SóProvas

ID
1107385
Banca
FCC
Órgão
AL-PE
Ano
2014
Provas
Disciplina
Redes de Computadores
Assuntos

Analise a seguinte situação a respeito de legitimidade de DNS tratada pelo Windows Server 2008 R2: Uma das tarefas mais difíceis na resolução de nomes DNS é determinar se um registro DNS obtido de um servidor DNS é legítimo. Muitos ataques de negação de serviço ou falsificação podem ser realizados pela interceptação de consultas DNS e pelo retorno de respostas DNS não legítimas. O recurso DNSSEC do Windows Server 2008 R2 permite ao Cliente DNS I e realizar uma verificação de integridade das respostas da consulta DNS. Os registros DNS em uma zona DNS protegida incluem um conjunto de chaves II que são enviadas como registros de recurso DNS dos serviços do Servidor DNS no Windows Server 2008 R2. O III pode autenticar a zona através das chaves IV . Esse método evita a interceptação de consultas DNS e o retorno de respostas DNS não legítimas de um servidor DNS não confiável.


Completa correta e respectivamente as lacunas:

Alternativas
Comentários
  • Como assim " o DNS protegido inclui um conjunto de chaves privadas" ?  Pode ter um conjunto de chaves públicas e uma única chave privada.

    Segundo a RNP:

    DISTRIBUIÇÃO DE CHAVES

    Um RR chamado KEY foi especificado de forma a permitir ao DNS a distribuição de chaves públicas de criptografia. Este RR inclui campos com um identificador de algoritmo, parâmetros necessários ao uso da chave pública, além de uma série de indicadores, tais como o tipo da entidade associada à chave ou a ausência de associção da chave com entidades.

    RRs KEY serão anexados à seção de dados adicionais, automaticamente, pelos servidores de nomes seguros, sempre que possível.

    CERTIFICAÇÃO DA ORIGEM E DA INTEGRIDADE DOS DADOS

    A certificação será obtida por assinatura criptográfica associadas aos RRs. Cada RR de uma zona terá associado um RR SIG. Geralmente, haverá uma única chave privada que assinará por toda uma zona. Se um resolvedor seguro aprender de modo confiável a chave pública da zona, ele poderá verificar se os dados assinados são certificados e razoavelmente atuais.


    http://www.rnp.br/newsgen/9801/dnssec.html

  • Achei a questão estranha ao confrontar com a teoria segundo o livro do Tanenbaum em sua página 532 na 5 edição 2011, mas encontrei uma possível fonte da qual essa questão pode ter sido elaborada. (Que não é uma bibliografia de peso )

    olhem ai embaixo.

    "O recurso DNSSEC do Windows Server 2008 R2 e do Windows 7 permitem ao Cliente DNS verificar a autenticidade de um registro DNS, e realizar uma verificação de integridade das respostas da consulta DNS. Os registros DNS em uma zona DNS protegida incluem um conjunto de chaves privadas que são enviadas como registros de recurso DNS dos serviços do Servidor DNS no Windows Server 2008 R2 e no Windows 7. O cliente DNS pode autenticar a zona através das chaves públicas. Esse método evita a interceptação de consultas DNS e o retorno de respostas DNS não legítimas de um servidor DNS não confiável."

    https://tecnologiaegestao.wordpress.com/2011/03/03/

  • Não faz sentido essa resposta, ela vai contra um princípio básico de criptografia: não se compartilha a chave privada.

    No DNSSEC o servidor DNS criptografa o registro com a sua chave privada, e envia a chave pública (RR DNSKEY) e a assinatura gerada (RR RRSIG) para o destino. O cliente DNS no destino descriptografa o registro com a chave pública como somente o servidor possui a chave privada, o cliente tem certeza que foi o servidor que a enviou (autenticidade).


    http://pt.wikipedia.org/wiki/DNSSEC
    DNSSEC utiliza um sistema de chaves assimétricas. Isso significa que alguém com um domínio compatível com DNSSEC possui um par de chaves eletrônicas que consistem em uma chave privada e uma chave pública. Em razão do mantenedor das chaves utilizar a chave privada para assinar digitalmente sua própria zona no DNS, é possível que todo mundo com acesso a chave pública desta zona verifique que os dados tranferidos desta zona estão intactos.


    http://tools.ietf.org/html/rfc2535 (Domain Name System Security Extensions)
    3. The KEY Resource Record
      The KEY resource record (RR) is used to store a public key that is associated with a Domain Name System (DNS) name.(...)
     
    4. The SIG Resource Record
      (...)  This is done using cryptographic techniques and the signer's private key.  The signer is frequently  the owner of the zone from which the RR originated.

  • Se agora Alice quiser visitar o Web site de Bob, ela poderá solicitar ao DNS o RRSet de bob.com, que conterá seu endereço IP e um registro KEY contendo a chave pública de Bob. Esse RRSet será assinado pelo domínio com de nível superior, e assim Alice poderá verificar facilmente sua validade. 

    Agora, munida com uma cópia verificada da chave pública de Bob, Alice pode pedir ao servidor DNS de Bob (executado por Bob) o endereço IP de www.bob.com. Esse RRSet será assinado pela chave privada de Bob, e assim Alice pode verificar a assinatura de Bob no RRSet que ele retorna. Se Trudy, de alguma maneira, conseguir injetar um falso RRSet em qualquer dos caches, Alice poderá detectar essa falta de autenticidade facilmente, porque o registro SIG contido nele será incorreto
    Tanebaum 4ed pag 607.
    Minha única forma de acreditar nessa resposta, é pensar que esse conjunto de chaves dito na questão seriam as assinaturas e não a chave em si.. Verdade que ainda não estou entendendo hehe

  • Pessoal, 

    Alguém sabe se houveram recursos contra esta questão? E se sim, qual foi o posicionamento da banca?

  • Aposto q essa questão vai aparecer no TRT-1 e eu vou errar por q não consegui entender esse conceito, kkkk

  • FCC sendo FCC! Os examinadores da FCC fizeram  pronatec só pode