DeSplinter / Redes / 0 comentários

DNS – A Internet Vai Parar Em 2018?

Tenho recebido vários questionamentos sobre se é verdade sobre a parada dos servidores DNS, então resolvi fazer esse post para responder.

Muito se tem noticiado sobre a troca das chaves  KSK dos servidores DNS, e que com essa troca o seu servidor ira parar e a internet no mundo corre o risco de parar mais precisamente em outubro de 2018, mas será que isso é uma verdade absoluta?

Vejamos então:

De acordo com o documento disponível na ICANN as datas são as seguintes:

  • Outubro de 2016: geração da nova KSK
  • Fevereiro de 2017: publicação da nova KSK no site da IANA
  • Julho de 2017: publicação da nova KSK no DNS
  • Outubro de 2017: uso da nova KSK para assinatura (a revisão em si)
  • Janeiro de 2018: revogação da KSK antiga
  • Março de 2018: destruição segura da KSK antiga e conclusão do processo de revisão

https://www.icann.org/pt/system/files/files/ksk-rollover-at-a-glance-22jul16-pt.pdf

Entendendo o funcionamento!

Para isso precisamos entender bem o conceito e funcionamento dos servidores DNS para entendermos onde as chaves KSK se encaixam.

O NIC.br tem um canal no youtube que particularmente acho fantástico, eles disponibilizam vários vídeos explicativos que foram desenvolvidos em uma linguagem muito simples para entendimento do funcionamento da internet, e um desses vídeos eu vou colocar aqui para que possamos entender o funcionamento do DNS e DNSSEC.

 

Após ver o vídeo sabemos então que o DNSSEC  aplica uma camada de segurança no DNS usando criptografia, evitando assim diversos problemas que o DNS sofre em razão de sua arquitetura.

Para o DNSSEC  existe uma etapa do processo de consulta que se chama VALIDAÇÃO, nessa etapa os servidores utilizam uma cadeia de chaves de criptografia para comparar se a chave criptográfica utilizada pelo servidor que esta consultando é válida, utilizando diversos parâmetros para essa validação.

E então é aqui que a coisa toda acontece, existe uma chave criptográfica chamada de Trust Anchor assinada em 2010 que de acordo com a sua documentação deve ser trocada a cada 5 anos ou quando acontecer algum incidente. Ela é responsável pela validação da troca de informação entre os servidores DNS.

Está chave já deveria ter sido trocada, porém por diversas situações políticas e afins não foi trocada e agora chegou a hora.

Mas como nossos arquitetos de tecnologia acompanham a evolução, adivinha só, alguém imaginou que isso iria acontecer e que iria dar um trabalhão para trocar todas as chaves dos servidores DNS espalhados pelo mundo, tu acredita nisso?

É verdade, a maioria dos servidores DNS implementam a RFC 5011, ela é responsável pela atualização da chave Trust Anchor e assim o administrador de rede pode ficar um pouco mais tranquilo.

 

Para quem usa UNBOUND:

A partir da versão 1.4.0(Nov/2009)

server:
auto-trust-anchor-file: “/var/lib/unbound/root.key”

Nas versões mais novas o UNBOUND já separa essa configuração  direto pelo arquivo /etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf

Conteúdo do arquivo:

server:
# The following line will configure unbound to perform cryptographic
# DNSSEC validation using the root trust anchor.
auto-trust-anchor-file: “/var/lib/unbound/root.key”

 

Para quem usa BIND:

A partir da versão 9.8 (Mar/2011)

No arquivo /etc/bind/named.conf.options

options{
dnssec-validation auto;
};

 

Deixo aqui um vídeo do GTER 42 com o Frederico Neves que é CTO-Diretor de Serviços e de Tecnologia do Nic.br uma verdadeira aula do que será o Roll-over da KSK raiz.

Bom é isso pessoal, espero que tenha ajudado a esclarecer as dúvidas ou até mesmo sana-las.

Vale lembrar que grande parte dos canais que estão falando sobre o assunto estão interessados em alertar para um possível problema, para que as pessoas responsáveis tomem os devidos cuidados e evitem caso necessário um potencial problema.

Nosso compromisso é sempre em fornecer informações relevantes e de qualidade.

Grande abraço a todos!