NIC.br

Ir para o conteúdo
imprensa
  1. Home
  2. Notícias
  3. DNSSEC: a Internet ainda mais segura
22 JUN 2010

DNSSEC: a Internet ainda mais segura






Circuito De Luca - 22/06/2010 - [ gif ]
Autor: Cristina De Luca
Assunto: DNSSEC

Ontem, em Bruxelas, Beckstrom Rob, CEO da ICANN, Internet Corporation for Assigned Names and Numbers, entidade responsável por gerenciar o sistema de nome de domínios, fez um discurso ressaltando o papel crítico que ela desempenha na segurança da Internet, em particular hoje, com o desenvolvimento do DNSSEC (Domain Name System Security Extensions).

O esforço vem em meio a um cenário de escalada de crises relacionadas com a estabilidade do DNS, principalmente com crescimento continuo de redes de alta velocidade.

“A missão da ICANN é garantir a segurança e a estabilidade da Internet “, disse Beckstrom. “A ICANN deve ser um catalisador ativo para a defesa da rede. Isso significa reconhecer que o DNS tem pontos fracos. Embora não seja um sistema é frágil. Longe disso. Mas sujeito a falhas involuntárias e até ataques com intenção maliciosa”. Razões pelas quais, na opinião do CEO, sua segurança deva ser sempre melhorada, como forma de garantir a vitalidade da Internet.

Entre as falhas involuntárias estão pesadelos como a publicação das chamadas zonas vazias de publicação de DNS, que podem deixar uma área inteira da Internet invisível para rede por algumas horas. Aconteceu, recentemente, no início deste ano, na Alemanha.

Imagine consultar o DNS do .de e receber a informação de que todos os domínios embaixo do domínio alemão não existem. Imagine se isso acontecesse no Brasil, onde os servidores do NIC.br recebem, em média, 50 mil consultas por segundo. Ficar duas horas respondendo a todas essas consultas que os domínios não existem, significa fazer muita gente guardar essa falsa informação negativa por algum tempo.

Felizmente, foram poucos os casos de publicação de zona vazia em domínios de primeiro nível no mundo. A Espanha passou por isso duas vezes, há dois , três anos atrás. A Suécia, no fim do ano passado. E a Alemanha este ano, quando os responsáveis pelos domínios faziam uma migração de servidores. E o fato é que essa falha pode acontecer com qualquer um, dada a natureza do sistema.

intermet

O DNSSEC e algumas outras medidas de segurança já em implantação na Internet em todo o mundo, incluindo o Brasil, visam aumentar a confiabilidade do sistema de provisionamento do DNS, segundo Frederico Neves, Diretor de Serviços e de Tecnologia do NIC.br.

Brasil já usa DNSSEC no .br

O DNSSEC, em desenvolvimento acelerado desde 2008, depois que Dan Kaminsky descobriu uma vulnerabilidade grave, provê autenticidade e integridade das respostas de DNS. Como? Informando a origem da publicação e sua não violação no trânsito do DNS na rede.

Falsas informações DNS criam oportunidades para roubo de informações de terceiros ou alteração de dados em diversos tipos de transações como, por exemplo, compras eletrônicas. No protocolo DNS, um ataque onde a informação é corrompida é extremamente difícil de ser detectado e, na prática, impossível de ser prevenido. O objetivo da extensão DNSSEC é assegurar o conteúdo do DNS e impedir estes ataques validando os dados e garantindo a origem das informações.

Na prática, o DNSSEC introduz assinaturas digitais para a infra-estrutura DNS e pode fornecer aos usuários a verificação eficaz que os seus pedidos, como a Web ou e-mail, estão usando os endereços corretos para os servidores que desejam atingir.”

Já entre as medidas de segurança possíveis para o processo de publicações de domínios protegidos por DNSSEC está a redução do tempo de resposta do sistema de consulta. Se o sistema diminui o tempo de resposta, diminui também o impacto do erro. Mas, por outro lado, aumenta a quantidade de perguntas. Razão pela qual, quanto mais automatizado, melhor.

Outra medida é garantir que o que está sendo publicado é realmente correto. E que se, por acaso, o sistema tiver alguma dúvida de que pode estar publicando algo incorreto, não publique. Mantenha o que já existe publicado.

No Brasil, as publicações de DNS ocorrem a cada 30 minutos, 24 horas do dia. O NIC.br administra hoje perto de 65 zonas compostas pelo .br e todas as zonas de domínio de segundo nível. Para prover DNSSEC para todas essas zonas, o sistema brasileiro utiliza quatro chaves criptográficas, até bem pouco tempo geradas e publicadas manualmente.

A primeira delas é a KSK-br, principal chave do .br. É a chave que é fornecida para a ICANN e a IANA. E é trocada no período de dois a cinco anos, sempre na terceira semana do mês de maio. A segunda chave é uma ZSK, que assina os registros da zona. E é trocada a cada três meses no regime de pré-publicação.

Outras duas chaves ZSK do *.br comandam a assinatura das hierarquias inferiores e fazem uso de duas tecnologias diversas em relação a forma como provam a existência de um registro: o DNSSEC-bis para assinar as zonas menores e o NSEC3 para as zonas maiores (.com.br e o .org.br).

Automatização do processo

Em maio deste ano, todo esse processo foi automatizado e ganhou redundância em um Módulo de Segurança de Hardware ( HSM ) localizado fisicamente em outro datacenter, distante alguns quilômetros do datacenter do NIC.br. Estive presente, como observadora externa, representando a comunidade de usuários, na cerimônia chamada A-Key Signing-Key (KSK), no datacenter do Nic.br, onde quatro novas chaves e assinaturas foram geradas.

Ontem, Rod Beckstrom sustentou que o DNSSEC deve desempenhar um papel fundamental na proteção da web. Um certo número de domínios top-level comprometeram-se a implantá-lo. Todos os servidores raiz e todos os gTLDs mais importantes (domínios genéricos de alto nível) serão assinados até meados de 2011.

O domínio . ORG se transformou no primeiro domínio genérico de nível Superior para implantar protocolo de segurança reforçada DNSSEC.

“Estamos orgulhosos de ter esta nova etapa na implantação DNSSEC e transformar a visão de uma Internet mais segura em uma realidade”, disse Alexa Raad, CEO da. ORG, The Public Interest Registry. “O interesse público é o cerne de nossa missão de administração do .ORG, especialmente se considerarmos que o  uso da Internet continua a crescer exponencialmente. O DNSSEC serve como embalagem inviolável para o DNS, não só impedindo o roubo de identidade como resultado de “ataques” man-in-the-middle “, mas também permitindo a inovação em aplicações que dependem do DNS.”

É muito bom ver o Brasil mais uma vez na dianteira de um processo tão relevante para o aumento da confiabilidade da Internet.

O próximo passo é fazer o DNNSEC ser utilizado também pelos provedores internet, responsáveis pela resolução de DNS de grande parte dos usuários finais. Seus servidores respondem à maioria das consultas DNS em todo o mundo e repassam as respostas para os usuários finais.

Seria um erro pensar que o DNSSEC vai resolver todos os problemas envolvidos na segurança cibernética, mas também seria um erro subestimar a sua importância no movimento na internet para um ambiente mais seguro onde os usuários online possam ter garantia de que cheguem  exatamente onde queiram ir.

Logos do CGI.br, NIC.br, Registro.br, Cert.br, Ceptro.br, Cetic.br e W3C
Licença Creative Commons
O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
Política de Privacidade e Termos de Uso