Destaques

2010.08.16

Workshops DNSSEC

A segurança na Internet é cada vez mais uma prioridade. No âmbito do novo serviço de extensões de segurança ao DNS designado DNSSEC e já disponibilizado no .PT deste o dia 4 de Janeiro de 2010, a FCCN - Fundação para a Computação Científica Nacional promove no último Quadrimestre de 2010 um ciclo de workshops DNSSEC com o objectivo de dotar os participantes dos conhecimentos necessários sobre DNSSEC e fornecer uma experiência prática na configuração e assinatura de zonas DNS num ambiente de referência (BIND) focando questões operacionais inerentes ao DNSSEC.

O primeiro Workshop DNSSEC será já dia 8 de Setembro de 2010 nas instalações da FCCN pelas 14h30 com duração de 2h e terá um número máximo de 10 participantes. Atendendo ao interesse que estes Workshops têm junto da comunidade as inscrições serão aceites por ordem de chegada.

Pela relevância e actualidade das matérias a abordar e sendo V. Exas. um interlocutor importante entre a comunidade Internet e a FCCN muito gostaríamos de contar com a V. presença numa das sessões.

Agradecemos confirmação da V. participação para o endereço de email secretaria@dns.pt, com indicação da sessão em que pretende participar. Só serão aceites inscrições até 48 horas antes de cada sessão.

Consulte aqui o programa dos Workshops DNSSEC e as datas: PROGRAMA.


2010.02.11

Workshop DNSSEC

Integrado no âmbito das Jornadas RCTS (Rede Ciência, Tecnologia e Sociedade) decorreu um Workshop Técnico de DNSSEC. O objectivo principal deste workshop foi dotar os participantes dos conhecimentos necessários sobre DNS e DNSSEC e fornecer experiência prática na configuração e assinatura de zonas DNS num ambiente de referência (BIND). Além da experiência prática em DNSSEC, o workshop também focou os tipos de ataque que este protocolo protege e as questões operacionais inerentes à implementação de DNSSEC.

Material de apoio:
Apresentação - Workshop DNSSEC
Ficheiros de Exemplo - zona01.dnssec.pt e named.conf
KIT DNSSEC - DNSSEC_KIT_v0.7_(with_example).zip e DNSSEC_KIT_v0.7_(basic).zip


Jornadas RCTS Página Principal Inscrição nas Jornadas RCTS
Cartaz das Jornadas RCTS

2010.02.10

Deployment DNSSEC - Estado da arte na RCTS

No âmbito das Jornadas RCTS foi realizada uma apresentação na sessão de Segurança com o tema "Deployment DNSSEC" que teve como obejectivo a apresentação do estado de desenvolvimento do DNSSEC na RCTS e discussão de abordagens, constrangimentos e plano de trabalhos.

Para mais informação consulte o site das Jornadas RCTS e encontra-se disponível aqui a apresentação que foi realizada "Deployment DNSSEC".


2010.01.07

FCCN torna o .PT mais seguro e está entre os primeiros ccTLDs do mundo a utilizar DNSSEC:

A FCCN, Fundação para a Computação Científica Nacional, a entidade que gere o sistema DNS de atribuição de nomes de domínios na Internet sob .PT assinou, nos primeiros dias de 2010 o domínio de topo .PT com recurso à norma DNSSEC, juntando Portugal ao pequeno conjunto de países que já adoptaram esta norma nos seus domínios de topo. A norma DNSSEC consiste em extensões de segurança ao protocolo DNS, introduzindo desta forma mecanismos de segurança que permitem resolver vários dos principais problemas nesta área.

Mais informação em http://www.dns.pt.


2010.01.06

Assinatura DNSSEC do .PT:

A FCCN assinou no início de 2010 o ccTLD .PT com DNSSEC e por esse motivo pretendemos esclarecer todos aqueles cujo domínios se encontrem delegados abaixo de .PT para os eventuais impactos e potenciais consequências desta assinatura. O DNSSEC consiste num conjunto de extensões de segurança ao protocolo DNS que vêm permitir a assinatura digital dos dados de uma zona DNS permitindo ao cliente final a capacidade de autenticação desses dados e da origem dos mesmos.

Consequência da assinatura do .PT:

Com o protocolo DNS (RFC 1035) assumiu-se que os pedidos de pacotes de dados de grandes dimensões seriam muito raros tendo sido presumida como dimensão máxima das mensagens DNS os 512 bytes. Uma das alterações mais visíveis que DNSSEC introduz é o facto das repostas DNS terem maiores dimensões. A cada conjunto de dados resource records (RRset) é associada uma assinatura digital (RRSIG). Em grande parte dos casos as respostas DNS serão maiores que 512 bytes. Para colmatar esta situação um grupo de trabalho do IETF desenvolveu as extensões EDNS0, que permitem a um cliente efectuar pedidos DNS de maiores dimensões e aos servidores enviar respostas maiores, com dimensão até 4096 bytes. Para todos os efeitos o EDNS0 seria a solução para o aumento do tráfego DNS uma vez que quase todas as respostas estão à medida dos 4096 bytes, e o DNSSEC funcionaria sem problemas.

Mas atenta a realidade demonstra-se que os pacotes DNS maiores poderão não estar a ser correctamente processados pela Internet. Algumas firewalls e outros dispositivos rejeitam os pacotes DNS maiores que 512 bytes. Noutros casos, os pacotes são fragmentados pelos routers pelo caminho e o destino não consegue associar os fragmentos e estes são rejeitados. Os clientes DNS têm então de voltar a realizar o pedido, com tamanhos mais pequenos até obterem uma resposta ou então forçar o pedido por TCP.

É importante que todos os administradores de redes, servidores de nomes e resolvers mediante o conhecimento que detêm da sua da infra-estrutura devem determinar os obstáculos que poderão enfrentar após a assinatura do .PT com DNSSEC consequentemente dos domínios abaixo de .PT que já começaram a demonstrar a sua adesão, para além da assinatura da root que está programada para 2010 e dos restantes TLDs.

Para os domínios já assinados ou em fase de transição:

O DNS sendo um protocolo simples e essencial, para que funcione correctamente deverá estar correctamente configurado, sendo boa prática existir mais do que um servidor de nomes com a informação de uma determinada zona. Se a zona for assinada com DNSSEC o responsável técnico deverá ter em atenção de que os vários servidores de nomes têm compatibilidade DNSSEC para que quando questionados forneçam a mesma informação DNS entre eles.

Quando uma zona DNS se encontra assinada, as suas assinaturas digitais têm uma validade, sendo que esta validade pode ser, por defeito, um mês, ou então é indicada aquando a assinatura de zona pelo administrador. O importante na gestão de zonas DNS assinadas é que seja realizada uma manutenção que poderá ser manual ou automática para a revalidação das assinaturas da zona, o que significa que antes da data de expiração das assinaturas (RRSIG) ser atingida se deverá revalidar a assinar da zona re-assinando a mesma. Caso contrário, quando solicitada informação DNS de um domínio por meio seguro, cuja validade das assinaturas tenha expirado, o resultado será a ausência de resposta, como se o domínio tivesse deixado de existir.


2009.11.25

Acção de Sensibilização de DNSSEC:

No passado dia 25 de Novembro decorreu uma Acção de Sensibilização de DNSSEC cujo público alvo foi a Banca, Entidades de Segurança, Administração Pública e Registrars. Foi realizada pelo Eng. Lino Santos responsável pelo CERT.PT uma apresentação onde se abordou a temática da motivação para a adopção de DNSSEC e as práticas de segurança tecnológica, foi também apresentado o DNSSEC em termos técnicos, o estado actual do projecto DNSSEC no .PT e os futuros desenvolvimentos.

Pode consultar aqui ambas as apresentações assim como o folheto informativo que foi facultado:

- Porquê o DNSSEC? - Eng. Lino Santos
- DNSSEC no .PT - Sara Monteiro
- Folheto informativo

Com vista à realização de um Workshop Técnico de utilização das ferramentas DNSSEC e colocação em prática de assinaturas de domínios solicitamos a todos os interessados em participar no mesmo que nos enviem os vossos contactos para dev@dnssec.pt de forma a serem contactos.


2009.11.12

1º Workshop da Rede Nacional de CSIRTs:

No âmbito do 1º Workshop da Rede Nacional de CSIRTs organizado pelo CERT.PT nas instalações do LNEC foram realizadas diversas apresentações entre elas uma do DNSSEC no .PT.

Consulte aqui a apresentação e a documentação facultada Porquê DNSSEC?.


2009.10.04 e 2009.10.06

21º CENTR Technical Workshop e RIPE 59 em Lisboa:

Na passada semana decorreram em Lisboa duas importantes conferências nas quais se debateram os mais recentes desenvolvimentos tecnológicos da Internet a nível Internacional. No dia 4 de Outubro decorreu o 21º CENTR Technical Workshop no SanaMalhoa Hotel e de 5 a 9 de Outubro decorreu o RIPE 59 no Hotel Corinthia. A FCCN esteve presente, contribuindo com várias apresentações nomeadamente sobre os últimos desenvolvimentos do Projecto DNSSEC no .pt.

Pode consultar aqui a apresentação ou em http://www.dns.pt.


2009.07.08

Sessão Pública de Informação: Protocolo Registry/Registrar e DNSSEC em .Pt:

Realizou-se dia 8 de Julho, no Pequeno Auditório do LNEC, uma sessão de informação dirigida aos registrars FCCN e às entidades chave na implementação de novos meios de segurança no DNS. Mais informação disponível em www.dns.pt.

Foram realizadas as seguintes apresentações acerca de DNSSEC:

"Porquê implementar DNSSEC – a Confiança em .Pt e as Entidades Chave" - Luisa Gueifão
"DNSSEC: Uma perspectiva Técnica" - Serviço de Infra-Estrutura Técnica DNS.PT


2008.12.10

Sessão de Divulgação de DNSSEC:

Dia 10 de Dezembro decorreu na FCCN uma Sessão de Divulgação de DNSSEC.

Dedicada ao tema DNSSEC, a problemática da Segurança e a sensibilização para a adopção de novas soluções, os presentes, na sua maioria registrars e banca, tiveram oportunidade de assistir as apresentações de Frederico Neves, Director de Serviços e Tecnologia do Registro .br - "DNSSEC no .br - Histórico e Desafios", João Damas, Senior Programme Manager no ISC com a apresentação "Estado do Software para serviços DNSSEC". Foi ainda feita uma descrição dos desenvolvimentos do "DNSSEC em .pt" por Assis Guerreiro, Gestor Serviço de Infra-Estrutura Técnica DNS.PT.

Pode consultar aqui todas as apresentações:

"DNSSEC no .br - Histórico e Desafios" - Frederico Neves, Director de Serviços e Tecnologia do Registro .br
"Estado do Software para serviços DNSSEC" - João Damas, Senior Programme Manager no ISC
"DNSSEC em .pt" - Assis Guerreiro, Gestor Serviço de Infra-Estrutura Técnica DNS.PT