TSIG

O protocolo de rede TSIG ( natureza de assinatura de t ransaction ou assinatura de transação) é descrito no RFC  2845. Ele é usado principalmente pelo Sistema de Nomes de Domínio (DNS) para fornecer uma forma de autenticação para atualizações dinâmicas de dados. Bancos de dados DNS, embora possa ser usado entre servidores para consultas. O TSIG usa um segredo compartilhado e uma função hash unilateral para fornecer uma forma de segurança por meio de criptografia para identificar cada extremidade de uma conexão como tendo o direito de fazer ou responder a uma solicitação de atualização de DNS.

Embora as consultas DNS possam ser anônimas (exceto DNSSEC ), as atualizações DNS devem ser autenticadas porque alteram a estrutura de nomenclatura da rede (Internet ou rede privada). A utilização de um segredo compartilhado entre o cliente (escravo) que realiza a atualização e o servidor DNS que o fornece (mestre) garante a autenticação do cliente. No entanto, a solicitação de atualização pode ser feita por meio de uma rede insegura (Internet). Uma função hash unilateral é usada para evitar que terceiros conheçam a chave, ouvindo o tráfego da rede e, em seguida, usando-o para fazer suas próprias alterações no servidor DNS do cliente.

O uso de um elemento de tempo ( timestamp ) no protocolo permite evitar um ataque de replay. Assim, o uso do TSIG requer a sincronização dos servidores na mesma fonte de tempo. A utilização do protocolo NTP , por exemplo, fornece esse serviço.

Implementação

Uma atualização de DNS ( RFC  2136) é um conjunto de instruções para um servidor DNS. Ele contém um cabeçalho, a área a ser atualizada, os pré-requisitos que devem ser atendidos e os registros (RR) que devem ser atualizados. O TSIG adiciona um último registro que inclui o elemento de tempo ( timestamp ), um hash da solicitação e o nome da chave secreta usada para assinar a solicitação. A RFC  2535 propõe um nome cujo formato é recomendado.

A resposta após uma atualização assinada do TSIG com sucesso também será assinada com um registro do TSIG. As falhas não são assinadas para evitar que um invasor descubra qualquer coisa sobre a chave usando solicitações de atualização feitas especialmente para esse propósito.

O programa nsupdate permite que você use o TSIG para realizar atualizações. O programa dig permite que você use o TSIG para realizar solicitações ou transferências de zona autenticada.

O registro TSIG está no mesmo formato que os outros registros em uma solicitação de atualização. O significado dos campos é descrito no RFC  1035.

Campos de registro TSIG

Campos	Bytes	Descrição
NOME	no máximo 256	Nome da chave TSIG que deve ser única entre o cliente e o servidor
MODELO	2	TSIG (250)
AULA	2	QUALQUER (255)
TTL	4	0 (o registro TSIG não deve ser armazenado em buffer ( cache ))
RDLENGTH	2	Comprimento do campo RDATA
RDATA	variável	Estrutura que compreende o elemento de tempo ( timestamp ), o algoritmo e o hash.

Alternativas para TSIG

Embora o TSIG seja amplamente utilizado, este protocolo apresenta muitos problemas:

• requer a implantação de um segredo compartilhado para cada servidor que precisa de atualizações,
• o hash HMAC-MD5 tem apenas 128 bits,
• não tem hierarquia de autoridades: cada cliente em posse de uma chave secreta pode atualizar qualquer registro na zona.

Assim, várias alternativas ou extensões surgiram.

• O RFC  2137 especifica um método de atualização usando uma chave pública no registro DNS específico "GIS". Um cliente que possui a chave privada correspondente pode assinar solicitações de atualização. Este método é compatível com o método de solicitação segura de DNSSEC. No entanto, esse método foi descontinuado pelo RFC  3007.
• A RFC  3645 propõe uma extensão ao TSIG para permitir o uso do método de troca de chave secreta GSS, eliminando a necessidade de implantar manualmente as chaves em todos os clientes TSIG. O método de distribuição de chaves públicas com GSS em um registro de recurso DNS (RR) é especificado na RFC  2930. Um método GSS-TSIG modificado denominado " Algoritmo de serviço de segurança genérico para trocas de segredo compartilhado " para transação de chave secreta é baseado no Windows Kerberos O servidor denominado " Atualização Dinâmica Segura" foi implementado nos servidores e clientes do Microsoft Windows Active Directory . Usado em combinação com um DNS configurado sem resolução reversa usando endereçamento RFC  1918, os servidores DNS que usam esse sistema de autenticação redirecionam um grande volume de consultas para servidores DNS raiz . Existe um grupo anycast responsável por lidar com esse tráfego fora dos servidores DNS raiz.
• A  base RFC 2845 TSIG permite apenas uma única função hash: o HMAC-MD5 não é mais considerado muito robusto. Em 2006, surgiram propostas para autorizar o uso de SHA1 RFC  3174 como um substituto para MD5. O resumo de 160 bits gerado pelo SHA1 deve ser mais robusto do que o resumo de 128 bits gerado pelo MD5.
• A RFC  2930 define TKEY como uma lista de registros DNS usados ​​para distribuir automaticamente as chaves do servidor para os clientes.
• O RFC  3645 define GSS-TSIG usando GSS-API e TKEY para distribuir chaves automaticamente.
• A proposta DNSCurve tem muitas semelhanças com o TSIG.

Veja também

• registros DNS (RR) primários .

Notas e referências

1. (en) "  Chave Secreta Transaction Authentication para DNS (TSIG)  ", Request for comments n o  2845,Maio de 2000.
2. (em) "  atualizações dinâmicas no Domain Name System (DNS UPDATE)  " Request for comments n o  2.136Abril de 1997.
3. (em) "  Domain Name Extensões de Segurança do Sistema  " Request for comments n o  2.535Março de 1999.
4. (em) "  NOMES DE DOMÍNIO - Implementação e Especificação  " Request for comments n o  1035,Novembro de 1987.
5. (em) "  Atualização dinâmica do sistema de nomes de domínio seguro  " Solicitação de comentários n o  2137Abril de 1997.
6. (em) "  Segura Domain Name System (DNS) Atualização Dinâmica  " Request for comments n o  3007,novembro de 2000.
7. (en) "  Generic Algorithm Serviço de Segurança para Secret Key autenticação de transações DNS (GSS-TSIG)  ", Request for comments n o  3645,Outubro de 2003.
8. (en) "  Chave Secreta Estabelecimento de DNS (TKEY RR)  ", Request for comments n o  2930,Setembro de 2000.
9. (em) "  Address Allocation for Private Internets  " Solicitação de comentários n o  1918Fevereiro de 1996.
10. (pt) Broido, Nemeth, claffy. Spectroscopy of DNS Update Traffic , CAIDA, 2002
11. (en) [1]
12. (em) "  US Secure Hash Algorithm 1 (SHA1)  ," Request for comments n o  3174,Setembro de 2001.

links externos

• RFC 2136 Atualizações Dinâmicas no Sistema de Nomes de Domínio (atualizações de DNS)
• Autenticação de transação de chave secreta RFC 2845 para DNS (TSIG)
• Estabelecimento de chave secreta RFC 2930 para DNS (TKEY RR)
• Algoritmo de serviço de segurança genérico RFC 3645 para autenticação de transação de chave secreta para DNS (GSS-TSIG)
• RFC 3174 US Secure Hash Algorithm 1
• Identificadores de algoritmo RFC 4635 HMAC SHA TSIG