Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
DNSSEC (Domain Name System Security Extensions) é um pacote de extensões que adiciona segurança ao protocolo DNS (Sistema de Nomes de Domínio) habilitando respostas de DNS para validação. A DNSSEC oferece autoridade de origem, integridade dos dados e negação de existência autenticada. Com o DNSSEC, o protocolo DNS fica muito menos suscetível a determinados tipos de ataques, particularmente os ataques de falsificação de DNS.
Como o DNSSEC funciona
As zonas DNS podem ser protegidas com a DNSSEC usando um processo chamado assinatura de zona quando usado com um servidor DNS autoritativo que dá suporte a DNSSEC. Assinar uma zona com DNSSEC adiciona suporte de validação a uma zona sem alterar o mecanismo básico de uma consulta e resposta DNS.
A validação das respostas DNS ocorrem usando assinaturas digitais incluídas nas respostas DNS. Essas assinaturas digitais estão contidas em registros de recursos relacionados ao DNSSEC que são gerados e adicionados à zona durante a assinatura de zona.
As principais extensões de DNSSEC estão especificadas nas RFCs (Request For Comments) a seguir.
- RFC 4033: "Introdução e requisitos de segurança DNS"
- RFC 4034: "Registros de recursos para as extensões de segurança DNS"
- RFC 4035: "Modificações de protocolo para as extensões de segurança DNS"
A figura a seguir mostra um exemplo de registros de recursos DNS na zona contoso.com antes e depois da assinatura da zona.
Para obter mais informações sobre cada um desses registros de recursos, confira Registros de recursos DNSSEC.
Registros de recursos DNSSEC
A tabela a seguir mostra os tipos de registro de recurso que são usados com a DNSSEC.
| Tipo de registro de recurso | Description |
|---|---|
| RRSIG (Assinatura de registro de recurso) | As assinaturas geradas com DNSSEC ficam contidas nos registros RRSIG. Cada registro RRSIG é correspondente ao outro registro na zona para a qual ele fornece uma assinatura digital. Quando um resolvedor emite uma consulta de nome, um ou mais registros RRSIG são retornados na resposta. |
| NSEC (Next Secure) | Um registro NSEC é usado para comprovar a inexistência de um nome DNS. Os registros NSEC impedem ataques de falsificação que têm a finalidade de enganar um cliente DNS para fazê-lo acreditar que um nome DNS não existe. |
| NSEC3 (Next Secure 3) | O NSEC3 é uma substituição ou alternativa ao NSEC que impede a caminhada de zona. A verificação de zona é o processo de repetição de consultas NSEC para recuperar todos os nomes em uma zona. Um servidor DNS que executa o Windows Server 2012 ou um sistema operacional posterior dá suporte a NSEC e NSEC3. Uma zona pode ser assinada com o NSEC ou o NSEC3, mas não os dois. |
| NSEC3PARAM (Parâmetros Next Secure 3) | O registro NSEC3PARAM é usado para determinar quais registros NSEC3 devem ser incluídos nas respostas para nomes DNS inexistentes. |
| DNSKEY (Chave DNS) | Um registro de recurso DNSKEY armazena uma chave de criptografia pública que é usada para verificar uma assinatura. O registro DNSKEY é usado por um servidor DNS durante o processo de validação. Os registros DNSKEY podem armazenar chaves públicas para uma chave ZSK ou uma chave KSK. |
| DS (Signatário da Delegação) | Um registro DS é um tipo de registro DNSSEC usado para proteger uma delegação. Os registros de DS são usados para criar cadeias de autenticação para zonas filho. |
Com exceção do registro DS, todos esses registros são adicionados a uma zona automaticamente quando ele é assinado com a DNSSEC. O registro DS é um registro especial que pode ser adicionado manualmente a uma zona pai para criar uma delegação segura para uma zona filho. Por exemplo, a zona contoso.com pode conter um registro DS para secure.contoso.com. No entanto, esse registro precisa ser criado na zona pai ou em uma zona filho e depois propagado para a zona pai. O registro DS não é criado automaticamente quando você assina uma zona.
Os registros NSEC ou NSEC3 são adicionados automaticamente a uma zona durante a assinatura de zona. No entanto, uma zona assinada não pode ter registros NSEC e NSEC3. O tipo de registro (NSEC ou NSEC3) adicionado à zona depende de como a assinatura de zona está configurada. No exemplo anterior, a zona é assinada usando NSEC3.
Âncoras de confiança
Os registros de recursos DNSKEY e DS também são chamados de âncoras de confiança ou pontos de confiança. Uma âncora de confiança precisa ser distribuída a todos os servidores DNS não autoritativos que executam a validação do DNSSEC das respostas DNS de uma zona assinada. Se o servidor DNS está sendo executado em um controlador de domínio, as âncoras de segurança são armazenadas na partição de diretório de floresta no AD DS (Serviços de Domínio Active Directory) e podem ser replicadas em todos os controladores de domínio da floresta. Em servidores DNS autônomos, as âncoras de segurança são armazenadas em um arquivo denominado TrustAnchors.dns.
Use o Windows PowerShell para exibir as âncoras de confiança de uma zona usando o comando Get-DnsServerTrustAnchor . Para exibir todos os pontos de confiança atuais em um servidor, use o comando Get-DnsServerTrustPoint PowerShell. Um servidor DNS que executa o Windows Server 2012 ou um sistema operacional posterior também exibe âncoras de confiança configuradas na árvore de console do Gerenciador DNS no contêiner Pontos de Confiança .
Próximas etapas
Para saber mais sobre como o DNSSEC usa registros de recursos para validar e proteger respostas DNS, confira Validar respostas DNS.