Site Meter Suporte a DNSSEC no Windows Server 2008 R2 e Windows 7 - Negócio de Risco - Site Home - TechNet Blogs

Negócio de Risco

Blog do Time de Segurança da Microsoft Brasil

Suporte a DNSSEC no Windows Server 2008 R2 e Windows 7

Suporte a DNSSEC no Windows Server 2008 R2 e Windows 7

  • Comments 2
  • Likes

Uma das novidades do Windows 7 e do Windows Server 2008 R2 (o “Windows 7 Server”) é o suporte a DNS Security Extensions (DNSSEC), conforme descrito nas RFCs 4033, 4034 e 4035. Este suporte vai estar presente tanto no servidor DNS do Windows Server 2008 R2 quanto no cliente DNS (stub resolver) presente em ambas estas versões do Windows.

O DNSSEC permite que tanto servidores quanto clientes possam validar as respostas recebidas em suas consultas ao DNS. A validação impede em muitos casos ataques de falsificação de registros DNS, como os de cache poisoning, e são a resposta definitiva para vulnerabilidades como a falha descoberta ano passado por Dan Kaminski e corrigida no boletim MS08-037.

[Vale ressaltar que DNSSEC não é uma proteção contra outros tipo de ataques, notadamente aqueles onde o servidor ou principalmente o cliente foram comprometidos por malware. Aqui no Brasil nós tivemos na mídia afirmações sobre DNSSEC melhorando a segurança nas transações bancárias feitas via Internet, o que é extremamente questionável (para dizer o mínimo) dada a forma como as fraudes são feitas atualmente no país.]

No servidor DNS do Windows Server 2008 R2 serão implementados os seguintes recursos:

■  O servidor DNS pode ser autoritativo para zonas DNSSEC, com assinatura das zonas feita por uma ferramenta de assinatura offline. O servidor pode ser primário ou secundário para a zona ou ainda armazená-la no Active Directory.

■  Configurar os trust anchors (as chaves públicas para as zonas assinadas externamente), permitindo que o servidor possa montar a cadeia de confiança na hora de validar estas zonas.

■  Quando usado de forma recursiva o servidor pode validar as respostas DNSSEC de acordo com as RFCs.

No cliente DNS do Windows 7 e do Windows Server 2008 R2 é do tipo non-validating security-aware, o que quer dizer que ele pode ser configurado para exigir a validação via DNSSEC (security-aware), descartando a resposta caso ela não seja validada, mas que esta validação é feita pelo servidor e não pelo cliente (non-validating).

A comunicação entre o cliente e o servidor DNS utilizado para a validação pode ser protegida com o uso de IPsec em modo de transporte, que garante a autenticidade e a opcionalmente a confidencialidade deste tráfego. Caso a proteção com IPsec seja requerida o cliente espera que exista um certificado no servidor DNS que na prática estabelece para o cliente que aqueele servidor é confiável para fazer validação DNSSEC em seu nome.

O comportamento do cliente é configurado através de um novo recurso chamado Name Resolution Policy Table (NRPT), implementada em ambos os sistemas operacionais. O NRPT é uma tabela que permite associar cada zona a um servidor DNS específico, e especificar se a validação DNSSEC é requerida. Por exemplo, a NRPT de um determinado cliente poderia ser configurado da seguinte forma:

Sufixo DNS

Servidor DNS

Validação DNSSEC

Requer IPsec

*.jus.br

192.168.0.2

Sim

Sim

*.b.br

192.168.0.2

Sim

Sim

*.corp.microsoft.com

10.0.0.3

Sim

Não

Neste exemplo acima as consultas para domínios .jus.br e .b.br são enviadas para o servidor recursivo 192.168.0.2, e o cliente informa o servidor que ele quer que as respostas sejam validadas com DNSSEC. Estas consultas são enviadas em um canal protegido com IPsec. Caso as respostas não tenham sido marcadas pelo servidor como validadas por DNSSEC (não seja possível estabelecer a negociação IPsec) o cliente DNS descarta as respostas, não repassando os nomes obtidos para as aplicações.

O Windows 7 e o Windows Server 2008 R2 terão o seu Beta 1 divulgado nos próximos dias, e você poderá então testar estes novos recursos. Para saber mais sobre o Windows 7 veja o nosso site, e mais informações sobre DNS e DNSSEC no Windows podem ser obtidos no blog Port 53 da Microsoft.

Comments
Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment