Ondřej Surý: DNSSEC zvýší bezpečnost českých domén

Jiří Kocourek , 03. březen 2008 16:27 1 komentářů

Internet
Sdružení CZ.NIC hodlá přibližně za půl roku spustit v Česku systém DNSSEC, který by mohl výrazně zvýšit bezpečnost internetových domén na úrovni DNS serverů. Sdružení očekává zájem bankovních domů a velkých firem. Samotní uživatelé přitom na první pohled nepoznají, zda je doména zabezpečena. Stále ovšem zůstává nevyřešena situace, při které například virus nebo červ pozmění záznamy přímo na počítači uživatele. V exkluzivním rozhovoru jsme vyzpovídali Ondřeje Surého, technického ředitele CZ.NIC.

Ondřej Surý
Ondřej Surý

Mohl byste vysvětlit, jak funguje systém DNSSEC (DNS Security Extensions), který hodláte přibližně za půl roku spustit?

DNSSEC je technologie, která umožňuje podepisování obsahu zóny tak, aby bylo možné ověřit, že odpověď, kterou uživatel na konci dostane od DNS, je validní, a tudíž není podvržená. Podobně jako u systému DNS se jedná o hierarchický systém. DNSSEC funguje na principu asymetrických klíčů, veřejného a soukromého.

Obsah se podepisuje soukromou částí, podpis je možné ověřit pomocí veřejné části, případně naopak. Například pro podepsání zóny nic.cz musíte vygenerovat klíč, kterým pak podepíšete zónu nic.cz. Veřejnou část klíče ve formě DS záznamu nakonec zveřejníte do DNS v hlavní zóně .cz.

Dá se řešení DNSSEC přirovnat k nějaké podobné technologii a co by mělo vlastně uživatelům přinést?

DNSSEC lze přirovnat například k elektronickým podpisům. Elektronický podpis je možné použít pro ověření obsahu podepsané zprávy. DNSSEC je technologie, která tento princip ověření obsahu přidává do systému DNS – přidává silné bezpečnostní mechanismy, které zaručují integritu a autenticitu DNS odpovědí.
DNSSEC je přídavnou vrstvou nad protokolem DNS. Přidání DNSSEC je zpětně kompatibilní s běžným DNS, to znamená, že implementace na straně serverů nevyžaduje změny u klientů, resolverů, pokud uživatel DNS nevyžaduje vyšší stupeň bezpečnosti.

Přínos pro uživatele je právě v integritě a autenticitě DNS odpovědí. Systém DNS je v současnosti napadnutelný několika různými druhy útoku – od odposlouchávání a podvrhnutí DNS provozu přes útok hrubou silou až po vložení nepravdivých údajů do vyrovnávací paměti DNS serveru. DNSSEC je navržen tak, aby většinu těchto útoků eliminoval a zfalšované odpovědi se k uživateli vůbec nedostaly. Neřeší však zabezpečení lokálního počítače. Pokud je červ nebo virus schopný změnit nastavení DNS lokálního počítače, tak bude stejně schopný vypnout ověřování protokolu DNSSEC.

Jak podporovat DNSSEC ve firmách

Bude mít běžný uživatel nějaký kontrolní mechanismus k ověření, jestli je doména zabezpečená nebo není?

Informaci o tom, zda-li doména obsahuje DNSSEC podpis bude možné získat přes službu WHOIS. Plánujeme také službu, pomocí které bude možné ověřit, zda-li je doména správně podepsána. Na straně počítače uživatele lze do prohlížeče Firefox nainstalovat rozšíření Drill, které umožňuje provádět validaci DNSSEC záznamů přímo v prohlížeči.

Jako jediní na světě jste dali volně k dispozici vlastní systém pro správu domény nejvyšší úrovně. V tomto případě ale nejste první organizací, která se rozhodla spustit tento typ zabezpečení, mohli jste čerpat zkušenosti ze zahraničí. Jaké jsou?

V zahraničí přistoupilo k implementaci protokolu DNSSEC několik dalších TLD operátorů (.se, .pr, .bg a .br). Na straně registru jsou zkušenosti převážně dobré a mechanismy, jak podepisovat zónu jsou dobře zdokumentovány. Přesto se nasazení DNSSECu potýká s některými problémy jako je například nedokonalá implementace protokolu DNS v domácích routerech, které nejsou schopny odpovědi obsahující DNSSEC korektně zpracovat.

Co mají firmy dělat, když chtějí mít zabezpečenou svou doménu?

Osoba zodpovědná za provoz DNS serverů, musí nejdříve vygenerovat DNSSEC klíč. Klíčem musí podepsat zónu a DS záznam, který se dá z klíče vypočítat, ten potom musí zveřejnit v nadřazené zóně. V případě české domény se bude muset zájemce obrátit na svého registrátora, který provede potřebné změny v centrálním registru.

Myslíte si, že bude o řešení mezi firmami zájem? Jaké náklady by je zavedení systému stálo?

Myslím si, že by DNSSEC mít měly. Samotné podepsání domény je technologicky nenáročný postup. Hlavní část nákladů bude tvořit vytvoření provozních postupů a samotné zaběhnutí systému.

Co se stane, když dojde na straně správce DNS k vypršení platnosti klíče, který si vlastník domény vytvořil?

Když dojde k podepsání zóny nedůvěryhodným klíčem, přestane doména z pohledu DNSSECu existovat. Vlastní klíče, které podepisuje DNSSEC, nevydává žádná centrální certifikační autorita, ale klíč generuje správce DNS.

Podpis domény obsahuje časové značky, které určují dobu platnosti podpisu. Podpis, který vypršel, je z pohledu validity stejný jako podpis, který je vytvořen nedůvěryhodným klíčem. Taková doména opět přestává u klientů, kteří mají zapnutý protokol DNS, existovat a obsah, který je na této doméně zobrazován nebude možné zobrazit – doména nebude dostupná.

Říkal jste, že si klíč vytváří správce domény na DNS serveru. Je možné tuto činnost automatizovat?

Pouze určitou část je vhodné dělat automaticky, konkrétně podepsání zóny. Z bezpečnostních důvodů je důležité jednou za čas klíče změnit. Tuto operaci není vhodné dělat automaticky. Vždy ovšem záleží na důležitosti konkrétní domény. Neexistuje jednotná šablona pro všechny. Podepsání domény pro internetové bankovnictví musí provázet jiné kontrolní a bezpečnostní mechanismy než podepsání domény pro osobní blog.

Vývoj až na vlastním systému

Jak dlouho pracuje sdružení na zavedení systému DNSSEC a kdy bude spuštěn?

Na systému DNSSEC jsme začali pracovat v minulém roce, po spuštění vlastního systému správy české domény. Finální spuštění plánujeme na polovinu letošního roku. Předtím zveřejníme na stránkách nic.cz ukázku podepsání zóny.

Nebylo možné přijít s řešením dříve?

Nebylo, minulý rok jsme dokončili přechod na nový systém vyvíjený uvnitř sdružení a nebylo by vhodné zároveň se změnou systému implementovat nové technologie.

Jak vysoké byly náklady na zavedení DNSSEC?

Vydáváme se podobnou cestou jaká je běžná u ostatních zahraničních registrů. Jako bezpečné úložiště bude hardwarové zařízení – HSM (Hardware Security Module), které má uloženo soukromou část klíče v externím modulu a tuto soukromou část nelze z tohoto zařízení získat. Jiné řešení by mohlo být podepisovat čistě na počítači, ale toto řešení není příliš bezpečné, protože klíče leží fyzicky na serveru, kde se zóna podepisuje, a potencionální útočník může jednoduše soukromé části klíčů získat.

Jaká je role registrátorů, budou provedeny nějaké technické změny na straně jejich serverů? Dotkne se tato chystaná novinka ještě jiných subjektů na trhu?

DNSSEC se dotkne registrátorů, správců DNS serverů i poskytovatelů připojení, kteří budou chtít protokol DNSSEC podporovat. Rozšiřuje centrální registr o další typ záznamů a registrátoři do svých systému pro správu doménových jmen budou muset implementovat rozhraní pro práci s těmito záznamy. Správci DNS serverů se budou muset naučit podepisovat domény, případně přijímat od zákazníků celý zónový soubor obsahující podepsané záznamy o doméně.

Poskytovatelé připojení budou muset na svých resolverech (DNS server, který přejímá DNS požadavky od klientských počítačů) zapnout podporu protokolu DNSSEC. Další možnosti vidím ve firmách, které vyrábí domácí routery a ADSL modemy. Mnoho z těchto zařízení má v sobě také DNS resolver a bylo by vhodné, aby tyto zařízení měly podporu protokolu DNSSEC.

Související


Ondřej Filip: pád české domény by ovlivnil ekonomiku
České firmy pomalu objevují výhody blogů
Asie má vlastní doménu nejvyšší úrovně .asia


Komentáře

#1
04. březen 2008 17:54

<a href=http://itbiz.cz/ondrej-filip-cz-nic>Ondřej Filip: pád české domény by ovlivnil ekonomiku</a>

RSS 

Komentujeme

Deset minut s Einsteinem

Richard Jan Voigts , 18. listopad 2017 10:45
Richard Jan Voigts

Při návštěvě Švýcarska jsme strávili den na Eidgenoessiche Technische Hochschule Zurich – Swiss Fede...

Více







RSS 

Zprávičky

Na trh přichází GFI MailEssentials 21

Pavel Houser , 20. listopad 2017 13:36

Nová verze posiluje úroveň bezpečnosti elektronické pošty pro SMB společnosti....

Více 0 komentářů

Prodej elektroniky i kancelářské techniky v ČR se zvýšil

Pavel Houser , 20. listopad 2017 13:28

Vývoj prodejů je dán mj. růstem cen desktopů, notebooků i inkoustových tiskáren....

Více 0 komentářů

Toshiba odvrací stažení akcií z burzy

ČTK , 20. listopad 2017 09:19

Správní rada podniku schválila zvýšení kapitálu na nedělním zasedání....

Více 0 komentářů

Starší zprávičky

ČLK podá trestní oznámení kvůli zavádění eReceptů

ČTK , 20. listopad 2017 08:00

Podle kontroly NKÚ, kterou úřad zveřejnil v květnu, bylo úložiště elektronických receptů za 318 mili...

Více 0 komentářů

Prodeje potravin přes internet jsou v ČR třetí nejvyšší v Evropě

ČTK , 18. listopad 2017 08:00

Další inovace? Nabízí se např. doručování až domů bez přítomnosti majitele......

Více 0 komentářů

Slovenské soudy zakázaly přístup k více než 30 webům s hazardem

ČTK , 17. listopad 2017 09:00

Podobnou úpravu proti nepovoleným hazardním hrám jako Slovensko uplatňují i další členské země EU....

Více 1 komentářů

Foxconnu klesl čtvrtletní zisk o 39 %

ČTK , 17. listopad 2017 08:00

V důsledku slabého zájmu o iPhone 8 a problémům při výrobě iPhone X akcie společnosti za poslední tř...

Více 0 komentářů