Ondřej Surý: DNSSEC zvýší bezpečnost českých domén

Jiří Kocourek , 03. březen 2008 16:27 1 komentářů

Internet
Sdružení CZ.NIC hodlá přibližně za půl roku spustit v Česku systém DNSSEC, který by mohl výrazně zvýšit bezpečnost internetových domén na úrovni DNS serverů. Sdružení očekává zájem bankovních domů a velkých firem. Samotní uživatelé přitom na první pohled nepoznají, zda je doména zabezpečena. Stále ovšem zůstává nevyřešena situace, při které například virus nebo červ pozmění záznamy přímo na počítači uživatele. V exkluzivním rozhovoru jsme vyzpovídali Ondřeje Surého, technického ředitele CZ.NIC.

Ondřej Surý
Ondřej Surý

Mohl byste vysvětlit, jak funguje systém DNSSEC (DNS Security Extensions), který hodláte přibližně za půl roku spustit?

DNSSEC je technologie, která umožňuje podepisování obsahu zóny tak, aby bylo možné ověřit, že odpověď, kterou uživatel na konci dostane od DNS, je validní, a tudíž není podvržená. Podobně jako u systému DNS se jedná o hierarchický systém. DNSSEC funguje na principu asymetrických klíčů, veřejného a soukromého.

Obsah se podepisuje soukromou částí, podpis je možné ověřit pomocí veřejné části, případně naopak. Například pro podepsání zóny nic.cz musíte vygenerovat klíč, kterým pak podepíšete zónu nic.cz. Veřejnou část klíče ve formě DS záznamu nakonec zveřejníte do DNS v hlavní zóně .cz.

Dá se řešení DNSSEC přirovnat k nějaké podobné technologii a co by mělo vlastně uživatelům přinést?

DNSSEC lze přirovnat například k elektronickým podpisům. Elektronický podpis je možné použít pro ověření obsahu podepsané zprávy. DNSSEC je technologie, která tento princip ověření obsahu přidává do systému DNS – přidává silné bezpečnostní mechanismy, které zaručují integritu a autenticitu DNS odpovědí.
DNSSEC je přídavnou vrstvou nad protokolem DNS. Přidání DNSSEC je zpětně kompatibilní s běžným DNS, to znamená, že implementace na straně serverů nevyžaduje změny u klientů, resolverů, pokud uživatel DNS nevyžaduje vyšší stupeň bezpečnosti.

Přínos pro uživatele je právě v integritě a autenticitě DNS odpovědí. Systém DNS je v současnosti napadnutelný několika různými druhy útoku – od odposlouchávání a podvrhnutí DNS provozu přes útok hrubou silou až po vložení nepravdivých údajů do vyrovnávací paměti DNS serveru. DNSSEC je navržen tak, aby většinu těchto útoků eliminoval a zfalšované odpovědi se k uživateli vůbec nedostaly. Neřeší však zabezpečení lokálního počítače. Pokud je červ nebo virus schopný změnit nastavení DNS lokálního počítače, tak bude stejně schopný vypnout ověřování protokolu DNSSEC.

Jak podporovat DNSSEC ve firmách

Bude mít běžný uživatel nějaký kontrolní mechanismus k ověření, jestli je doména zabezpečená nebo není?

Informaci o tom, zda-li doména obsahuje DNSSEC podpis bude možné získat přes službu WHOIS. Plánujeme také službu, pomocí které bude možné ověřit, zda-li je doména správně podepsána. Na straně počítače uživatele lze do prohlížeče Firefox nainstalovat rozšíření Drill, které umožňuje provádět validaci DNSSEC záznamů přímo v prohlížeči.

Jako jediní na světě jste dali volně k dispozici vlastní systém pro správu domény nejvyšší úrovně. V tomto případě ale nejste první organizací, která se rozhodla spustit tento typ zabezpečení, mohli jste čerpat zkušenosti ze zahraničí. Jaké jsou?

V zahraničí přistoupilo k implementaci protokolu DNSSEC několik dalších TLD operátorů (.se, .pr, .bg a .br). Na straně registru jsou zkušenosti převážně dobré a mechanismy, jak podepisovat zónu jsou dobře zdokumentovány. Přesto se nasazení DNSSECu potýká s některými problémy jako je například nedokonalá implementace protokolu DNS v domácích routerech, které nejsou schopny odpovědi obsahující DNSSEC korektně zpracovat.

Co mají firmy dělat, když chtějí mít zabezpečenou svou doménu?

Osoba zodpovědná za provoz DNS serverů, musí nejdříve vygenerovat DNSSEC klíč. Klíčem musí podepsat zónu a DS záznam, který se dá z klíče vypočítat, ten potom musí zveřejnit v nadřazené zóně. V případě české domény se bude muset zájemce obrátit na svého registrátora, který provede potřebné změny v centrálním registru.

Myslíte si, že bude o řešení mezi firmami zájem? Jaké náklady by je zavedení systému stálo?

Myslím si, že by DNSSEC mít měly. Samotné podepsání domény je technologicky nenáročný postup. Hlavní část nákladů bude tvořit vytvoření provozních postupů a samotné zaběhnutí systému.

Co se stane, když dojde na straně správce DNS k vypršení platnosti klíče, který si vlastník domény vytvořil?

Když dojde k podepsání zóny nedůvěryhodným klíčem, přestane doména z pohledu DNSSECu existovat. Vlastní klíče, které podepisuje DNSSEC, nevydává žádná centrální certifikační autorita, ale klíč generuje správce DNS.

Podpis domény obsahuje časové značky, které určují dobu platnosti podpisu. Podpis, který vypršel, je z pohledu validity stejný jako podpis, který je vytvořen nedůvěryhodným klíčem. Taková doména opět přestává u klientů, kteří mají zapnutý protokol DNS, existovat a obsah, který je na této doméně zobrazován nebude možné zobrazit – doména nebude dostupná.

Říkal jste, že si klíč vytváří správce domény na DNS serveru. Je možné tuto činnost automatizovat?

Pouze určitou část je vhodné dělat automaticky, konkrétně podepsání zóny. Z bezpečnostních důvodů je důležité jednou za čas klíče změnit. Tuto operaci není vhodné dělat automaticky. Vždy ovšem záleží na důležitosti konkrétní domény. Neexistuje jednotná šablona pro všechny. Podepsání domény pro internetové bankovnictví musí provázet jiné kontrolní a bezpečnostní mechanismy než podepsání domény pro osobní blog.

Vývoj až na vlastním systému

Jak dlouho pracuje sdružení na zavedení systému DNSSEC a kdy bude spuštěn?

Na systému DNSSEC jsme začali pracovat v minulém roce, po spuštění vlastního systému správy české domény. Finální spuštění plánujeme na polovinu letošního roku. Předtím zveřejníme na stránkách nic.cz ukázku podepsání zóny.

Nebylo možné přijít s řešením dříve?

Nebylo, minulý rok jsme dokončili přechod na nový systém vyvíjený uvnitř sdružení a nebylo by vhodné zároveň se změnou systému implementovat nové technologie.

Jak vysoké byly náklady na zavedení DNSSEC?

Vydáváme se podobnou cestou jaká je běžná u ostatních zahraničních registrů. Jako bezpečné úložiště bude hardwarové zařízení – HSM (Hardware Security Module), které má uloženo soukromou část klíče v externím modulu a tuto soukromou část nelze z tohoto zařízení získat. Jiné řešení by mohlo být podepisovat čistě na počítači, ale toto řešení není příliš bezpečné, protože klíče leží fyzicky na serveru, kde se zóna podepisuje, a potencionální útočník může jednoduše soukromé části klíčů získat.

Jaká je role registrátorů, budou provedeny nějaké technické změny na straně jejich serverů? Dotkne se tato chystaná novinka ještě jiných subjektů na trhu?

DNSSEC se dotkne registrátorů, správců DNS serverů i poskytovatelů připojení, kteří budou chtít protokol DNSSEC podporovat. Rozšiřuje centrální registr o další typ záznamů a registrátoři do svých systému pro správu doménových jmen budou muset implementovat rozhraní pro práci s těmito záznamy. Správci DNS serverů se budou muset naučit podepisovat domény, případně přijímat od zákazníků celý zónový soubor obsahující podepsané záznamy o doméně.

Poskytovatelé připojení budou muset na svých resolverech (DNS server, který přejímá DNS požadavky od klientských počítačů) zapnout podporu protokolu DNSSEC. Další možnosti vidím ve firmách, které vyrábí domácí routery a ADSL modemy. Mnoho z těchto zařízení má v sobě také DNS resolver a bylo by vhodné, aby tyto zařízení měly podporu protokolu DNSSEC.

Související


Ondřej Filip: pád české domény by ovlivnil ekonomiku
České firmy pomalu objevují výhody blogů
Asie má vlastní doménu nejvyšší úrovně .asia


Komentáře

#1
04. březen 2008 17:54

<a href=http://itbiz.cz/ondrej-filip-cz-nic>Ondřej Filip: pád české domény by ovlivnil ekonomiku</a>

RSS 

Komentujeme

AI i její tvůrci před soudem

Pavel Houser , 22. duben 2018 09:30
Pavel Houser

John Kingston z anglické University of Brighton poskytl pro The Register svůj pohled na právní odpov...

Více







RSS 

Zprávičky

Před 25 lety byl zpřístupněn webový prohlížeč Mosaic

ČTK , 21. duben 2018 15:22

Mosaic se zrodil v průběhu roku 1992 v hlavě Marca Andreessena a jeho kolegy Erica Biny....

Více 0 komentářů

Těžba bitcoinů při kurzu pod 8 600 dolarů je ztrátová

ČTK , 20. duben 2018 11:21

Analytici se domnívají, že poptávka po hardwaru pro těžbu bitcoinů dál klesne, stejně jako cena kryp...

Více 1 komentářů

Netflixu prudce stoupají příjmy i počet odběratelů

ČTK , 20. duben 2018 09:36

Čistý zisk ve čtvrtletí stoupl na 290,1 milionu dolarů, neboli 64 centů na akcii....

Více 0 komentářů

Starší zprávičky

Zájem o přijímače s digitálním rádiem je minimální

ČTK , 20. duben 2018 08:00

Český rozhlas na konci loňského roku rozšířil pokrytí digitálním signálem na 40 % populace....

Více 3 komentářů

eMan vykupuje zpět podíl Jablotronu

Pavel Houser , 19. duben 2018 14:32

Strategie obou společností se po více než 2 letech propojení rozcházejí, kontrolu nad firmou získáva...

Více 0 komentářů

Facebook reaguje na nové normy EU, cílená reklama ale nepřestane

ČTK , 19. duben 2018 10:26

Facebook se začal dotazovat svých uživatelů, zda může v jejich fotografiích a videích používat techn...

Více 2 komentářů

Ruské úřady vs. Telegram

ČTK , 19. duben 2018 08:00

Začaly se objevovat informace o rozsáhlých výpadcích služeb, které se sporem nijak nesouvisejí....

Více 0 komentářů