Internet začína byť bezpečnejší, spustilo sa zabezpečené DNS

V noci zo štvrtka na piatok sa po viacerých rokoch príprav nasadila ostrá podpora zabezpečeného DNS, DNSSEC, na root servery systému DNS. Od piatka je tak splnený hlavný predpoklad na rýchle nasadzovanie podpory DNSSEC do všetkých domén najvyššej úrovne a následne celého systému DNS, čo efektívne zabráni viacerým typom útokov realizovaných prostredníctvom falšovania odpovedí DNS serverov a spraví Internet o niečo bezpečnejším.

DSL.sk, 17.7.2010

V noci zo štvrtka na piatok sa po viacerých rokoch príprav nasadila ostrá podpora zabezpečeného DNS, DNSSEC, na root servery systému DNS.

Systém Domain Name System, DNS, slúžiaci na preklad hierarchických doménových mien na IP adresy v doteraz používanej podobe odpovede zasielané DNS servermi kryptograficky nezabezpečoval a tak vzhľadom na otvorenú povahu protokolu IP a Internetu ich bolo možné vo viacerých scenároch falšovať.

Na Internete sa vyskytovali a stále vyskytujú útoky, ktoré pomocou falšovania odpovedí DNS rozličnými spôsobmi presmeruvávajú užívateľov namiesto skutočných serverov pre danú doménu na servery pod kontrolou útočníkov a umožňujú napríklad získavať citlivé dáta užívateľov.

Práve falšovanie odpovedí DNS serverov a spojené útoky odstráni systém DNSSEC, Domain Name System Security Extensions, ktorého úlohou je kryptograficky zabezpečiť odpovede DNS serverov.

Pri používaní DNSSEC sa podpisujú odpovede DNS autoritatívnych serverov pre nejakú doménu kľúčom asymetrického algoritmu, napríklad RSA, patriacim k danej doméne. Keďže k privátnemu kľúču má prístup len vlastník domény, útočník nedokáže bez nájdenia privátneho kľúča k zverejnenej verejnej časti kľúča vytvoriť dôveryhodný podpis odpovede DNS servera.

Systém DNSSEC zároveň samozrejme zabezpečuje aj dôveryhodnosť celej infraštruktúry používaných kľúčov pomocou podpisov kľúčov danej domény autoritatívnym DNS serverom nadradenej domény. Ak tak rekurzívny DNS server prípadne DNS resolver pozná verejnú časť kľúča zabezpečujúceho nejakú doménu, systém DNSSEC mu umožňuje overovať dôveryhodnosť odpovedí pre túto doménu a všetky jej subdomény ľubovoľnej úrovne.

Doteraz bol systém DNSSEC už nasadený na niekoľkých jednotlivých doménach najvyššej úrovne, rekurzívne DNS servery respektíve DNS resolvery zisťujúce IP adresy pomocou DNS ale museli byť nakonfigurované s verejnými kľúčmi pre každú z týchto domén alebo používať nejakú službu poskytujúci zoznam takýchto kľúčov, napríklad ITAR.

V polovici júna ale organizácia Icann vygenerovala hlavný kľúč zabezpečujúci root zónu DNS a od piatka nasadila DNSSEC s týmto ostrým kľúčom na autoritatívne servery pre root zónu DNS, root DNS servery. Od piatka tak stačí pre podporu DNSSEC nakonfigurovať DNS rekurzívne servery prípadne resolvery s jediným DNSSEC kľúčom pre root zónu, hoci k dnešnému dňu root servery zatiaľ ešte neoverujú kľúče pre všetky domény najvyššej úrovne už používajúce DNSSEC.

Priekopníkom v nasadzovaní DNSSEC je napríklad česká doména .cz. Root servery DNS overujú jej DNSSEC kľúč od nasadenia ostrého hlavného kľúču v noci zo štvrtka na piatok, navyše podľa údajov správcu domény CZ.NIC je už pomocou DNSSEC zabezpečených 99.4 tisíc českých domén druhej úrovne.

U slovenskej domény .sk systém DNSSEC, najdôležitejšie rozšírenie DNS od jeho vzniku, podporovaný nie je a správca domény SK-NIC zatiaľ ani neavizoval plány na jeho implementáciu.

Možnosti využitia DNSSEC ale nekončia len pri overovaní odpovedí DNS serverov. DNSSEC môže byť totiž v budúcnosti využitý aj na overovanie iných informácií zviazaných s doménami, napríklad certifikátov s kľúčmi pre SSL a zabezpečené HTTPS stránky.

Zároveň s ostrým nasadením DNSSEC na root DNS servery organizácia Icann zverejnila videá (bez zvuku) z ceremoniálov vytvárania hlavného DNSSEC kľúča Internetu respektíve ukladania jeho kópie v druhom dátovom centre. Prvý ceremoniál vytvárania kľúča trval približne šesť hodín, popis jeho ochrany a zabezpečenia sme priniesli v tomto článku.

Údaje o hlavnom kľúči DNSSEC umožňujúce nastaviť podporu DNSSEC do rekurzívnych DNS serverov prípadne iných resolverov podporujúcich DNSSEC cez root zónu DNS je možné nájsť na data.iana.org.





Najnovšie články:



Diskusia:

Dotaz Od: aleluja | Pridané: 17.7.2010 14:38 2010 0% 2011 0% 2012 100% 2013 0% 2014 0% 2015 0% 2016 až 2020 0% Neskôr ako v 2020 0% To vyzeralo tak genialne :D az potom som si precital otazku a vsimol som si ze 3 hlasy, ale prvy dojem bol ze je otazka vo forme "kedy si myslite ze skonci intenret", ked som tam uz videl 100% na tej 2012 :)) Odpovedať Známka: 8.8 Hodnotiť:

Re: Dotaz Od: anon | Pridané: 17.7.2010 18:25 Ak zohladnim rok 2012 chyba mi tam moznost "nikdy" :D Odpovedať Známka: 8.9 Hodnotiť:

sk-nic Od: quix_ | Pridané: 17.7.2010 17:29 sk-nic stale nic a este velmi dlho nebude nic len nic :P. cz nic mozeme nasim susedom len zavidiet Odpovedať Známka: 10.0 Hodnotiť:

Re: sk-nic Od: sadnn | Pridané: 17.7.2010 18:33 dnssec na slovensku zabali svist do folie Odpovedať Známka: 10.0 Hodnotiť:

Re: sk-nic Od: -- platená inzercia -- | Pridané: 17.7.2010 18:43 Keď už tak, tak by mohli "aspoň" znížiť tie nehorázne ceny ! Odpovedať Známka: 7.1 Hodnotiť:

Re: sk-nic Od reg.: --==[Lu-Boss]==-- | Pridané: 17.7.2010 19:26 nikto ich nereguluje... ludia len frflu a nic s tym nerobia tak preco asi to neznizia? lebo im to takto vyhovuje :D Odpovedať Známka: -1.4 Hodnotiť:

Re: sk-nic Od: Meldo | Pridané: 17.7.2010 21:45 Ja by som ceny zvysil. Radikalne aspon na 100, 150 € za domenu. Ak niekto potrebuje domenu, robi si tam pravdepodobne bussines, takze si to v pohode zaplati. Vies kolko by bolo zrazu volnych domen, ktore drzia spekulanti? Za taku sumu by sa im oplatilo dlhodobo drzat par lukrativnych, a ten zbytok by bol volny. Len ja sam mam registrovanych cez 30 domen, a vyuzivam asi 8. Ostatne cakaju na projekty, niektore sa mozno ani nedockaju... Odpovedať Známka: -8.0 Hodnotiť:

Re: sk-nic Od: Meldo | Pridané: 17.7.2010 21:47 Lebo je markantny rozdiel platit 1000 domen za cenu 24€, a platit 1000 domen za cenu 150€. tym padom by boli konecne volne slusne domeny. Odpovedať Známka: -6.2 Hodnotiť:

Re: sk-nic Od: SPX | Pridané: 18.7.2010 9:39 ved ale to je uplne ina vec. Ze je niekto magor a zabera domeny, to je jedna vec, ale ze si firma, v podstate za nic vybera velke prachy to je uplne iny a vacsi problem. Ked to ine spolocnosti dokazu za ovela menej tak je to obycajne zdieracstvo a vyuzivaju to ze to maju cele pod kontrolou Odpovedať Známka: 6.0 Hodnotiť:

Re: sk-nic Od: rastos | Pridané: 24.7.2010 10:32 > Ak niekto potrebuje domenu, robi si tam > pravdepodobne bussines Ešte že si tam dal to "pravdepodobne". Stačí napr. chcieť mailovú adresu, ktorá sa nezmení zmenou ISP. Alebo niečo také jednoduché ako "homepage". Ale to dnešnej FB generácii asi nič nehovorí. Odpovedať Hodnotiť:

Hnusní kapitalisti Od: MuadDib | Pridané: 26.7.2010 8:02 „Ja by som hlavne zvýšil cenu automobilov, dodatočnými obrovskými daňami. Ak niekto potrebuje automobil, robí s ním pravdepodobne biznys, takže si to v pohode zaplatí. Zrazu by bolo dosť automobilov pre každého!“ To je v podstate tvoja logika... Tá úhrada je – alebo by aspoň mala byť – na náklady prevádzkovania tých serverov, smerovačov, na ich údržbu (vrátane výmeny poškodených alebo opotrebovaných súčastí), na údržbu spojení, na ich napájanie (vrátane záložných zdrojov), na ich „ubytovanie“ („uskladnenie“ by bolo asi hlúpe slovo, že?) v klimatizovaných miestnostiach atď., možno som na niečo ešte zabudol. Zjednodušene povedané, môžeš si to predstaviť ako nejakú spoluúčasť na ich prenájme. Nemá to byť nástroj kapitalistického vydierania monopolom! A len tam mimochodom, tých voľných domén je skoro neobmedzené množstvo. Ibaže v brutálnom kapitalizme ti ich cenu určujú hnusní kapitalisti, ktorí si špekulatívne „predregistrujú“. Špekulácia je totiž základ kapitalizmu. Odpovedať Hodnotiť:

Re: sk-nic Od: hasdogh | Pridané: 19.7.2010 7:42 Nie nadarmo sa volaju SK-NIC...je to odvodene od slova NIČ a je to ich MOTTO... cize NIČ!!! Odpovedať Známka: 6.7 Hodnotiť:

bezpecnost Od: prdlajs | Pridané: 17.7.2010 19:47 Takze teraz bude internet bezpecny aj pred Chuckom Norrisom? :) Odpovedať Známka: 7.6 Hodnotiť:

Re: bezpecnost Od reg.: marha | Pridané: 17.7.2010 19:59 precitaj si po sebe co si napisal "Takze teraz bude Chuck Norris bezpecny aj pred Chuckom Norrisom? :)" Odpovedať Známka: -4.3 Hodnotiť:

Re: bezpecnost Od reg.: jakub89 | Pridané: 17.7.2010 23:45 staci kop z otocky a internet nebude Odpovedať Známka: 6.2 Hodnotiť:

hhhhhhhh Od: wx2 | Pridané: 17.7.2010 20:10 pokial to pride na slovensko bude urcite existovat sposob ako DNS spravy falsovat aj napriek DNSSEC Odpovedať Známka: 6.2 Hodnotiť:

Re: hhhhhhhh Od: yrtdriys | Pridané: 19.7.2010 7:44 Lol, DNS spravy falovat... Odpovedať Známka: -5.0 Hodnotiť:

aplikacia Od: halamo | Pridané: 18.7.2010 13:04 a ako si bezny BFU aplikuje dnssec? je to automaticky? ci? Odpovedať Známka: 0.0 Hodnotiť:

Re: aplikacia Od: Senux | Pridané: 18.7.2010 13:07 ...si ma pobavil :D Odpovedať Známka: -6.0 Hodnotiť:

Re: aplikacia Od: shefha | Pridané: 19.7.2010 7:45 HA HAHAH hahahaa............ ..................... .............. ......... ...... haha ha Odpovedať Hodnotiť:

Re: aplikacia Od: MuadDib | Pridané: 27.7.2010 15:59 BFU si aplikuje dnssec napr. tak, že si stiahne BIND, nastaví si príslušné voľby, preloží a zostaví si ho (skompiluje a zlinkuje si ho), nainštaluje si ho a nastaví (nakonfiguruje). Hej, v podstate je to všetko automaticky, snáď okrem toho posledného kroku. Tak ako obyčajne, spravidla si spustíš nejaký konfiguračný skript, ktorý by tam už mal byť, ten ti vytvorí Makefile (keď nie, aby sa ušetrilo miesto, tak určite tam budú aspoň autoconf a automake makroskripty (.ac a .am), ale to si zase vyžaduje závislosť na balíkoch autoconf, automake a m4), no a potom je to už klasika, pomocou make si to preložíš, zostavíš a umiestniš na správne miesto (nainštaluješ). Takže zostane ti to už len nastaviť (nakonfigurovať), čo však už bude isto hračka pre každého BFU, čo si prevádzkuje DNS server Odpovedať Hodnotiť:

Don\'t google word \"google\" Od: Don't google word "google" | Pridané: 18.7.2010 14:09 "Keďže k privátnemu kľúču má prístup len vlastník domény, útočník nedokáže bez nájdenia privátneho kľúča k zverejnenej verejnej časti kľúča vytvoriť dôveryhodný podpis odpovede DNS servera." => social engineering? Odpovedať Známka: 7.1 Hodnotiť:

Re: Don\'t google word \ Od: qwrfs | Pridané: 18.7.2010 16:04 pride mlady typek ku staremu dedovi aby si zmenil DNS server, a kym dedo bude zistovat IP adresu DNS servera tak mu vykradnu byt, tak si to myslel ? Odpovedať Známka: 10.0 Hodnotiť:

Anketa Od: Anketa | Pridané: 18.7.2010 14:30 Anketa je neobjektivna. Kazdy klika na rok 2012 z recesie, potom to nevypoveda o tom co si ludia naozaj myslia o zavedeni toho zabezpecenia ale o tom kolkych ludi napadla myslienka konca sveta. Odpovedať Známka: 5.6 Hodnotiť:

dodatok k niektorym odkazom Od: linuxak | Pridané: 18.7.2010 15:38 mate problemy , ci s rokom 2012 a cimto pricom by ste mohly vediet ze existuje uz internet 2 ktory sa vyvija v CERNE , uplne nove protokoly uplny iny system komunikacie .... a to DNS pomalycky otavra dalsie kroky ku zavedeniu internetu 2. Odpovedať Známka: -4.3 Hodnotiť:

Co je dopekla... Od: Mepho | Pridané: 18.7.2010 20:10 Co je dopekla ,,magorske" na tom, ze niekto zabera domeny?? To Vam take nieco ako ,,opcia" a ,,investicia" nic nevravi? Na domenach sa da slusne zarobit a navyse pokial to robite pre peniaze sa Vam este nakupca mozno podakuje, vzdy je lepsie kupit domenu firme za 1000eur ako ju nemat vobec pretoze si ju rezervuje nejaka debilna fyzicka osoba alebo zivnostnik (to sa ciastocne na mna vztahuje, domenu s mojim priezvyskom mi zabrala rekreacna chata, ktora uz s povodnym majitelom neexistuje 5 rokov ale nejaky dement ju este stale plati veselo dalej). A ak ste ozaj dobry, poznate cez net niekoho, kto Vam preda dns statistiky (opendns statistiky boli isty cas volne pristupne, vtedy sa nakupovali najcastejsie klikane ,,neexistujuce" domeny jedna radost). Napriklad aj ja som na tomto zarobil a nehambim sa za to. Lepsie ja ako konkurencia.. G-Data kupovala pred par rokmi domeny avg.eu, eset.eu a tak :D (snazila sa). Kapitalizmus ftv Odpovedať Známka: -4.0 Hodnotiť:

Re: Co je dopekla... Od reg.: Marki555 | Pridané: 19.7.2010 9:34 Nech si kazdy kupuje kolko domen chce... Ale je magorske (a z hladiska pravidiel dost zvlastne) ze si niekto moze drzat tisicky domen 2-3 mesiace uplne zadarmo. Zaplatenych domen ma 75, nezaplatenych vyse 4700. http://www.spekulanti.sk/detail.php ?handle=COMP-0123 (medzeru zmazat) Odpovedať Hodnotiť:

Re: Co je dopekla... Od: lolo21 | Pridané: 19.7.2010 14:25 vies ty co je FTV? Odpovedať Hodnotiť:

Re: Co je dopekla... Od: juge guge | Pridané: 22.7.2010 20:52 no keby nebol kapitalizmus nebola by ani ftv :D Odpovedať Hodnotiť:

Dementní kapitalisti to nepochopili Od: MuadDib | Pridané: 27.7.2010 16:26 Vieš, dementní k*****listi ešte stále nepochopili, ako funguje špekulatívny systém zvaný k*****lizmus. Napríklad súdruh Dennis Toeppen to prirovnal k typicky k*****listickému spôsobu, na akom je celý k*****lizmus založený. K*****listi sú vlastne obyčaní špekulanti, ktorí špekulujú. V tomto prípade špekulujú s hodnotnými vecami. K*****listi vlastne žijú zo špekulácií a z odhadovania budúceho stavu vecí (tiež sa to označuje ako kasínový k*****lizmus). Taký k*****lista vlastne stavia (nespisovne: vsádza) na budúci vývoj vecí. Odpovedať Hodnotiť:

Dementní kapitalisti to nepochopili Od: MuadDib | Pridané: 27.7.2010 16:26 Môže napr. investovať napríklad do pozemkov (napr. ich kúpou) okolo predpokladanej výstavby veľkého obchodného centra – s tým predpokladom, že ich hodnota neskôr vzrastie, lebo mnohí ľudia tam budú chcieť bývať, alebo keď obchodné centrum bude úspešné a bude sa chcieť rozširovať. A urobil by to presne tak, ako špekulujúci k*****listi, čo postavili to obchodné centrum hneď vedľa veľkých obytných blokov. Ale môže sa aj stať, že to obchodné centrum sa už nebude chcieť rozširovať, prípadne bude príliš vysvietené alebo hlučné, s krčmami vonku (pardon, "letnými terasami"), takže sa tam žiadne obytné bloky stavať nebudú a jeho stavebný pozemok mu bude na figu borovú... Odpovedať Hodnotiť:

Aj súdruh Toeppen sa presvedčil o neprávostiach kapitalizmu Od: MuadDib | Pridané: 27.7.2010 16:27 Mimochodom, takto to urobil súdruh Toeppen, keď si zaregistroval doménu Panavision.com a prezentoval na nej letecké zábery mesta Pana v americkom štáte (vlastne provincii) Illinois. Avšak "9. cirkus" (ako sa to zvykne nazývať, oficiálne je to "US Court of Appeals for the Ninth Circuit") rozhodol, že súdruh Toeppen je povinný vydať svoje v súlade s právom nadobudnuté meno domény kapitalistom z Panavisionu, čo bolo v rozpore so štatutárnym právom, no ale "9. cirkus", že... Odpovedať Hodnotiť:

Ty si tiež debil? Od: MuadDib | Pridané: 27.7.2010 18:36 Pozri sa, ak máš o tú doménu s tvojím menom vážny záujem, tak isto nebude pre teba problém spojiť sa s jej súčasným držiteľom a ponúknuť mu napríklad tých 1000 €, nech ti ju prenechá (preregistruje), že nie? Alebo len tak táraš do vetra, a keď má prísť ku skutočnému použitiu tvojich pravidiel, tak sa ti to už zrazu nepáči? Odpovedať Hodnotiť:

Pridať komentár