david robert camargo de campos rafael ... - ftp.registro.br · tipos de dados que podem ser...
TRANSCRIPT
![Page 1: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/1.jpg)
Introducao a DNS & DNSSEC 1
David Robert Camargo de Campos
Rafael Dantas Justo
Registro.br
1versao 1.5.0 (Revision)
A ultima versao deste tutorial pode ser encontrada em: ftp://ftp.registro.br/pub/doc/introducao-dns-dnssec.pdf
1 / 28
![Page 2: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/2.jpg)
DNS - Domain Name System
O Sistema de Nomes de Domınio e um banco de dados distribuıdo. Issopermite um controle local dos segmentos do banco de dados global,embora os dados em cada segmento estejam disponıveis em toda a redeatraves de um esquema cliente-servidor.
- Arquitetura hierarquica
- Distribuıda eficientemente, sistema descentralizado e com cache
- O principal proposito e a resolucao de nomes de domınio emenderecos IP e vice-versa
exemplo.foo.eng.br ←→ 200.160.10.251www.cgi.br ←→ 200.160.4.2
www.registro.br ←→ 2001:12ff:0:2::3
2 / 28
![Page 3: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/3.jpg)
Registro de domınios (.br)
Reserva o direito da pessoa fısica ou jurıdica sobre um determinadonome de endereco na Internet.
Domınios nao registrados nao podem ser encontrados na Internet.
Sistema WEB
A interface WEB permite de maneira pratica gerenciar os domınios dequalquer pessoa fısica ou jurıdica.− http://registro.br/ajuda/registro-de-novos-dominios/
3 / 28
![Page 4: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/4.jpg)
Publicacao quasi-on-line
O que e uma Publicacao?
As modificacoes que sao realizadas pela interface de provisionamento naosao efetivadas imediatamente. A cada intervalo de tempo pre-determinadoocorre uma publicacao DNS a qual atualiza o sistema DNS.
4 / 28
![Page 5: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/5.jpg)
Publicacao quasi-on-line
O que e uma Publicacao?
As modificacoes que sao realizadas pela interface de provisionamento naosao efetivadas imediatamente. A cada intervalo de tempo pre-determinadoocorre uma publicacao DNS a qual atualiza o sistema DNS.
As publicacoes DNS ocorrem a cada 30 minutos
No caso do registro de um novo domınio ele ja estara visıvel naInternet apos a proxima publicacao.
No caso da alteracao de dados de um domınio, apos a proximapublicacao, o domınio passara por um perıodo de transicao quepodera durar ate 24 horas.
4 / 28
![Page 6: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/6.jpg)
Tipos de servidores
Servidor Autoritativo
Ao receber requisicoes de resolucao de nome, responde um endereco casopossua, uma referencia caso conheca o caminho da resolucao ou umanegacao caso nao conheca
Servidor Recursivo
Ao receber requisicoes de resolucao de nomes, faz requisicoes para osservidores autoritativos e conforme a resposta recebida dos mesmoscontinua a realizar requisicoes para outros servidores autoritativos ateobter a resposta satisfatoria
5 / 28
![Page 7: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/7.jpg)
Tipos de dados que podem ser armazenados
Os dados associados com os nomes de domınio estao contidos emResource Records ou RRs (Registro de Recursos)
Atualmente existe uma grande variedade de tipos
Alguns Tipos Comuns de Records
SOA Indica onde comeca a autoridade a zona
NS Indica um servidor de nomes para a zona
A Mapeamento de nome a endereco (IPv4)
AAAA Mapeamento de nome a endereco (IPv6)
MX Indica um mail exchanger para um nome (servidor de email)
CNAME Mapeia um nome alternativo (apelido ou indirecao)
TXT Campo de texto livre
6 / 28
![Page 8: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/8.jpg)
Exemplo de requisicao de endereco
ResolverServico localizado
no cliente que tem
como
responsabilidade
resolver as
requisicoes DNS
para diversos
aplicativos
7 / 28
![Page 9: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/9.jpg)
Exemplo de requisicao de endereco
Supondo que o
cache esta vazio ou
sem informacoes
relevantes
8 / 28
![Page 10: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/10.jpg)
Exemplo de requisicao de endereco
9 / 28
![Page 11: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/11.jpg)
Exemplo de requisicao de endereco
10 / 28
![Page 12: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/12.jpg)
Exemplo de requisicao de endereco
11 / 28
![Page 13: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/13.jpg)
Exemplo de requisicao de endereco
12 / 28
![Page 14: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/14.jpg)
Exemplo de requisicao de endereco
13 / 28
![Page 15: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/15.jpg)
Exemplo de requisicao de endereco
14 / 28
![Page 16: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/16.jpg)
Exemplo de requisicao de endereco
15 / 28
![Page 17: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/17.jpg)
Exemplo de requisicao de endereco
16 / 28
![Page 18: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/18.jpg)
Fluxo de dados
Autoritativo
Recursivo
Server 1
Servers 2-n
Resolver
11
11
1 Resolver faz consultas no Recursivo2 Recursivo faz consultas no Autoritativo (Servidor 1 ou Servidor[2-n])3 Servidor 1 tem os dados originais4 Servidor[2-n] recebe os dados do Servidor 1
17 / 28
![Page 19: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/19.jpg)
Vulnerabilidades
Autoritativo
Recursivo
Server 1
Servers 2-n
Resolver
11
Poluição de Cache
Impersonificação
do recursivo
18 / 28
![Page 20: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/20.jpg)
Exemplo de AtaquePoluicao de Cache
19 / 28
![Page 21: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/21.jpg)
Exemplo de AtaquePoluicao de Cache
20 / 28
![Page 22: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/22.jpg)
Exemplo de AtaquePoluicao de Cache
21 / 28
![Page 23: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/23.jpg)
Exemplo de AtaquePoluicao de Cache
22 / 28
![Page 24: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/24.jpg)
Exemplo de AtaquePoluicao de Cache
O atacante responde mais rapido, spoofando endereco do autoritativo
23 / 28
![Page 25: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/25.jpg)
Exemplo de AtaquePoluicao de Cache
O atacante responde mais rapido, spoofando endereco do autoritativo
24 / 28
![Page 26: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/26.jpg)
Exemplo de AtaquePoluicao de Cache
O atacante responde mais rapido, spoofando endereco do autoritativo
25 / 28
![Page 27: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/27.jpg)
DNSSECDomain Name System SECurity extensions
Extensao da tecnologia DNS(o que existia continua a funcionar)
Possibilita maior seguranca para o usuario na Internet(corrige falhas do DNS)
Garantias do DNSSEC
Origem (Autenticidade)
Integridade
26 / 28
![Page 28: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/28.jpg)
Como configurar DNSSEC
Como configurar DNSSEC no seu dominio (servidor autoritativo)
ftp://ftp.registro.br/pub/doc/configuracao dnssec dominio.pdf
Como configurar DNSSEC no servidor recursivo
ftp://ftp.registro.br/pub/doc/configuracao dnssec servidor recursivo.pdf
Mais informacoes podem ser encontradas nos tutoriais de DNS e DNSSEC:
https://registro.br/tecnologia/dnssec/tutoriais/
27 / 28
![Page 29: David Robert Camargo de Campos Rafael ... - ftp.registro.br · Tipos de dados que podem ser armazenados Os dados associados com os nomes de dom´ınio est˜ao contidos em Resource](https://reader033.vdocuments.pub/reader033/viewer/2022042418/5f349bae6981a504cd76bd1a/html5/thumbnails/29.jpg)
Perguntas?http://registro.br/tecnologia/dnssec/tutoriais/
Envie suas duvidas para [email protected]
28 / 28