DNSSec: Tutorial de configuração

Tutorial de configuração do Domain Name System Security Extensions (DNSSec) na Tabela de DNS para domínios nacionais e internacionais.

DNSSec é um protocolo internacional de segurança que foi criado para ser o novo padrão nas tabelas DNS de domínios. A ideia desta implementação é criar um sistema de autenticação para a resolução de nomes mais seguro, reduzindo possíveis ataques ao DNS com o objetivo de forjar e redirecionar tráfego do site.

Para exemplificar o problema basta digitar no Google palavras como: “ataque DNS”, “DNS spoofing” ou “DNS poisoning”. Você notará que existe um infinidade de ataques hacker deste tipo, sendo muito comum o desvio de tráfego de determinados websites com finalidades diversas, seja para aumento de tráfego em outro site ou até mesmo para usar o desvio criando um clone do site e prejudicando usuários cadastrados de bancos.

Grandes empresas já foram alvo deste tipo de ataque, alguns exemplos são a Microsoft, Coca Cola, Yahoo, PayPal e até mesmo o Google. Em 2009 uma empresa REGISTRAR em Porto Rico sofreu um ataque DNS e teve o tráfego de algumas destas empresas acima desviados para outras páginas.

O DNSSec tenta solucionar ataques a tabela DNS criando uma espécie de “assinatura digital” criptografada entre a empresa onde você registrou o domínio (REGISTRAR) e a empresa que mantém a tabela DNS dele. No Brasil a Registro.BR oferece este serviço desde 2007 mas poucas pessoas usam ou sabem da importância, e como vocês já devem ter percebido, para empresas que vendem pela internet (lojas online) esta implementação de segurança é indispensável.

A configuração do DNSSec depende do tipo de domínio (TLD), da empresa em que ele se encontra registrado (REGISTRAR) e da empresa ou ferramenta que gerencia a tabela DNS. Para facilitar a instalação e o uso irei novamente falar aqui sobre a CloudFlare e a Namecheap que facilitam a vida de quem registra e lida com sites e domínios. *Manter a tabela DNS configurada no próprio servidor usando BIND9 é uma péssima decisão para a maioria dos sites como sempre explico em meus tutoriais.

A CloudFlare além de gerenciar as tabelas de DNS gratuitamente tem também a opção do DNSSec no mesmo plano free. E a Namecheap é, na minha opinião, a melhor empresa REGISTRAR do mercado, apesar de não terem TLDs “.br” para venda, sendo este disponível somente pela Registro.BR.

TESTE O SEU DOMÍNIO: Antes de configurar o DNSSec acesse esta ferramenta online que permite analisar e visualizar os registros da tabela, exibindo os que estão inseguros. *Caso o domínio ainda não tenha sido analisado antes clique em “Analyse.

Implementação de protocolo de segurança DNS com DNSSec

* OPCIONAL: Se você ainda não tem um servidor VPS siga o nosso tutorial Servidor Linux VPS: Debian 8 Jessie com ISPConfig 3 e NginX + Servidor de Emails, clique aqui e aprenda como instalar.

Acesse a sua conta na CloudFlare e siga os passos para habilitar o DNSSec

A Selecione um website e clique no icone de menu “DNS“.

B Role a tela e, logo abaixo dos registros da tabela DNS, clique no botão “Enable DNSSEC“.

C Uma tela popup será exibida com informações de registros DS (Delegation Signer) que deverão ser inseridos no painel do domínio do seu REGISTRAR, em nosso caso a Namecheap.

2 Acesse a conta na Namecheap e configure conforme abaixo

A No painel da conta na Namecheap clique no botão “Manage” ao lado direito do seu domínio. E na próxima tela selecione a aba “Advanced DNS“.

B Em DNSSEC ative-o clicando no botão ao lado de “Status“. Abrirá uma extensão da tela solicitando algumas das informações fornecidas pela CloudFlare. *Note que nem todas as informações da CloudFlare são necessárias para a Namecheap, mas pode ser que o seu REGISTRAR irá solicitá-las.

C Preencha todos os campos solicitados na tela e note que alguns deles, como por exemplo o Algorithm, poderão estar um pouco diferentes (Na CloudFlare é exibido somente o número da opção e na Namecheap mostra também a descrição ao lado). Clique no sinal de OK “checked“, ao lado direito da linha com os campos, para adicionar o registro.

3 Retorne à CloudFlare e confirme o registro

A Na tela popup da CloudFlare clique no botão “Continue“.

B Caso o DNSSec ainda apareça como “pendente” na CloudFlare aguarde uns 2 minutos e pressione F5 para recarregar a tela. Se tudo deu certo aparecerá uma mensagem parecida com esta “Success! fatorbinario.com is protected with DNSSEC“.

NOTAS:

Note  que você poderá desativar o DNSSec quando quiser, tanto na CloudFlare como no seu REGISTRAR.

Para um passo a passo de como configurarno Registro.BR ou outra empresa de registro com a CloudFlare siga este link.

Após configurar e aplicar os registros DS retorne à ferramenta de testes no início deste tutorial e refaça a análise do site, deverá estar tudo como “Seguro” agora.

Em meus testes de implementação para clientes notei que algumas extensões de nome de domínio (TLD) podem estar presentes somente em alguns REGISTRAR. Por exemplo o TLD “.org” ainda não tem suporte ao DNSSec pela Namecheap mas está disponível em outras empresas. E nem todos têm suporte pela CloudFlare.

DNSSec é uma tecnologia que até agora não era amplamente difundida por causa da dificuldade de implementar que, se instalada diretamente no servidor com BIND9, requer habilidades e documentação extra. Migrar a tabela DNS para a CloudFlare é a melhor solução.

Recentemente o Google, através de seus resolvedores DNS (8.8.8.8 e 8.8.4.4), começou a alertar sites de governo sobre a necessidade de habilitar o DNSSec a fim de que sejam indexados pelos DNS descritos. Mas pela minha experiência eles poderão extender o alerta para mais TLDs em breve.

*Se você tem uma agência ou é somente desenvolvedor de sites e esteja procurando uma solução para o gerenciamento de servidores e estruturação da Infraestrutura o Fator Binário tem um plano de parcerias especial para estes casos. Saiba mais enviando um email para [email protected]

Gerenciamento em infraestrutura de Servidores Cloud VPS e Dedicados. Planos mensais acessíveis e consultoria diferenciada para agências de marketing. Envie um email para [email protected] e solicite uma análise gratuita!

728x90a
  • Dan Rezende

    Excelente dica, é importantíssimos que os desenvolvedores comecem a utilizar e aumentem a segurança de seus clientes.

  • Lendo sobre o ocorrido com o seu cliente parece bem desesperador em alguns casos. Caso eles decidam mesmo a exigir para todos os TLDs..