DNS mal configurado: os riscos e ameaças ocultos explicados

Quando as pessoas navegam em sites online, seus dispositivos dependem do Sistema de Nomes de Domínio (DNS) para encontrar o servidor correto por trás do nome de domínio. O DNS também é conhecido como a lista telefônica da internet.

Você pode pensar no DNS como um mapa digital que guia os navegadores até seus destinos. Qualquer erro ou configuração incorreta neste mapa (DNS) pode afetar a velocidade, a segurança e a confiabilidade. Ele pode:

• Tornar o site inacessível aos usuários
• Impedir o envio de e-mails
• Aumentar a exposição do sistema a ataques cibernéticos

Este post do blog discutirá algumas das configurações incorretas de DNS mais comuns. Você aprenderá como eles ocorrem e quais riscos e ameaças podem representar para seus ativos online, como sites, aplicativos e sistemas de rede.

Por que uma configuração correta de DNS é importante?

Se você precisa de uma experiência de internet funcional e segura, uma configuração correta de DNS é essencial.

Por quê?

Como é o DNS que permite que seu dispositivo se conecte a um site em uma rede, ele traduz nomes de domínio em endereços IP, permitindo que o dispositivo se comunique sem problemas.

Qualquer configuração incorreta nos registros DNS associados a um domínio ou dispositivo pode causar interrupções significativas. No entanto, se configurado corretamente, o DNS permite que os dispositivos se comuniquem de forma confiável.

Aqui estão alguns dos benefícios que você pode esperar quando o DNS é configurado corretamente. Você obtém:

• Carregamento mais rápido e latência reduzida.
• Entrega de conteúdo eficiente.
• Proteção contra phishing e malware.
• Prevenção contra ataques de spoofing.
• Menos ou nenhum tempo de inatividade.
• Roteamento preciso de e-mails e muito mais.

O que é um DNS mal configurado?

Um DNS mal configurado significa que há um erro na configuração do DNS, que pode ser devido a erro humano ou outros problemas. Esses erros podem interromper a comunicação entre dispositivos e sites em uma rede. Além disso, eles também se expõem ao risco de ameaças à segurança.

Abaixo estão algumas das causas comuns por trás de um DNS mal configurado:

• Erros de digitação ao adicionar novos registros DNS ou atualizar registros DNS antigos.
• Registros DNS desatualizados ou obsoletos podem direcionar os usuários para os recursos errados.
• Roteadores obsoletos ou com defeito também causam erros na configuração do DNS.
• Uma conexão de internet ruim também pode resultar em erros de DNS.
• Problemas nos servidores DNS do seu provedor de serviços de internet (ISP) também interrompem a resolução do DNS.

Tipo de DNS Configurações incorretas

Abaixo estão os vários tipos de configurações incorretas de DNS que muitas pessoas encontram.

1. Registros A ou AAAA incorretos

Os registros A e AAAA são responsáveis por apontar um domínio para o endereço IP correto. Um registro associa um nome de domínio a um endereço IPv4, enquanto um registro AAAA associa um nome de domínio a um endereço IPv6.

Os registros A e AAAA geralmente são configurados incorretamente devido a erro humano. Isso geralmente ocorre quando um erro de digitação é cometido ao inserir os endereços IP manualmente. Isso geralmente acontece durante a migração de um site para um servidor diferente.

Às vezes, o endereço IP do servidor é alterado pelos provedores de serviços de hospedagem. Você deve substituir manualmente o endereço IP antigo nos registros DNS pelo novo. Se não for feito a tempo, poderá ocorrer uma configuração incorreta do DNS.

Risco:

Quando os registros A ou AAAA estão incorretos, os usuários que tentam visitar seu site são direcionados para o servidor errado ou para nenhum servidor. Isso leva à inacessibilidade total ou parcial do site.

Às vezes, o pior pode acontecer. Se o endereço IP errado pertencer a um agente malicioso, os usuários podem ser redirecionados para um site de phishing.

A solução mais fácil para resolver essa configuração incorreta é verificar o IP público do seu servidor. Se encontrar algo incorreto ou ausente, atualize os registros A/AAAA conforme necessário. Após a atualização, verifique a propagação do DNS para garantir que a atualização global (propagação) esteja completa.

2. Registros MX ausentes ou configurados incorretamente

Os registros MX na configuração de DNS de um domínio definem os servidores de e-mail que gerenciam a entrega de e-mails. Eles enviam e roteiam o tráfego de e-mail em nome daquele domínio específico.

A configuração incorreta de registros MX ocorre quando as configurações são configuradas incorretamente, têm valores incorretos ou apontam para servidores de e-mail inexistentes.

Risco:

E-mails enviados para o seu domínio podem ser rejeitados, devolvidos ou sinalizados como spam. Não definir um registro MX significa que os servidores de e-mail nãoNão sabe para onde entregar as mensagens enviadas para um domínio.

Use nossa ferramenta dedicada de Consulta MX para verificar se o registro MX correto está disponível para o seu domínio. Se você perceber que eles estão ausentes ou incorretos, acesse o painel do seu domínio e atualize os registros MX. Para manter o processo tranquilo e eficiente, use as configurações recomendadas pelo provedor de e-mail.

3. Entradas CNAME incorretas ou duplicadas

CNAME (nome canônico) é um tipo de registro DNS usado para apontar um domínio ou alias para o nome de domínio real (pode-se dizer "canônico"). Quando um usuário tenta acessar o domínio do alias, em vez de retornar o endereço IP correto, o servidor DNS o instrui a procurar o nome canônico.

Configurações incorretas geralmente ocorrem quando alguém tenta adicionar registros CNAME no DNS do domínio raiz. Observe que, em geral, não é possível adicionar um registro CNAME ao domínio raiz; Eles só podem ser adicionados usando subdomínios.

Outro motivo para configuração incorreta é que, às vezes, existem vários registros CNAME para o mesmo nome.

Risco:

Registros CNAME duplicados ou posicionados incorretamente podem causar loops de resolução de DNS, conflitos ou falhas, resultando em recursos inacessíveis.

Use CNAME apenas para subdomínios e nunca misture CNAME com outros registros para o mesmo nome. Depois de configurar um registro CNAME, valide-o manualmente usando Consulta de DNS.

4. Registros NS inválidos ou desatualizados

Registros NS (Servidor de Nomes) são delegados ao gerenciamento de DNS de um domínio. Esses registros são o servidor físico que armazena todos os outros registros DNS de um domínio.

Erros em registros NS ocorrem quando os registros estão desatualizados, apontam para um provedor antigo ou contêm erros de digitação. Isso geralmente acontece quando você muda para um novo provedor de hospedagem.

Risco:

Registros NS configurados incorretamente levam a resoluções de DNS inconsistentes ou com falhas em todas as regiões. Os resolvedores de DNS não conseguirão encontrar os servidores de nomes autoritativos e resolver consultas relacionadas ao domínio para os usuários. Os serviços podem parar de funcionar se os resolvedores encontrarem servidores NS que não respondem ou que estejam incorretos.

Execute a Consulta NS para verificar os servidores de nomes do seu provedor de DNS atual. Se você encontrar algum erro de configuração, atualize os registros NS no registrador de domínio. Após a atualização, use o verificador de propagação de DNS para validar as alterações globalmente.

5. Registros TXT (SPF, DKIM, DMARC) com configuração incorreta

Os registros TXT no DNS são projetados para facilitar a autenticação de servidores de e-mail e verificar a propriedade do domínio. Também ajuda a prevenir ataques de spoofing de e-mail.

Configurações incorretas em registros TXT podem ocorrer devido a vários fatores, incluindo sintaxe incorreta, mecanismos não suportados ou entradas ausentes.

Risco:

Registros TXT mal configurados levam a vários problemas, como:

• E-mails originais frequentemente caem em caixas de spam ou são rejeitados.
• Aumento do risco de ataques de spoofing e phishing de e-mail.

Por exemplo:

Um registro TXT ausente, como um registro SPF, permite que hackers enviem mensagens falsas e-mails que alegam ser do seu domínio.

Primeiramente, execute a pesquisa TXT para verificar se os registros propagados anteriormente estão corretos. Se você encontrar alguma configuração incorreta, acesse o painel do seu domínio e atualize-os em seu sentido original. Ao atualizar, certifique-se de usar a sintaxe correta e configurar o DKIM com uma chave pública válida.

6. Transferências de Zona Irrestritas (AXFR Habilitado)

AXFR, também conhecido como transferência de zona completa, é um protocolo DNS usado para transferir arquivos de zona de um servidor (primário) para outro (servidor secundário).

Risco:

Deixar o AXFR habilitado pode expor toda a estrutura do DNS ao público. Isso representa um risco de segurança significativo, permitindo que hackers acessem toda a zona DNS e potencialmente realizem ataques cibernéticos.

Restrinja as transferências de zona para endereços IP dedicados ou desative-as se não forem necessárias no momento.

7. Resolvedores de DNS Abertos

Resolvedores de DNS abertos são aqueles configurados para responder a consultas recursivas de qualquer endereço IP. Esses servidores DNS são publicamente disponíveis e não exigem autenticação ou autorização para realizar consultas.

Risco:

Hackers podem usar resolvedores de DNS abertos para amplificar Ataques DDoS (Negação de Serviço Distribuída). Eles também podem expor o histórico de consultas e tornar respostas legítimas mais lentas. Além disso, podem derrubar sites ou causar interrupções mais amplas na rede.

Limite a recursão a redes confiáveis e configure um firewall para bloquear ou monitorar o tráfego externo.

8. Configurações incorretas de TTL (tempo de vida)

TTL (tempo de vida) em DNS refere-se ao período durante o qual os registros DNS de um domínio ou dispositivo permanecem armazenados em cache antes de serem atualizados.

Risco:

Definir um TTL muito alto ou muito baixo pode causar problemas de desempenho ou propagação.

• TTL alto = propagação lenta.
• TTL baixo = aumento da carga de consultas DNS.

Por exemplo:

Alterar um IP enquanto o TTL é 86400 (24 horas) significa que os usuários ainda podem usar o IP antigo por um dia inteiro.

Use um TTL balanceado; geralmente, 3600 segundos é o recomendado.

9. Registros PTR Ausentes (Problemas de DNS Reverso)

PTR (registros de ponteiro) são o oposto dos registros "A". Eles indicam qual endereço IP está associado a um nome de domínio. Os registros PTR são usados principalmente para pesquisas de DNS reverso, que visam determinar o nome de domínio associado a um determinado endereço IP.

Risco:

Os registros PTR são usados em pesquisas de DNS reverso para solucionar problemas de entrega de e-mails e prevenir spam. Se um registro PTR for configurado incorretamente ou estiver ausente, ele interromperá os serviços de e-mail associados ao nome de domínio. Isso bloqueará todos os e-mails enviados daquele nome de domínio específico. Além disso, pode fazer com que sua rede pareça suspeita para sistemas e dispositivos externos.

Para resolver os problemas relacionados ao DNS reverso, solicite que seu ISP ou provedor de hospedagem reconfigure as configurações de DNS reverso.

10. Falta de DNSSEC ou DNSSEC mal configurado

O DNSSEC (Extensão de Segurança do Sistema de Nomes de Domínio) é usado para proteger os sistemas DNS contra adulterações. Eles funcionam assinando digitalmente os registros DNS, fornecendo autenticidade aos dados DNS.

Risco:

Os registros DNSSEC, se mal configurados, abrem caminho para ataques de spoofing. Com isso, hackers podem realizar envenenamento de cache e também redirecionar o tráfego para sites maliciosos. Além disso, uma configuração DNSSEC corrompida pode tornar seu site inacessível em resolvedores habilitados para DNSSEC.

Para evitar isso, monitore constantemente a expiração do DNSSEC e assine novamente as zonas imediatamente.

Exemplos Reais de Desastres de Configuração Incorreta de DNS

Para uma melhor compreensão das ameaças relacionadas a registros DNS mal configurados, compartilhamos alguns exemplos reais abaixo.

Interrupção do Facebook (Outubro de 2021)

De acordo com o The Guardian, o Facebook ficou completamente inacessível por quase seis horas devido a uma falha de DNS e Erro de configuração do BGP.

Os engenheiros do Facebook emitiram um comando que acidentalmente derrubou todas as suas conexões de backbone, incluindo os servidores DNS. Com os servidores DNS inacessíveis, a resolução de nomes de domínio para todos os serviços falhou globalmente.

Impacto:

• Bilhões de usuários perderam o acesso
• Os sistemas internos do Facebook, incluindo crachás e ferramentas de funcionários, caíram
• Custo estimado: 6 bilhões de dólares em perda de receita

Este incidente poderia ter sido evitado se testes internos completos das alterações na configuração da rede tivessem sido implementados e se servidores DNS de fallback externos ou ferramentas de monitoramento tivessem sido utilizados.

Configuração incorreta do DNS da Microsoft (2001)

Em janeiro de 2001, os sites da Microsoft ficaram completamente inacessíveis por quase 23 horas devido a um erro de configuração de DNS.

A Microsoft tinha todos os seus servidores DNS autorizados para os principais domínios (como microsoft.com) hospedados na mesma sub-rede de IP e infraestrutura de rede.

Quando uma configuração incorreta do roteador tornou essa sub-rede inacessível, ninguém conseguiu resolver os nomes de domínio da Microsoft. Esse problema efetivamente tirou quase todos os seus serviços do ar.

Impacto:

• 23 horas de inatividade global para todos os serviços da Microsoft
• Interrupção significativa para usuários do Hotmail e clientes corporativos
• Credibilidade da marca e confiança pública prejudicadas

Isso poderia ser evitado se os servidores DNS fossem configurados corretamente para separar logicamente as redes.

Lição para a indústria:

“Nunca coloque todos os ovos de DNS na mesma cesta.

Conclusão

Uma configuração correta de DNS é crucial para uma comunicação tranquila entre dispositivos e sites em uma rede. Configurações incorretas de DNS podem levar a vários problemass, incluindo sites que se tornam inacessíveis, e-mails que não são entregues e um aumento nos ataques cibernéticos.

Este post do blog discute algumas das configurações incorretas de DNS mais comuns, juntamente com os riscos que elas representam e possíveis maneiras de preveni-las. Para ler mais sobre tópicos relacionados a DNS, visite nossa seção do blog.