[ Zavřít ] 


 

RSS Kanál

 

CZ.NIC spouští nové DNS servery

Sdružení CZ.NIC spouští nové DNS servery - či nelidově a technicky správně a úplně - otevřené DNSSEC validující resolvery (ODVR). Nejen čeští uživatelé internetu tak dostanou možnost rychlého a další vrstvou zabezpečeného připojení k internetu, kterou mohou alternovat DNS svého poskytovatele internetu či některou z dalších veřejně dostupných možností. Otevřené DNSSEC validující resolvery však mají několik výhod.

 

DNS se zjednodušeně rovná překladu doménových jmen (Zdroj: Kinsta.com)

DNS resolvery, či kapku lidověji DNS servery, zodpovídají za překlad doménových jmen (domena.cz) na IP adresu a zpět. Po světě jich existují spousty, některé jsou veřejné, jiné ne - a každý uživatel internetu má ve výchozí konfiguraci nastavený DNS server svého poskytovatele internetu. Což se mimo jiné rovná:

  • nikoliv nejrychlejší odezvě (technologické řešení lokálních poskytovatelů připojení k internetu se nedá srovnat s možnostmi globálních a specializovaných společností); 
  • možnosti kontroly internetového provozu ze strany poskytovatele internetu; 
  • možnosti restrikce internetového provozu. 

1) Rychlost DNS serverů

V západních demokraciích se volí jiný než výchozí DNS server typicky kvůli rychlosti odezvy. I takové DNS servery, jako jsou ty od Google (8.8.8.8 a 8.8.4.4 pro IPv4) či Cloudfare (1.1.1.1 a 1.0.0.1), bombardované miliardami požadavků, bývají rychlejší než DNS poskytovatelů internetu. Rozdíly v rychlosti konkrétních resolverů jsou sice na úrovni milisekund, pokud ovšem vezmete v potaz komplikované weby, skládající obsah z mnoha různých zdrojů, opakované načítání a tisíce volání v relativně krátkých časových intervalech - nakonec poznáte i rozdíl, který se na úrovni jednoho požadavku odehrává v řádu několika milisekund.

2) Zabezpečení - možnost ochrany pomocí DNSSEC

Dalším důvodem, který vás může přimět změnit nastavení DNS internetového provozu, je to, že některé resolvery poskytují technologii DNSSEC. DNSSEC je další vrstva ochrany internetové komunikace. „DNSSEC poskytuje uživatelům jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena,“ upřesňuje CZ.NIC. Při využití DNSSEC je uživatel chráněn před:

  • odcizením emailů; 
  • podvržením webových stránek a krádeží přihlašovacích údajů; 
  • spamem; 
  • podvržením falešných informací v rámci internetové komunikace; 
  • odposloucháváním internetového provozu vč. VOIP telefonování. 

Fakticky DNSSEC funguje na opakované výměně šifrovacích klíčů a šifrování mezi poskytovatel DNS a doménou. CZ.NIC to technologicky rozvádí:

„DNSSEC zavádí DNS asymetrickou kryptografii – tedy používání jednoho klíče na zašifrování a jiného klíče na dešifrování obsahu. Obdobný princip je základem známějšího šifrování zpráv pomocí PGP či podepisování e-mailů elektronickým podpisem. V případě DNSSEC si držitel domény vygeneruje dvojici soukromého a veřejného klíče. Svým soukromým klíčem pak elektronicky podepíše technické údaje, které o své doméně do DNS vkládá. Pomocí veřejného klíče je pak možné ověřit pravost tohoto podpisu. Aby byl tento klíč dostupný všem, publikuje jej držitel ke své doméně u nadřazené autority, kterou je pro všechny domény .cz registr domén .cz. I na úrovni registru domén .cz jsou technická data v DNS podepsána a veřejný klíč k tomuto podpisu je opět správcem registru předán nadřazené autoritě. Vytváří se tak řetěz, který zajistí důvěryhodnost údajů, pokud není v žádném svém článku porušen, a všechny elektronické podpisy souhlasí.“

Otevřené DNSSEC Validující Resolvery (ODVR) CZ.NIC splňují rychlost, což jsme otestovali pomocí uživatelsky přívětivého prográmku DNS Jumper). Jestliže v testu Turbo Resolve se ODVR CZ.NIC ještě mačkaly na prvních pozicích společně s DNS Googlu a Cloudfare, pak v testu s běžnými časy překladu suverénně vítězilo. To může být dáno i tak nepatrným faktem (sic), že ODVR CZ.NIC jsou umístěny na území ČR. 

„Nové servery jsou nyní umístěny “pouze“ ve všech našich datacentrech v České republice,“ říká Václav Steiner, vedoucí systémových administrátorů CZ.NIC. „Zahraniční instance jsme v této chvíli nezprovozňovali, protože objem provozu mimo ČR není příliš významný. Na následujícím grafu je navíc patrná klesající poptávka v posledních dvou letech (jedná se o procentuální zastoupení z celkového počtu požadavků) po ODVR resolverech ze zahraničních lokalit. Jakmile se tento trend podle našich statistik provozu otočí, jsme připraveni servery spustit i ve významných zahraničních lokalitách.“

Zájem zahraničních uživatelů o DNSSEC zabezpečené resolvery poskytované CZ.NIC spíše klesá (Zdroj: CZ.NIC)

Trend v České republice je naštěstí opačný a poptávka po otevřených a zabezpečených DNS resolverech stoupá. To je dáno nejen osvětou veřejnosti v oblasti kybernetické bezpečnosti, ale i pokročilými znalostmi správců sítí, které právě DNSSEC resolvery volí coby výchozí pro celé organizační sítě. Navíc se novým ODVR CZ:NIC dostane i další implementace - budou coby první volitelné nastaveny v zabezpečených routerech Turris, jejichž původcem je rovněž organizace CZ.NIC. Steiner upřesňuje: „Adresy nového ODVR budou také k dispozici uživatelům routerů Turris jako první volitelné DNS resolvery namísto DNS resolverů od poskytovatele internetového připojení. Pro Turris Omnia od aktualizace TurrisOS verze 3.11.5 a pro Turris MOX od verze 4.0 beta 1.“

Zájem českých uživatelů o zabezpečené OVDR CZ.NIC naopak stoupá (Zdroj: CZ.NIC)

Kromě toho, že nové ODVR CZ.NIC aktuálně běží pouze z českých datacenter, využívají také jiný softwarový resolver než starší ODVR - a to sice KNOT Resolver, který mj. využívají i DNS servery společnosti Cloudfare. A mimo to: „všechny servery běží na novém DNS anycastu, který však není součástí .CZ anycastu. Propagují novou dvojici IPv4+IPv6 adres z nového ASN 20701. A protože, na rozdíl od situace před deseti lety, máme svůj vlastní resolver, nahradili jsme Unbound za KNOT Resolver (ve verzi 4.0) se zapnutou podporou DNS over TLS.“

IP adresy nových ODVR CZ.NIC

  1. IP adresy DNS resolverů pro protokol IPv4
    • 193.17.47.1
    • 185.43.135.1
  2. IP adresy DNS resolverů pro protokol IPv6
    • 2001:148f:ffff::1
    • 2001:148f:fffe::1

Komunikace zabezpečená pomocí DNS-over-TLS je dostupná na adrese odvr.nic.cz na standardním portu TCP/853. Původní ODVR CZ.NIC 217.31.204.130 a 193.29.206.206 zatím běží, nicméně budou postupně utlumeny. Slovy Steinera: „Nepředpokládáme souběžný běh obou prostředí.“

Zdroje: Blog zaměstnanců CZ.NIC, CZ.NIC, Kinsta.com

 

 

 

 

 

Facebook infikuje vaše fotky sledovacím kódem

Facebook sleduje všechny a všechno, to je jisté. Na povrch vyplouvající kauzy se liší jen v operačních vektorech, které jsou při tomto sledování využity či zneužity. Ten poslední má podobu změny metadat obrázků, se kterými přijde Facebook do...

Sedmičky Východního bloku jsou v ohrožení

Operační systémy Windows 7, Windows Server 2008, Windows Server 2003 a Windows XP jsou objektem vysoce cílených útoků, a to především v zemích východní Evropy. Vinu nese zranitelnost v ovládači jádra win32k.sys, která umožňuje převzetí...

Zbavte se Facebooku, vyzývá Woz

Steve Wozniak aka Woz, zakladatel Apple, inovátor a komentátor dění na poli IT, není fanouškem Facebooku. Ač byl sám dlouhou dobu jeho uživatelem, kauza Cambridge Analytica ho donutila smazat profil. Teď k tomu vyzývá i ostatní. A to z prostého důvodu: všechny...

Mapy.cz přidávají počasí na trase

Mapy Mapy.cz přicházejí v poslední době s jednou novinkou za druhou. Po panoramatickém nafocení demonstrace proti Babišovi a za nezávislost justice se vracejí k implementaci předpovědí počasí přímo do map. Nyní se již nedozvíte jen, jak bude v cíli...


 
© 2005-2019 PS Media s.r.o. - digital world