Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
DNSSEC (Domain Name System Security Extensions) é um pacote de extensões que adiciona segurança ao protocolo DNS (Sistema de Nomes de Domínio) habilitando respostas de DNS para validação. A DNSSEC oferece autoridade de origem, integridade dos dados e negação de existência autenticada. Com o DNSSEC, o protocolo DNS fica muito menos suscetível a determinados tipos de ataques, particularmente os ataques de falsificação de DNS.
Como o DNSSEC funciona
As zonas DNS podem ser protegidas com a DNSSEC usando um processo chamado assinatura de zona quando usado com um servidor DNS autoritativo que dá suporte a DNSSEC. Assinar uma zona com DNSSEC adiciona suporte de validação a uma zona sem alterar o mecanismo básico de uma consulta e resposta DNS.
A validação das respostas DNS ocorrem usando assinaturas digitais incluídas nas respostas DNS. Essas assinaturas digitais estão contidas nos registros de recursos relacionados à DNSSEC que são gerados e adicionados à zona durante a assinatura de zona.
As principais extensões de DNSSEC estão especificadas nas RFCs (Request For Comments) a seguir.
- RFC 4033: "Introdução e requisitos de segurança de DNS"
- RFC 4034: "Registros de recursos para as extensões de segurança de DNS"
- RFC 4035: "Modificações de protocolo para as extensões de segurança de DNS"
A figura a seguir mostra um exemplo de registros de recursos DNS na zona contoso.com antes e depois da assinatura da zona.
Para obter mais informações sobre cada um desses registros de recursos, confira Registros de recursos DNSSEC.
Registros de recursos DNSSEC
A tabela a seguir mostra os tipos de registro de recurso que são usados com a DNSSEC.
| Tipo de registro de recurso | Descrição |
|---|---|
| RRSIG (Assinatura de registro de recurso) | As assinaturas geradas com DNSSEC ficam contidas nos registros RRSIG. Cada registro RRSIG é correspondente ao outro registro na zona para a qual ele fornece uma assinatura digital. Quando um resolvedor emite uma consulta de nome, um ou mais registros RRSIG são retornados na resposta. |
| NSEC (Next Secure) | Um registro NSEC é usado para comprovar a inexistência de um nome DNS. Os registros NSEC impedem ataques de falsificação que têm a finalidade de enganar um cliente DNS para fazê-lo acreditar que um nome DNS não existe. |
| NSEC3 (Next Secure 3) | O NSEC3 é uma substituição ou uma alternativa ao NSEC que impede a verificação de zona. A verificação de zona é o processo de repetição de consultas NSEC para recuperar todos os nomes em uma zona. Um servidor DNS que executa o Windows Server 2012 ou um sistema operacional posterior dá suporte a NSEC e NSEC3. Uma zona pode ser assinada com o NSEC ou o NSEC3, mas não os dois. |
| NSEC3PARAM (Parâmetros Next Secure 3) | O registro NSEC3PARAM é usado para determinar quais registros NSEC3 devem ser incluídos nas respostas para nomes DNS inexistentes. |
| DNSKEY (Chave DNS) | Um registro de recurso DNSKEY armazena uma chave de criptografia pública que é usada para verificar uma assinatura. O registro DNSKEY é usado por um servidor DNS durante o processo de validação. Os registros DNSKEY podem armazenar chaves públicas para uma chave ZSK ou uma chave KSK. |
| DS (Signatário da Delegação) | Um registro DS é um tipo de registro DNSSEC usado para proteger uma delegação. Os registros de DS são usados para criar cadeias de autenticação para zonas filho. |
Com exceção do registro DS, todos esses registros são adicionados a uma zona automaticamente quando ele é assinado com a DNSSEC. O registro DS é um registro especial que pode ser adicionado manualmente a uma zona pai para criar uma delegação segura para uma zona filho. Por exemplo, a zona contoso.com pode conter um registro DS para secure.contoso.com. No entanto, esse registro precisa ser criado na zona pai ou em uma zona filho e depois propagado para a zona pai. O registro DS não é criado automaticamente quando você assina uma zona.
Os registros NSEC ou NSEC3 são adicionados automaticamente a uma zona durante a assinatura de zona. No entanto, uma zona assinada não pode ter registros NSEC e NSEC3. O tipo de registro (NSEC ou NSEC3) adicionado à zona depende de como a assinatura de zona está configurada. No exemplo anterior, a zona é assinada usando NSEC3.
Âncoras de confiança
Os registros de recurso DNSKEY e DS também são chamados de âncoras de confiança ou pontos de confiança. Uma âncora de confiança precisa ser distribuída a todos os servidores DNS não autoritativos que executam a validação do DNSSEC das respostas DNS de uma zona assinada. Se o servidor DNS está sendo executado em um controlador de domínio, as âncoras de segurança são armazenadas na partição de diretório de floresta no AD DS (Serviços de Domínio Active Directory) e podem ser replicadas em todos os controladores de domínio da floresta. Em servidores DNS autônomos, as âncoras de segurança são armazenadas em um arquivo denominado TrustAnchors.dns.
Use o Windows PowerShell para exibir as âncoras de confiança de uma zona usando o comando Get-DnsServerTrustAnchor. Para exibir todos os pontos de confiança atuais em um servidor, use o comando Get-DnsServerTrustPoint do PowerShell. Um servidor DNS que executa o Windows Server 2012 ou um sistema operacional posterior também exibe âncoras de confiança configuradas na árvore de console do Gerenciador DNS no contêiner de Pontos de Confiança.
Próximas etapas
Para saber mais sobre como o DNSSEC usa registros de recursos para validar e proteger respostas DNS, confira Validar respostas DNS.