Proteja o seu domínio contra o cache poisoning
Nos últimos anos, os hackers aperfeiçoaram os métodos de «poisoning» dos servidores DNS. Estes recorrem à falsificação das respostas do DNS para desviarem o tráfego para os seus próprios servidores (phishing, etc.) falsificando as respostas do DNS. Proteja os seus servidores DNS com a nossa solução DNSSEC.
Expiração
Detalhes
DNSSEC
Expiração
Detalhes
- DNS Seguro
- Proteção contra o cache poisoning
- Ativável a partir da sua Área de Cliente
Proteção da solução DNSSEC face a um ataque
O utilizador introduz o endereço www.ovhcloud.com no seu browser. É enviado um pedido ao servidor DNS que devolve o endereço IP correspondente: 213.186.33.34.
O browser conhece agora o endereço IP do servidor que contém a página www.ovhcloud.com. Remete um pedido para este endereço IP que devolve o conteúdo da página.
Perigo: cache poisoning
Um hacker descobriu uma falha no servidor DNS e consegue introduzir-se no servidor, bem como modificar o endereço correspondente a www.ovhcloud.com pelo IP de um servidor secundário que lhe pertence: 203.0.113.78.
Quando o utilizador introduz o endereço www.ovhcloud.com, o seu browser dirige-se para o servidor DNS para obter o endereço IP correspondente. O DNS infetado devolve o endereço introduzido pelo hacker: 203.0.113.78.
O browser utiliza este endereço IP para obter o conteúdo do site. O servidor pirata envia-lhe uma página semelhante a www.ovhcloud.com para obter os seus dados pessoais (phishing).
Para que serve o DNSSEC?
O DNSSEC permite proteger a autenticidade da resposta DNS. Assim, sempre que o browser enviar um pedido, este é devolvido com uma chave de autenticação que indica que o IP devolvido é o correto.
O utilizador tem a garantia de aceder ao site correto quando recebe um IP validado por DNSSEC. O objetivo é apontar as incoerências nos pedidos.
Se um hacker tentar modificar a tabela contida num servidor DNS protegido por DNSSEC, o servidor irá rejeitar os pedidos do hacker, pois estes não estão autenticados.
Respostas a questões frequentes
Como proteger o meu servidor DNS?
Para se defender desta prática, o protocolo DNSSEC utiliza os princípios da criptografia assimétrica e da assinatura digital para garantir a autenticidade dos dados, bem como uma prova de não existência se o registo solicitado não existir e puder ser considerado fraudulento.
Para que serve um DNS?
Um servidor DNS serve para obter o endereço IP correspondente a um nome de domínio (URL no caso de um website). Trata-se de uma espécie de diretório. O serviço DNS traduz os nomes de domínio em endereços IP, bem como noutros tipos de registos. O endereço IP é necessário para que o browser possa contactar o servidor web responsável pelo site que pretende visitar, pois o endereço IP identifica de forma única cada máquina ligada à Internet, exatamente como um número de telefone. É um elemento discreto mas crucial para a segurança na Internet. O exemplo mais comum de servidor DNS é o servidor BIND, o mais presente na Internet.
Atualmente, os endereços IP são principalmente registados em IPv4 e foi iniciado um processo de transição para utilizar endereços IPv6. Cada associação de nome de domínio a um endereço IP é única.
Os servidores DNS têm uma hierarquia. A raiz (geralmente representada por um ponto) é o centro hierárquico mais alto. Num domínio, é possível criar vários subdomínios que, por sua vez, podem criar delegações de subdomínios alojados noutros servidores. As delegações criam então zonas com o seu próprio sistema hierárquico. Os domínios que se situam pouco abaixo da raiz são os domínios primários (TLD ou Top Level Domain). As atualizações são feitas no servidor primário do domínio. A transferência da zona consiste na reprodução dos registos do servidor primário pelos servidores secundários.
Em que consiste uma pesquisa num servidor DNS?
Quando um host procura um domínio, percorre o conjunto da hierarquia do DNS de forma iterativa até ao domínio preciso. Um fornecedor de acesso à Internet coloca à disposição dos seus clientes servidores recorrentes que realizam investigações deste tipo. Quando este servidor efetua uma pesquisa de endereço IP, o servidor envia o pedido aos servidores raiz e escolhe um que lhe dê uma resposta. Se não for o caso, irá escolher outro na lista dos servidores e assim sucessivamente. É possível que consulte vários servidores antes de encontrar o que corresponde ao pedido.
No caso de uma resolução inversa (ou reverse DNS), ou seja, de uma pesquisa utilizando o seu endereço IP em primeiro lugar, esta é realizada através de uma entrada PTR. Indica a que nome do servidor host corresponde o endereço do servidor em causa. Se for especificada, deve conter o registo inverso de uma entrada DNS A ou AAAA. Os pedidos dos servidores de e-mails online (e-mails, etc.) não possuem nenhum registo PTR, pelo que têm mais hipóteses de não serem bem-sucedidos.
Quais são os registos de um servidor DNS?
No que diz respeito aos outros registos DNS, encontra-se geralmente o SOA record (Start Of Authority record) que fornece informações sobre a zona: servidor principal, e-mail de contacto, diferentes durações, incluindo a data de expiração, número de série da zona, etc. É, de certa forma, o cartão de identidade do servidor DNS. Este registo de tipo de dados DNS inclui um número de série que se deve incrementar em cada modificação do ficheiro de zona.
Também se encontra o TXT record que permite a um administrador criar texto num registo DNS. Qualquer tipo de registo está associado a um TTL (Time to Live) que corresponde a uma duração de vida, ou seja, o tempo durante o qual é permitido o seu armazenado num servidor de cache. E é aqui que pode ocorrer o ataque de envenenamento da cache DNS (ou DNS cache poisoning).
O que é o cache poisoning?
O envenenamento da cache DNS, ou poluição da cache DNS, é uma técnica de hacker destinada a enganar um servidor DNS, fazendo-o crer que recebe uma resposta válida e autêntica a um pedido. O servidor DNS contaminado coloca a informação numa cache. Os utilizadores são então reencaminhados para locais duvidosos, que podem ser utilizados para phishing ou como canal para instalar um vírus.
Geralmente, o atacante explora uma vulnerabilidade do servidor DNS que aceitaria pedidos imprecisos ou falsos. As vítimas, que esperam aceder ao conteúdo pretendido, veem-se confrontadas com outro conteúdo potencialmente perigoso.
Geralmente, um servidor DNS possui uma porta 53. O tamanho máximo de uma resposta deve ser de 512 bytes e , se ultrapassar este tamanho, o pedido é reenviado para o Tcp 53. Contudo, este tipo de reencaminhamento é raro, uma vez que os fornecedores de alojamento restringem a possibilidade de transferir zonas DNS desta forma.
Como configurar uma zona DNSSEC no seu DNS para um domínio alojado na OVHcloud?
Encontre todas as informações para ativar o DNSSEC nos seguintes manuais:
Editar uma zona DNS da OVH
Alterar os servidores DNS de um nome de domínio OVH