Ondřej Surý: DNSSEC zvýší bezpečnost českých domén

Sdružení CZ.NIC hodlá přibližně za půl roku spustit v Česku systém DNSSEC, který by mohl výrazně zvýšit bezpečnost internetových domén na úrovni DNS serverů. Sdružení očekává zájem bankovních domů a velkých firem. Samotní uživatelé přitom na první pohled nepoznají, zda je doména zabezpečena. Stále ovšem zůstává nevyřešena situace, při které například virus nebo červ pozmění záznamy přímo na počítači uživatele. V exkluzivním rozhovoru jsme vyzpovídali Ondřeje Surého, technického ředitele CZ.NIC.

Ondřej Surý

Mohl byste vysvětlit, jak funguje systém DNSSEC (DNS Security Extensions), který hodláte přibližně za půl roku spustit?

DNSSEC je technologie, která umožňuje podepisování obsahu zóny tak, aby bylo možné ověřit, že odpověď, kterou uživatel na konci dostane od DNS, je validní, a tudíž není podvržená. Podobně jako u systému DNS se jedná o hierarchický systém. DNSSEC funguje na principu asymetrických klíčů, veřejného a soukromého.

Obsah se podepisuje soukromou částí, podpis je možné ověřit pomocí veřejné části, případně naopak. Například pro podepsání zóny nic.cz musíte vygenerovat klíč, kterým pak podepíšete zónu nic.cz. Veřejnou část klíče ve formě DS záznamu nakonec zveřejníte do DNS v hlavní zóně .cz.

Dá se řešení DNSSEC přirovnat k nějaké podobné technologii a co by mělo vlastně uživatelům přinést?

DNSSEC lze přirovnat například k elektronickým podpisům. Elektronický podpis je možné použít pro ověření obsahu podepsané zprávy. DNSSEC je technologie, která tento princip ověření obsahu přidává do systému DNS – přidává silné bezpečnostní mechanismy, které zaručují integritu a autenticitu DNS odpovědí.
DNSSEC je přídavnou vrstvou nad protokolem DNS. Přidání DNSSEC je zpětně kompatibilní s běžným DNS, to znamená, že implementace na straně serverů nevyžaduje změny u klientů, resolverů, pokud uživatel DNS nevyžaduje vyšší stupeň bezpečnosti.

Přínos pro uživatele je právě v integritě a autenticitě DNS odpovědí. Systém DNS je v současnosti napadnutelný několika různými druhy útoku – od odposlouchávání a podvrhnutí DNS provozu přes útok hrubou silou až po vložení nepravdivých údajů do vyrovnávací paměti DNS serveru. DNSSEC je navržen tak, aby většinu těchto útoků eliminoval a zfalšované odpovědi se k uživateli vůbec nedostaly. Neřeší však zabezpečení lokálního počítače. Pokud je červ nebo virus schopný změnit nastavení DNS lokálního počítače, tak bude stejně schopný vypnout ověřování protokolu DNSSEC.

Jak podporovat DNSSEC ve firmách

Bude mít běžný uživatel nějaký kontrolní mechanismus k ověření, jestli je doména zabezpečená nebo není?

Informaci o tom, zda-li doména obsahuje DNSSEC podpis bude možné získat přes službu WHOIS. Plánujeme také službu, pomocí které bude možné ověřit, zda-li je doména správně podepsána. Na straně počítače uživatele lze do prohlížeče Firefox nainstalovat rozšíření Drill, které umožňuje provádět validaci DNSSEC záznamů přímo v prohlížeči.

Jako jediní na světě jste dali volně k dispozici vlastní systém pro správu domény nejvyšší úrovně. V tomto případě ale nejste první organizací, která se rozhodla spustit tento typ zabezpečení, mohli jste čerpat zkušenosti ze zahraničí. Jaké jsou?

V zahraničí přistoupilo k implementaci protokolu DNSSEC několik dalších TLD operátorů (.se, .pr, .bg a .br). Na straně registru jsou zkušenosti převážně dobré a mechanismy, jak podepisovat zónu jsou dobře zdokumentovány. Přesto se nasazení DNSSECu potýká s některými problémy jako je například nedokonalá implementace protokolu DNS v domácích routerech, které nejsou schopny odpovědi obsahující DNSSEC korektně zpracovat.

Co mají firmy dělat, když chtějí mít zabezpečenou svou doménu?

Osoba zodpovědná za provoz DNS serverů, musí nejdříve vygenerovat DNSSEC klíč. Klíčem musí podepsat zónu a DS záznam, který se dá z klíče vypočítat, ten potom musí zveřejnit v nadřazené zóně. V případě české domény se bude muset zájemce obrátit na svého registrátora, který provede potřebné změny v centrálním registru.

Myslíte si, že bude o řešení mezi firmami zájem? Jaké náklady by je zavedení systému stálo?

Myslím si, že by DNSSEC mít měly. Samotné podepsání domény je technologicky nenáročný postup. Hlavní část nákladů bude tvořit vytvoření provozních postupů a samotné zaběhnutí systému.

Co se stane, když dojde na straně správce DNS k vypršení platnosti klíče, který si vlastník domény vytvořil?

Když dojde k podepsání zóny nedůvěryhodným klíčem, přestane doména z pohledu DNSSECu existovat. Vlastní klíče, které podepisuje DNSSEC, nevydává žádná centrální certifikační autorita, ale klíč generuje správce DNS.

Podpis domény obsahuje časové značky, které určují dobu platnosti podpisu. Podpis, který vypršel, je z pohledu validity stejný jako podpis, který je vytvořen nedůvěryhodným klíčem. Taková doména opět přestává u klientů, kteří mají zapnutý protokol DNS, existovat a obsah, který je na této doméně zobrazován nebude možné zobrazit – doména nebude dostupná.

Říkal jste, že si klíč vytváří správce domény na DNS serveru. Je možné tuto činnost automatizovat?

Pouze určitou část je vhodné dělat automaticky, konkrétně podepsání zóny. Z bezpečnostních důvodů je důležité jednou za čas klíče změnit. Tuto operaci není vhodné dělat automaticky. Vždy ovšem záleží na důležitosti konkrétní domény. Neexistuje jednotná šablona pro všechny. Podepsání domény pro internetové bankovnictví musí provázet jiné kontrolní a bezpečnostní mechanismy než podepsání domény pro osobní blog.

Vývoj až na vlastním systému

Jak dlouho pracuje sdružení na zavedení systému DNSSEC a kdy bude spuštěn?

Na systému DNSSEC jsme začali pracovat v minulém roce, po spuštění vlastního systému správy české domény. Finální spuštění plánujeme na polovinu letošního roku. Předtím zveřejníme na stránkách nic.cz ukázku podepsání zóny.

Nebylo možné přijít s řešením dříve?

Nebylo, minulý rok jsme dokončili přechod na nový systém vyvíjený uvnitř sdružení a nebylo by vhodné zároveň se změnou systému implementovat nové technologie.

Jak vysoké byly náklady na zavedení DNSSEC?

Vydáváme se podobnou cestou jaká je běžná u ostatních zahraničních registrů. Jako bezpečné úložiště bude hardwarové zařízení – HSM (Hardware Security Module), které má uloženo soukromou část klíče v externím modulu a tuto soukromou část nelze z tohoto zařízení získat. Jiné řešení by mohlo být podepisovat čistě na počítači, ale toto řešení není příliš bezpečné, protože klíče leží fyzicky na serveru, kde se zóna podepisuje, a potencionální útočník může jednoduše soukromé části klíčů získat.

Jaká je role registrátorů, budou provedeny nějaké technické změny na straně jejich serverů? Dotkne se tato chystaná novinka ještě jiných subjektů na trhu?

DNSSEC se dotkne registrátorů, správců DNS serverů i poskytovatelů připojení, kteří budou chtít protokol DNSSEC podporovat. Rozšiřuje centrální registr o další typ záznamů a registrátoři do svých systému pro správu doménových jmen budou muset implementovat rozhraní pro práci s těmito záznamy. Správci DNS serverů se budou muset naučit podepisovat domény, případně přijímat od zákazníků celý zónový soubor obsahující podepsané záznamy o doméně.

Poskytovatelé připojení budou muset na svých resolverech (DNS server, který přejímá DNS požadavky od klientských počítačů) zapnout podporu protokolu DNSSEC. Další možnosti vidím ve firmách, které vyrábí domácí routery a ADSL modemy. Mnoho z těchto zařízení má v sobě také DNS resolver a bylo by vhodné, aby tyto zařízení měly podporu protokolu DNSSEC.