CZ.NIC spouští nové DNS servery

Sdružení CZ.NIC spouští nové DNS servery - či nelidově a technicky správně a úplně - otevřené DNSSEC validující resolvery (ODVR). Nejen čeští uživatelé internetu tak dostanou možnost rychlého a další vrstvou zabezpečeného připojení k internetu, kterou mohou alternovat DNS svého poskytovatele internetu či některou z dalších veřejně dostupných možností. Otevřené DNSSEC validující resolvery však mají několik výhod.

 

DNS resolvery, či kapku lidověji DNS servery, zodpovídají za překlad doménových jmen (domena.cz) na IP adresu a zpět. Po světě jich existují spousty, některé jsou veřejné, jiné ne - a každý uživatel internetu má ve výchozí konfiguraci nastavený DNS server svého poskytovatele internetu. Což se mimo jiné rovná:

• nikoliv nejrychlejší odezvě (technologické řešení lokálních poskytovatelů připojení k internetu se nedá srovnat s možnostmi globálních a specializovaných společností); 
• možnosti kontroly internetového provozu ze strany poskytovatele internetu; 
• možnosti restrikce internetového provozu. 

1) Rychlost DNS serverů

V západních demokraciích se volí jiný než výchozí DNS server typicky kvůli rychlosti odezvy. I takové DNS servery, jako jsou ty od Google (8.8.8.8 a 8.8.4.4 pro IPv4) či Cloudfare (1.1.1.1 a 1.0.0.1), bombardované miliardami požadavků, bývají rychlejší než DNS poskytovatelů internetu. Rozdíly v rychlosti konkrétních resolverů jsou sice na úrovni milisekund, pokud ovšem vezmete v potaz komplikované weby, skládající obsah z mnoha různých zdrojů, opakované načítání a tisíce volání v relativně krátkých časových intervalech - nakonec poznáte i rozdíl, který se na úrovni jednoho požadavku odehrává v řádu několika milisekund.

2) Zabezpečení - možnost ochrany pomocí DNSSEC

Dalším důvodem, který vás může přimět změnit nastavení DNS internetového provozu, je to, že některé resolvery poskytují technologii DNSSEC. DNSSEC je další vrstva ochrany internetové komunikace. „DNSSEC poskytuje uživatelům jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena,“ upřesňuje CZ.NIC. Při využití DNSSEC je uživatel chráněn před:

• odcizením emailů; 
• podvržením webových stránek a krádeží přihlašovacích údajů; 
• spamem; 
• podvržením falešných informací v rámci internetové komunikace; 
• odposloucháváním internetového provozu vč. VOIP telefonování. 

Fakticky DNSSEC funguje na opakované výměně šifrovacích klíčů a šifrování mezi poskytovatel DNS a doménou. CZ.NIC to technologicky rozvádí:

„DNSSEC zavádí DNS asymetrickou kryptografii – tedy používání jednoho klíče na zašifrování a jiného klíče na dešifrování obsahu. Obdobný princip je základem známějšího šifrování zpráv pomocí PGP či podepisování e-mailů elektronickým podpisem. V případě DNSSEC si držitel domény vygeneruje dvojici soukromého a veřejného klíče. Svým soukromým klíčem pak elektronicky podepíše technické údaje, které o své doméně do DNS vkládá. Pomocí veřejného klíče je pak možné ověřit pravost tohoto podpisu. Aby byl tento klíč dostupný všem, publikuje jej držitel ke své doméně u nadřazené autority, kterou je pro všechny domény .cz registr domén .cz. I na úrovni registru domén .cz jsou technická data v DNS podepsána a veřejný klíč k tomuto podpisu je opět správcem registru předán nadřazené autoritě. Vytváří se tak řetěz, který zajistí důvěryhodnost údajů, pokud není v žádném svém článku porušen, a všechny elektronické podpisy souhlasí.“

Otevřené DNSSEC Validující Resolvery (ODVR) CZ.NIC splňují rychlost, což jsme otestovali pomocí uživatelsky přívětivého prográmku DNS Jumper). Jestliže v testu Turbo Resolve se ODVR CZ.NIC ještě mačkaly na prvních pozicích společně s DNS Googlu a Cloudfare, pak v testu s běžnými časy překladu suverénně vítězilo. To může být dáno i tak nepatrným faktem (sic), že ODVR CZ.NIC jsou umístěny na území ČR. 

„Nové servery jsou nyní umístěny “pouze“ ve všech našich datacentrech v České republice,“ říká Václav Steiner, vedoucí systémových administrátorů CZ.NIC. „Zahraniční instance jsme v této chvíli nezprovozňovali, protože objem provozu mimo ČR není příliš významný. Na následujícím grafu je navíc patrná klesající poptávka v posledních dvou letech (jedná se o procentuální zastoupení z celkového počtu požadavků) po ODVR resolverech ze zahraničních lokalit. Jakmile se tento trend podle našich statistik provozu otočí, jsme připraveni servery spustit i ve významných zahraničních lokalitách.“

Trend v České republice je naštěstí opačný a poptávka po otevřených a zabezpečených DNS resolverech stoupá. To je dáno nejen osvětou veřejnosti v oblasti kybernetické bezpečnosti, ale i pokročilými znalostmi správců sítí, které právě DNSSEC resolvery volí coby výchozí pro celé organizační sítě. Navíc se novým ODVR CZ:NIC dostane i další implementace - budou coby první volitelné nastaveny v zabezpečených routerech Turris, jejichž původcem je rovněž organizace CZ.NIC. Steiner upřesňuje: „Adresy nového ODVR budou také k dispozici uživatelům routerů Turris jako první volitelné DNS resolvery namísto DNS resolverů od poskytovatele internetového připojení. Pro Turris Omnia od aktualizace TurrisOS verze 3.11.5 a pro Turris MOX od verze 4.0 beta 1.“

Kromě toho, že nové ODVR CZ.NIC aktuálně běží pouze z českých datacenter, využívají také jiný softwarový resolver než starší ODVR - a to sice KNOT Resolver, který mj. využívají i DNS servery společnosti Cloudfare. A mimo to: „všechny servery běží na novém DNS anycastu, který však není součástí .CZ anycastu. Propagují novou dvojici IPv4+IPv6 adres z nového ASN 20701. A protože, na rozdíl od situace před deseti lety, máme svůj vlastní resolver, nahradili jsme Unbound za KNOT Resolver (ve verzi 4.0) se zapnutou podporou DNS over TLS.“

IP adresy nových ODVR CZ.NIC

1. IP adresy DNS resolverů pro protokol IPv4
   • 193.17.47.1
   • 185.43.135.1
2. IP adresy DNS resolverů pro protokol IPv6
   • 2001:148f:ffff::1
   • 2001:148f:fffe::1

Komunikace zabezpečená pomocí DNS-over-TLS je dostupná na adrese odvr.nic.cz na standardním portu TCP/853. Původní ODVR CZ.NIC 217.31.204.130 a 193.29.206.206 zatím běží, nicméně budou postupně utlumeny. Slovy Steinera: „Nepředpokládáme souběžný běh obou prostředí.“

Zdroje: Blog zaměstnanců CZ.NIC, CZ.NIC, Kinsta.com

 

Daniel Beránek, 30.04.2019 16:16

 

 

 

	Jarní aktualizace ZPS X: AI úpravy fotek rychleji, chytřeji, přesněji Český software Zoner Photo Studio X přichází s jarní aktualizací, která posouvá hranice fotoeditace na novou úroveň. Díky pokročilým AI nástrojům a dalším inovacím je práce s fotografiemi rychlejší, preciznější...
	Mistral Small 3: malý, ale s velkými možnostmi Francouzští vývojáři Mistral, známí svou láskou k open-source, přichází s novým AI modelem Mistral Small 3. S 24 miliardami parametrů je sice menší než konkurenční obři, zato však nabízí rychlost, nízké...
	DeepSeek R1 a Qwen2.5-Max: přijde osvěžení AI z Číny? Nové AI modely DeepSeek R1 a Qwen2.5-Max představují dva odlišné přístupy k tréninku a provozním nárokům, které by mohly zásadně ovlivnit budoucí vývoj umělé inteligence. Zatímco DeepSeek R1 se profiluje jako model postavený na...
	Grok od xAI: první kroky v podobě samostatné aplikace Grok, umělý inteligentní asistent od společnosti xAI, udělal další krok na cestě k větší dostupnosti. Coby samostatná aplikace se šíří na další platformy. Co Grok nabídne, kde ho již můžeme vyzkoušet a co teprve přijde? ...