[ Zavřít ] 


 

RSS Kanál

 

CZ.NIC spouští nové DNS servery

Sdružení CZ.NIC spouští nové DNS servery - či nelidově a technicky správně a úplně - otevřené DNSSEC validující resolvery (ODVR). Nejen čeští uživatelé internetu tak dostanou možnost rychlého a další vrstvou zabezpečeného připojení k internetu, kterou mohou alternovat DNS svého poskytovatele internetu či některou z dalších veřejně dostupných možností. Otevřené DNSSEC validující resolvery však mají několik výhod.

 

DNS se zjednodušeně rovná překladu doménových jmen (Zdroj: Kinsta.com)

DNS resolvery, či kapku lidověji DNS servery, zodpovídají za překlad doménových jmen (domena.cz) na IP adresu a zpět. Po světě jich existují spousty, některé jsou veřejné, jiné ne - a každý uživatel internetu má ve výchozí konfiguraci nastavený DNS server svého poskytovatele internetu. Což se mimo jiné rovná:

  • nikoliv nejrychlejší odezvě (technologické řešení lokálních poskytovatelů připojení k internetu se nedá srovnat s možnostmi globálních a specializovaných společností); 
  • možnosti kontroly internetového provozu ze strany poskytovatele internetu; 
  • možnosti restrikce internetového provozu. 

1) Rychlost DNS serverů

V západních demokraciích se volí jiný než výchozí DNS server typicky kvůli rychlosti odezvy. I takové DNS servery, jako jsou ty od Google (8.8.8.8 a 8.8.4.4 pro IPv4) či Cloudfare (1.1.1.1 a 1.0.0.1), bombardované miliardami požadavků, bývají rychlejší než DNS poskytovatelů internetu. Rozdíly v rychlosti konkrétních resolverů jsou sice na úrovni milisekund, pokud ovšem vezmete v potaz komplikované weby, skládající obsah z mnoha různých zdrojů, opakované načítání a tisíce volání v relativně krátkých časových intervalech - nakonec poznáte i rozdíl, který se na úrovni jednoho požadavku odehrává v řádu několika milisekund.

2) Zabezpečení - možnost ochrany pomocí DNSSEC

Dalším důvodem, který vás může přimět změnit nastavení DNS internetového provozu, je to, že některé resolvery poskytují technologii DNSSEC. DNSSEC je další vrstva ochrany internetové komunikace. „DNSSEC poskytuje uživatelům jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena,“ upřesňuje CZ.NIC. Při využití DNSSEC je uživatel chráněn před:

  • odcizením emailů; 
  • podvržením webových stránek a krádeží přihlašovacích údajů; 
  • spamem; 
  • podvržením falešných informací v rámci internetové komunikace; 
  • odposloucháváním internetového provozu vč. VOIP telefonování. 

Fakticky DNSSEC funguje na opakované výměně šifrovacích klíčů a šifrování mezi poskytovatel DNS a doménou. CZ.NIC to technologicky rozvádí:

„DNSSEC zavádí DNS asymetrickou kryptografii – tedy používání jednoho klíče na zašifrování a jiného klíče na dešifrování obsahu. Obdobný princip je základem známějšího šifrování zpráv pomocí PGP či podepisování e-mailů elektronickým podpisem. V případě DNSSEC si držitel domény vygeneruje dvojici soukromého a veřejného klíče. Svým soukromým klíčem pak elektronicky podepíše technické údaje, které o své doméně do DNS vkládá. Pomocí veřejného klíče je pak možné ověřit pravost tohoto podpisu. Aby byl tento klíč dostupný všem, publikuje jej držitel ke své doméně u nadřazené autority, kterou je pro všechny domény .cz registr domén .cz. I na úrovni registru domén .cz jsou technická data v DNS podepsána a veřejný klíč k tomuto podpisu je opět správcem registru předán nadřazené autoritě. Vytváří se tak řetěz, který zajistí důvěryhodnost údajů, pokud není v žádném svém článku porušen, a všechny elektronické podpisy souhlasí.“

Otevřené DNSSEC Validující Resolvery (ODVR) CZ.NIC splňují rychlost, což jsme otestovali pomocí uživatelsky přívětivého prográmku DNS Jumper). Jestliže v testu Turbo Resolve se ODVR CZ.NIC ještě mačkaly na prvních pozicích společně s DNS Googlu a Cloudfare, pak v testu s běžnými časy překladu suverénně vítězilo. To může být dáno i tak nepatrným faktem (sic), že ODVR CZ.NIC jsou umístěny na území ČR. 

„Nové servery jsou nyní umístěny “pouze“ ve všech našich datacentrech v České republice,“ říká Václav Steiner, vedoucí systémových administrátorů CZ.NIC. „Zahraniční instance jsme v této chvíli nezprovozňovali, protože objem provozu mimo ČR není příliš významný. Na následujícím grafu je navíc patrná klesající poptávka v posledních dvou letech (jedná se o procentuální zastoupení z celkového počtu požadavků) po ODVR resolverech ze zahraničních lokalit. Jakmile se tento trend podle našich statistik provozu otočí, jsme připraveni servery spustit i ve významných zahraničních lokalitách.“

Zájem zahraničních uživatelů o DNSSEC zabezpečené resolvery poskytované CZ.NIC spíše klesá (Zdroj: CZ.NIC)

Trend v České republice je naštěstí opačný a poptávka po otevřených a zabezpečených DNS resolverech stoupá. To je dáno nejen osvětou veřejnosti v oblasti kybernetické bezpečnosti, ale i pokročilými znalostmi správců sítí, které právě DNSSEC resolvery volí coby výchozí pro celé organizační sítě. Navíc se novým ODVR CZ:NIC dostane i další implementace - budou coby první volitelné nastaveny v zabezpečených routerech Turris, jejichž původcem je rovněž organizace CZ.NIC. Steiner upřesňuje: „Adresy nového ODVR budou také k dispozici uživatelům routerů Turris jako první volitelné DNS resolvery namísto DNS resolverů od poskytovatele internetového připojení. Pro Turris Omnia od aktualizace TurrisOS verze 3.11.5 a pro Turris MOX od verze 4.0 beta 1.“

Zájem českých uživatelů o zabezpečené OVDR CZ.NIC naopak stoupá (Zdroj: CZ.NIC)

Kromě toho, že nové ODVR CZ.NIC aktuálně běží pouze z českých datacenter, využívají také jiný softwarový resolver než starší ODVR - a to sice KNOT Resolver, který mj. využívají i DNS servery společnosti Cloudfare. A mimo to: „všechny servery běží na novém DNS anycastu, který však není součástí .CZ anycastu. Propagují novou dvojici IPv4+IPv6 adres z nového ASN 20701. A protože, na rozdíl od situace před deseti lety, máme svůj vlastní resolver, nahradili jsme Unbound za KNOT Resolver (ve verzi 4.0) se zapnutou podporou DNS over TLS.“

IP adresy nových ODVR CZ.NIC

  1. IP adresy DNS resolverů pro protokol IPv4
    • 193.17.47.1
    • 185.43.135.1
  2. IP adresy DNS resolverů pro protokol IPv6
    • 2001:148f:ffff::1
    • 2001:148f:fffe::1

Komunikace zabezpečená pomocí DNS-over-TLS je dostupná na adrese odvr.nic.cz na standardním portu TCP/853. Původní ODVR CZ.NIC 217.31.204.130 a 193.29.206.206 zatím běží, nicméně budou postupně utlumeny. Slovy Steinera: „Nepředpokládáme souběžný běh obou prostředí.“

Zdroje: Blog zaměstnanců CZ.NIC, CZ.NIC, Kinsta.com

 

 

 

 

 

Firefox 67: WebRender, dav1d a změny

Mozilla se potýkala s problémy kolem zablokování rozšíření Firefoxu, a tak se vydání jeho 67. verze o týden zpozdilo. To ovšem nic nemění na tom, že máme před sebou release s porcí slibných technologií, vylepšení a změň. Ať...

Jižní Korea migruje na Linux

Bezplatná podpora Windows 7 skončí v lednu 2020, a mnohé subjekty už proto uvažují, jaký operační systém se bude prohánět po křemíku jejich IT. Stratégové musí počítat s tendencemi Microsoftu přicházet se zpoplatňováním buď Windows...

Nevíte jak nakazit počítač? A co takhle dotazníček?

Každý správný $%^&* má nejnovější mobil - na tuto maximu zaměřili své úsilí i kyberútočníci. Vábí své oběti vidinou snadného získání populárních věciček - typicky právě smartphonů velkých...

Nový Edge: režim IE a kolekce obsahu

Práce na novém Microsoft Edge běžícím na jádru Chromia stále pokračují a vývojářské verze už představují nové a velmi zajímavé funkce. Jsou to především kolekce, které ocení každý, kdo ve velkém...


 
© 2005-2019 PS Media s.r.o. - digital world