Soluções de segurança para servidores DNS

Sem segurança inerente, os servidores do Sistema de Nomes de Domínio (DNS) de diversas empresas são repetidamente atacados para permitir uma série de crimes, incluindo envenenamento de cache, redirecionamento de chamadas telefônicas, ataques de intrusos para roubar senhas, redirecionamento de e-mail, ataques de negação de serviço, e muito mais.

O padrão Domain Name Systems Security Extensions (DNSSEC) protege a hierarquia do servidor DNS assinando digitalmente registros DNS para garantir que as mensagens recebidas sejam as mesmas que foram enviadas.

Para proteger o servidor DNS é preciso uma forte segurança de chaves

Basicamente, o DNSSEC implementa infraestruturas de chaves públicas (PKI) para fornecer um método de comunicação segura entre os servidores DNS. Como a PKI, o DNSSEC requer alguns procedimentos novos como geração de chaves, assinatura e gerenciamento de chaves. Contudo, para todas as possíveis vantagens do DNSSEC, os ganhos pretendidos não são garantidos porque os registros de recursos introduzidos pelo DNSSEC são mantidos em um arquivo não criptografado.

Somente quando toda a infraestrutura do DNSSEC estiver completamente segura é que as empresas poderão começar a desfrutar plenamente das vantagens do DNSSEC. Para isso, as empresas precisam ter capacidade de fazer o seguinte:

• Proteger assinaturas digitais. As mensagens DNS precisam ser assinadas digitalmente a fim de garantir a validade dos serviços DNS.
• Controlar o acesso. As empresas precisam garantir que somente clientes autorizados e pessoal interno possam acessar aplicativos e dados confidenciais.
• Manter a integridade de aplicativos. Todos os códigos e processos associados a um aplicativo precisam ser protegidos para garantir sua integridade e proibir sua execução não autorizada.
• Capacidade de processar grandes volumes. Como as atualizações de DNS são muito frequentes, as infraestruturas DNSSEC precisam ter o desempenho e a escalabilidade necessários para garantir o processamento oportuno em todos os momentos.

Segurança de servidores DNS com módulos de segurança de hardware

Para proteger a validade dos serviços DNS, o DNSSEC emprega criptografia de chave pública para assinar digitalmente as mensagens DNS. Para realizar a segurança necessária, é fundamental que as chaves de assinatura privadas sejam fortemente protegidas. Se as chaves e seus certificados digitais correspondentes forem comprometidos, a cadeia de confiança da hierarquia DNS é quebrada e torna todo o sistema obsoleto. É aqui que os módulos de segurança de hardware (HSMs) entram em ação.

Os HSMs são sistemas dedicados que protegem física e logicamente as chaves criptográficas e o processamento criptográfico que estão no centro das assinaturas digitais. Os HSMs suportam as seguintes funções:

• Gerenciamento do ciclo de vida, incluindo geração, distribuição, rotação, armazenamento, encerramento e arquivamento de chaves.
• Processamento criptográfico que oferece as vantagens de isolar e descarregar o processamento criptográfico de servidores de aplicativos.

Ao armazenar chaves criptográficas em um dispositivo centralizado e forte, os HSMs podem eliminar riscos associados a ter dados alojados em plataformas diferentes e pouco seguras. Além disso, esta centralização simplifica significativamente a administração da segurança.

HSMs da Thales para DNSSEC:

• Suporte para sistemas DNSSEC Anchor Trust
• Segurança de chaves para o sistema e toda a hierarquia DNS - ZSK e KSK
• Motor criptográfico potente que descarrega a carga criptográfica do servidor DNS
• Diversos tipos de HSMs para atender a múltiplos requisitos DNSSEC
• APIs-padrão incluindo PKCS#11, Java, MS CAPI
• Modelos disponíveis com certificação FIPS e Common Criteria
• Integram-se com as principais plataformas DNS como OpenDNSSEC, BIND 9.7, FreeBSD