Mario Fernando Pioski.
Ataque ao DNS.
5 – Distribuição de chaves
Fonte: Fonte:
Faixa de Numeros IP O endereço IP, na versão 4 do IP (IPv4), é um número de 32 bits oficialmente escrito com quatro octetos (Bytes) representados no formato.
DNS Suporte técnico. DNS ● Domain Name Server ● Responsável pela resolução de nomes ● IP (v4 e v6) identificador único na rede o ● Nomes facilitam.
DNS, IP e GATEWAY Os componentes de rede citados anteriormente servem, basicamente, para permitir acesso à rede e à Internet, seja em ambiente doméstico.
Sistemas Operacionais de Redes DNS
Capítulo 2 Redes de computadores e a Internet Camada de aplicação Prof. Gustavo Wagner.
Curso Superior em Redes de Computadores Camada de Aplicação Prof. Sales Filho.
Transcrição da apresentação:

DNSSEC Erika Medeiros

DNS – Domain Name System O Sistema de Nomes de Domínio é um banco de dados distribuido. Isso permite um controle local dos segmentos do banco de dados global: Arquitetura hierárquica, dados dispostos em uma arvore invertida Distribuida eficientemente, sistema descentralizado e com cache O principal propósito e a resolução de nomes de domínio em enderecos IP e vice-versa

DNS – Domain Name System

Hierarquia

Cada ponto da árvore de DNS é representada por muitos computadores. Um nome de domínio é lido da direita para a esquerda; Existem os domínios primários (chamados de top level domains, ou TLD's), como.com,.net,.info,.cc,.biz, etc. Existem os domínios secundários (country code TLD's, ou ccTLD's), que recebem o prefixo de cada país, como.com.br ou.net.br. Nesse caso, o "com" é um subdomínio do domínio "br".

Hierarquia

Domínio x Zona Zona armazena todos os dados a qual ela tem autoridade; Um domínio armazena a zona e todos os seus subdomínios; Cada subdomínio tem sua própria zona;

Delegação

Como fazer parte da árvore DNS? Precisa-se registrar o domínio; Reserva o direito da pessoa física ou jurídica sobre um determinado nome de endereço na Internet. Domínios não registrados não podem ser encontrados na Internet.

Formas de Registro

Exercício Visitar o site Checar as estatísticas

Top Level Domain Para registrar um domínio TLD basta escolher uma empresa de registro e pagar; Os registrars TLD reconhecidos pelo ICANN podem ser encontrados em

Domain Parking Uma prática muito comum é registrar domínios em que se tenha interesse, mas que não pretenda usar de imediato; Mostra-se uma página genérica, contendo um "em construção" ou alguns links de anúncios; Esta prática é chamada de "domain parking" (reserva de domínios, ou estacionamento de domínios) Sai mais barato registrar um domínio antecipadamente do que ter que disputá-lo mais tarde;

Cybersquatting Existem também casos de registros de domínios contendo: Marcas; Palavras similares a marcas; O objetivo é enganar os visitantes (encaminhando-os a outras páginas) e/ou lesar ou extorquir os proprietários da marca; Esta prática é ilegal na maioria dos países, incluindo o Brasil.

UDRP - Uniform Domain-Name Dispute-Resolution Policy Serve para TLD; É possível disputar a posse de um domínio registrado; Esse processo se aplica em casos em que a empresa é detentora de uma marca registrada, ou é proprietária de um site que esteja sendo lesado por um domínio similar, registrado com o propósito de roubar visitantes; Detalhes em:

Como disputar domínios ccTLD? Os ccTLDs são os domínios com código de país; São responsabilidade de entidades separadas; O processo para disputa da posse do domínio varia; Algumas entidades aceitam a aplicação do UDRP; Outras entidades aplicam conjuntos particulares de regras; Outras entidades simplesmente não possuem uma política definida, se limitando a acatar decisões judiciais.

Em que categoria está o Registro.br? O Registro.br ainda faz parte da terceira categoria; Mas, existem negociações com relação à adoção do UDRP; Pode-se ver algumas cartas trocadas entre os responsáveis pelo Registro.br e a ICANN, disponíveis no: letters-10may07.pdf letters-10may07.pdf

Publicação

Resource Records Os dados associados com os nomes de domnio estão contidos em Resource Records ou RRs (Registro de Recursos); São divididos em classes e tipos;

Classes do RR IN – Internet CH (Chaos Network) – Rede antiga HS - MIT

Tipos de RR Atualmente existe uma grande variedade de tipos; O conjunto de resource records com o mesmo nome de domínio, classe e tipo e denominado RRset;

Tipos de RR

Tipo SOA Guarda a versão da atualização da Zona; Numa zona existem vários computadores: Computador primário; Computadores secundários (guardam cópias dos computadores primários); É através do incremento do SOA que os computadores secundários sabem que houve mudanças no computador primário;

Tipo NS Guarda os endereços de todos os servidores; Os servidores estão na própria zona; Ou os servidores estão na delegação logo abaixo dele;

Exemplo de um arquivo de zona NOME DE DOMÍNIOIN - INTERNET INFORMAÇÕES PARA OS SERVIDORES SECUNDÁRIOS SERIAL – VERSÃO SOA REFRESH – DE QUANTO EM QUANTO TEMPO O SERVIDOR SECUNDÁRIO TEM QUE PERGUNTAR AO PRIMÁRIO A SUA VERSÃO COM FINS DE SE ATUALIZAR RETRY – CASO O SERVIDOR PRIMÁRIO ESTEJA OFF, EM QUANTO TEMPO O SERVIDOR SECUNDÁRIO VAI TENTAR NOVA CONEXÃO, PARA FINS DE SE ATUALIZAR. EXPIRE – CASO O RETRY FALHE, POR QUANTO TEMPO OS DADOS DO DNS AINDA SERÃO VÁLIDOS EM REQUISIÇÕES CLIENTES; TTL Minimum – TEMPO DE VIDA NOS SERVIDORES RECURSIVOS;

TTL – Tempo de Vida As informações do cache são armazenadas por um determinado período de tempo através de um parâmetro conhecido por TTL (Time-to-Live). Utilizado para evitar que as informações gravadas se tornem desatualizadas. O período de tempo do TTL varia conforme o servidor e administrador;

Onde fica fisicamento o arquivo de zona? Nos servidores autoritativos; Servidores autoritativos são: Servidor Master Servidor Slave

Tipos de Servidores

Exemplo de requisição de endereço

Fluxo de Dados Atualizações – Referentes a Zona Requisições

Fluxo de Dados

Atualizações de Zona Atualizações estáticas Pára o servidor Recebe o arquivo da Zona Atualizações dinâmicas Não pára o servidor

Comunicação entre Master/Slave AXFR Master passa todas as informações que ele tem para o servidor Slave IXFR Master checa o SOA dos Slaves; Manda apenas as modificações desde a última atualização;

Vulnerabilidades

Vulnerabilidades nas atualizações Hoje não existe autenticidade; Pode haver atualizações indevidas;

Ambientes Propícios Ethernet Ethernet Wireless (802.11)

Vulnerabilidades nas requisições

Exemplo do Man-in-the-Middle

Cenário – Cache Poisoning O servidor recursivo é também servidor de cache; Isto significa que se uma estação solicitar um IP para um endereço, a resposta pode estar na cache; Porém, eventualmente a entrada da cache expira;

Cenário – Cache Poisoning Quando o servidor recursivo precisa enviar uma consulta, o atacante “ganha” o servidor autoritativo; O objetivo é forjar uma resposta e enviá-la ao servidor recursivo; Se a resposta do atacante chegar ao servidor recursivo, antes da resposta verdadeira e o atacante conseguir o ID da consulta, o servidor recursivo irá fazer cache da informação.

Como realizar o ataque? (Tipo I) A consulta do servidor recursivo ao servidor autoritativo gera um ID da transação; A resposta terá o mesmo ID; O ID da transação é um número entre 0 e ; Quanto mais tentativas de ataque, maior a chance de haver um match com ID da transação;

Como realizar o ataque? (Tipo II) Pode-se fazer um flooding no servidor recursivo, tornando-o vulnerável; O atacante envia inúmeras requisições falsas ao servidor recursivo, com a certeza que este não possui as informações; Por exemplo, qual o IP para o endereço qqq.richbank.com?

Como realizar o ataque? (Tipo II) O procedimento irá forçar o servidor recursivo a enviar solicitações ao servidor autoritativo; As solicitações podem ser interceptadas; Uma resposta possível do atacante, seria enviar ao servidor recursivo que não tem a informação requisitada mas um servidor autoritativo fake deve ter;

Soluções para vulnerabilidade de requisições e atualizações

TSIG Os servidores distribuem a mesma chave simétrica para os servidores que vão fazer as atualizações; Desta forma eles assinam o trafégo de atualização;

DNSSEC Domain Name System SECurity extensions Extensão da tecnologia DNS O que existia continua a funcionar Possibilita maior segurança para o usuário na Internet Corrige falhas do DNS Atualmente na versão denominada DNSSEC bis com opcional NSEC3

DNSSEC Suas vericações ocorrem antes de diversas aplicações de seguranca (SSL, SSH, PGP, etc...)

Garantias do DNSSEC

Quem pode utilizar o DNSSEC Dominios abaixo do.br; b.br – Domínios para bancos eng.br gov.br eti.br blog.br

Não utilizarão o DNSSEC gov.br com.br

Chaves Assimétricas Cada zona segura requer um par de chaves; A chave privada da zona estará armazenada em algum lugar seguro; A chave pública da zona é o DNSKEY record e está associada ao domínio da zona; As chaves serão usadas para os processos de autenticação do DNS;

Chaves assimétricas

Novos tipos de RR para DNSSEC DNSKEY - Chave publica RRSIG - Assinatura do RRset (somente registros com autoridade) DS - Delegation Signer (Ponteiro para a cadeia de confiança) NSEC - Aponta para o próximo nome e indica quais os tipos dos RRsets para o nome atual

Breve Resumo Uma zona assina seu RRset autoritativo usando sua chave privada. Um resolver pode usar a chave pública da zona, obtida através de uma query para o DNSKEY type;

DNSKEY NOME DO DOMÍNIO A QUEM PERTENCE A CHAVE TTL CLASSE DO RR RR TYPE 256 implica que o DNSKEY contem a chave pública do DNS 0 implica que o DNS possui alguma outra chave 3 é fixo – Compatibilidade com protocolos anteriores Identifica o algoritmo de chave pública.

Algoritemos de chave pública DNSKey

Usando o Dig para encontrar informações acerca dos servidores Usar a aplicação WEB:

DIG DEIXAR EM BRANCO SELECIONAR

Prática – Tipo I ROOT SERVERS

Exemplo Prático Obtendo o DNSKEY de ns1.dnssec-tools.org;

DNSKEY

RRSIG

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.