DNSSEC (Domain Name System Security Extensions) é uma extensão do sistema de nomes de domínio (DNS) que fornece segurança adicional para consultas DNS. Seu principal objetivo é garantir a autenticidade, integridade e confidencialidade dos dados DNS, protegendo-os contra envenenamento de cache e ataques de falsificação.
No final do artigo você encontrará um pequeno teste isso vai permitir a você avaliar o conhecimento adquirido nesta leitura
DNSSEC (extensões de segurança do sistema de nomes de domínio)
DNSSEC usa criptografia de chave pública para assinar digitalmente registros DNS, permitindo aos usuários verificar a autenticidade dos dados obtidos de um servidor DNS. Veja como funciona o DNSSEC:
1. Assinaturas de zona digital
No DNSSEC, uma chave de assinatura de zona (ZSK) é criada para cada zona DNS. Esta chave é usada para gerar assinaturas digitais dos registros DNS na zona. As assinaturas digitais são geradas usando algoritmos criptográficos e anexadas aos registros DNS correspondentes.
2. Chave de assinatura de zona (ZSK) e chave de assinatura de chave (KSK)
Além do ZSK, uma chave de assinatura (KSK) é usada para assinar digitalmente o ZSK e estabelecer uma cadeia de confiança. A KSK é mantida separada da ZSK e é usada para assinar e renovar a ZSK periodicamente.
3. Cadeia de confiança
Cada servidor DNS que implementa DNSSEC armazena as chaves públicas necessárias para verificar assinaturas digitais. Essas chaves públicas são usadas para estabelecer uma cadeia de confiança que permite aos usuários validar a autenticidade dos dados DNS.
4. Tour de autenticação
Quando um cliente realiza uma consulta DNS, o servidor DNS que implementa o DNSSEC envia os registros solicitados juntamente com as assinaturas digitais correspondentes. O cliente pode verificar a autenticidade dos registros utilizando as chaves públicas armazenadas em sua configuração DNSSEC.
5. Assinatura de cadeia de confiança
Para estabelecer a cadeia de confiança, a KSK é usada para assinar digitalmente a ZSK e sua assinatura é adicionada à zona DNS. Isso garante que os usuários que confiam na KSK também possam confiar na ZSK e, portanto, nos dados da zona DNS.
O DNSSEC fornece uma camada adicional de segurança ao sistema de nomes de domínio, garantindo que os dados DNS não foram modificados em trânsito e vêm de fontes legítimas. Isso protege contra ataques de envenenamento de cache DNS, em que os invasores falsificam as respostas DNS e redirecionam o tráfego para destinos maliciosos.
ICMPv6 seguro
Secure ICMPv6, também conhecido como Secure ICMP for IPv6, é uma extensão do Internet Control Message Protocol versão 6 (ICMPv6) que fornece segurança adicional para mensagens ICMPv6 sobre IPv6.
O seu principal objetivo é garantir a autenticidade e integridade das mensagens ICMPv6, evitando ataques de spoofing e garantindo que as mensagens provêm de fontes legítimas e não foram modificadas em trânsito.
Abaixo estão alguns recursos e mecanismos principais do Secure ICMPv6:
1. Autenticação de mensagem ICMPv6
O Secure ICMPv6 usa técnicas de autenticação para verificar a identidade da origem das mensagens ICMPv6. Baseia-se no uso de assinaturas digitais e criptografia de chave pública para autenticar mensagens ICMPv6 e garantir que elas venham de fontes confiáveis.
2. Integridade da mensagem ICMPv6
O ICMPv6 seguro garante a integridade das mensagens ICMPv6 usando assinaturas digitais. Cada mensagem ICMPv6 é assinada digitalmente com uma chave privada para gerar uma assinatura digital, e esta assinatura é anexada à mensagem. Ao receber a mensagem, o destinatário pode verificar a integridade da mensagem utilizando a chave pública correspondente e verificando a validade da assinatura digital.
3. Criptografia de chave pública
O ICMPv6 seguro depende da infraestrutura de chave pública (PKI) para gerenciar as chaves públicas e privadas necessárias para autenticação e assinatura digital. Cada entidade participante possui o seu próprio par de chaves pública-privada, onde a chave privada é utilizada para assinar mensagens e a chave pública é utilizada para verificar assinaturas.
4. Verificação de assinatura digital
Ao receber uma mensagem ICMPv6, o receptor verifica a assinatura digital anexada utilizando a chave pública correspondente. Se a assinatura for válida, isso indica que a mensagem ICMPv6 não foi modificada em trânsito e vem da fonte esperada.
O ICMPv6 seguro fornece uma camada adicional de segurança para mensagens ICMPv6 sobre IPv6, garantindo que as mensagens sejam autênticas e não tenham sido modificadas. Isso ajuda a evitar ataques de falsificação e garante que as mensagens ICMPv6 sejam confiáveis e venham de fontes legítimas.
É importante observar que a implementação e o suporte do Secure ICMPv6 podem variar entre sistemas e dispositivos de rede. Nem todos os dispositivos ou sistemas operacionais oferecem suporte nativo ao Secure ICMPv6 e podem ser necessárias configurações e definições adicionais para habilitar e usar esta extensão de segurança.
BGPsec (extensões de segurança do protocolo Border Gateway)
BGPsec (Border Gateway Protocol Security Extensions) é uma extensão do protocolo de roteamento Border Gateway Protocol (BGP) que fornece segurança adicional para rotas anunciadas na Internet. Seu principal objetivo é garantir a autenticidade e integridade das rotas BGP, prevenindo ataques de roteamento maliciosos e melhorando a segurança na infraestrutura da Internet.
Abaixo estão alguns elementos fundamentais do BGPsec:
1. Assinatura digital de rota
O BGPsec usa assinaturas digitais para autenticar e validar rotas BGP. Cada anúncio de rota BGP é assinado digitalmente usando criptografia de chave pública. Isso permite que os roteadores BGP verifiquem a autenticidade das rotas e garantam que elas venham de fontes confiáveis.
2. Cadeia de confiança
O BGPsec estabelece uma cadeia de confiança para validar rotas BGP. Cada assinatura digital de rota é verificada usando a chave pública do emissor, e essa chave pública, por sua vez, é autenticada usando uma cadeia de certificados confiáveis e chaves públicas. Desta forma, é criada uma cadeia de confiança que permite aos roteadores BGP validar a autenticidade das rotas.
3. Atualizações de protocolo
O BGPsec apresenta novas atualizações e extensões ao protocolo BGP para oferecer suporte à assinatura e verificação de rotas. Isso envolve mudanças na forma como os roteadores BGP trocam informações e processam anúncios de rotas, para incluir informações necessárias para autenticação e integridade.
4. Infraestrutura de Chave Pública (PKI)
O BGPsec requer uma infraestrutura de chave pública (PKI) para gerenciar e distribuir as chaves públicas e os certificados necessários para assinar e verificar rotas. A PKI é usada para gerar e distribuir chaves públicas e privadas, bem como para estabelecer confiança nas chaves públicas dos emissores de rotas.
5. Mitigação de ataques de roteamento maliciosos
O BGPsec melhora a segurança na infraestrutura da Internet ao mitigar ataques de roteamento maliciosos, como envenenamento e falsificação de rotas. Ao garantir a autenticidade das rotas BGP, o BGPsec ajuda a evitar que invasores manipulem o roteamento e desviem o tráfego para destinos maliciosos.
É relevante ter em mente que o BGPsec requer a adoção e cooperação de operadores de rede e provedores de serviços de Internet para ser eficaz globalmente. Todos os roteadores ao longo do caminho devem suportar BGPsec e estar configurados corretamente para usar esta extensão de segurança.
Breve teste de conhecimento
O que você acha deste artigo?
Você tem coragem de avaliar seu conhecimento aprendido?
Livro recomendado para este artigo
Livro IPv6 com MikroTik, RouterOS v7
Material de estudo do Curso de Certificação MTCIPv6E atualizado para RouterOS v7