Blog
26-10-2020
Na especificação inicial do DNS, desenhado na década de 80, quando a Internet não tinha a dimensão que conhecemos hoje, não foram incorporadas quaisquer preocupações de segurança. Pelo contrário, o seu desenho dá primazia aos aspetos de eficácia, eficiência e escalabilidade. Por este facto, a especificação possui algumas vulnerabilidades de segurança que têm vindo a ser exploradas maliciosamente com o objetivo de induzir erros na resolução de nomes DNS.
O que é o DNSSEC e porque é tão importante?
O DNS é seguro?
Na especificação inicial do DNS, desenhado na década de 80, quando a Internet não tinha a dimensão que conhecemos hoje, não foram incorporadas quaisquer preocupações de segurança. Pelo contrário, o seu desenho dá primazia aos aspetos de eficácia, eficiência e escalabilidade. Por este facto, a especificação possui algumas vulnerabilidades de segurança que têm vindo a ser exploradas maliciosamente com o objetivo de induzir erros na resolução de nomes DNS.
Para colmatar estas falhas o DNS tem evoluído ao longo dos tempos, introduzindo novas camadas de segurança, como por exemplo, o DNSSEC.
O que é o DNSSEC?
O DNSSEC (Domain Name System Security Extensions) é o nome dado às extensões de segurança ao protocolo DNS (Domain Name System) e foi concebido para proteger e autenticar o tráfego DNS. Estas extensões fazem uso da tecnologia de criptografia assimétrica para assegurar a autenticidade e a integridade da informação trocada entre servidores DNS e entre estes e as aplicações do utilizador. Os mecanismos de segurança previstos no DNSSEC são complementares e transparentes para o utilizador, não interferindo, desta forma, com o normal funcionamento do protocolo DNS.
Qual a sua importância?
As extensões de DNSSEC visam melhorar a confiança dos utilizadores nos serviços prestados online, através de um sistema de resolução de nomes mais seguro, reduzindo o risco de manipulação de dados e informações e contribuindo, nomeadamente, para:
• Suprimir fragilidades do protocolo DNS;
• Prevenir ataques do tipo man-in-the middle e cache poisoning;
• Reduzir o risco de manipulação de informação;
• Reforçar a fiabilidade do sistema.
Com o crescimento na adoção de DNSSEC, o DNS pode ainda tornar-se uma base segura para outros protocolos que requerem a salvaguarda de dados, é neste sentido que têm sido desenvolvidos novos protocolos sobre DNS para garantir mais segurança ao utilizador como por exemplo, DANE (DNS-based Authentication of Named Entities), DKIM (DomainKeysIdentifiedMail) ou o DMARC (Domain-based Message Authentication, Reporting & Conformance).
Para saber se o seu website e serviço de correio eletrónico está em conformidade com os mais recentes standards para a comunicação segura entre sistemas pode verificar o seu domínio em www.webcheck.pt.
10 razões para assinar um domínio com DNSSEC
• Os principais servidores recursivos abertos efetuam resolução DNSSEC;
• Já existem diversos fornecedores de serviço DNS com opção de ativação de DNSSEC;
• Existem ISPs que fazem validação DNSSEC;
• Disponíveis ferramentas para desenvolvimento de DNSSEC;
• Gera segurança e confiança nos seus clientes;
• Protege o utilizador final;
• Preferência, na comunidade, para a adoção de infraestruturas num modelo seguro;
• Boa prática de segurança, sendo a segurança um fator de diferenciação;
• A adoção de DNSSEC permite a implementação de novos protocolos;
• DNSSEC é a evolução natural do DNS contribuindo para uma Internet mais segura.
Consulte-nos para questões relacionadas com extensões de Segurança ao DNS (DNSSEC) em: https://www.pt.pt/pt/seguranca/dnssec/
Nota: os artigos deste blog não vinculam a opinião do .PT, mas sim do seu autor.
Voltar aos Posts