DNSSEC v ČR - odpovídal Ondřej Surý, technický ředitel CZ.NIC

1. 10. 2008 | Robert Krátký | Rozhovory | 4208×

Na otázky odpovídal Ondřej Surý, technický ředitel sdružení CZ.NIC.

1) Představte, prosím, ve stručnosti systém DNSSEC. V čem spočívá, jak funguje, jak se projeví, jak souvisí s ostatními principy správy domén a proč je zajímavý?

DNSSEC rozšiřuje systém DNS o funkce, které zvyšují bezpečnost služby doménových jmen. Principem DNS je překlad jmenných internetových adres, jako například www.abclinuxu.cz, na číselné adresy, kterým počítače rozumějí a s jejichž pomocí dokážou zajistit zobrazování webových stránek, odesílání e-mailů, telefonování po internetu a další běžné internetové služby. DNSSEC zvyšuje bezpečnost při používání DNS tím, že zabraňuje podvržení falešných, pozměněných či neúplných údajů o doménových jménech.

2) Jak bude vypadat implementace DNSSEC ze strany CZ.NIC? Jak budou soukromé klíče zabezpečeny?

Sdružení CZ.NIC postupuje při implementaci DNSSECu v souladu s doporučeními, které je možné najít například v RFC4641, DNSSEC HowTo. Podpisové klíče jsou rozdělené na soukromé a na veřejné. Tyto klíče budou uloženy v zařízení na bezpečnou správu klíčů, tzv. HSM (Hardware Security Module). Klíče schované v tomto modulu není možné vyexportovat a použít kdekoliv jinde. Toto HSM zařízení urychluje digitální podpis, což je v případě velkých zónových souborů (resp. velkého množství RR záznamů k podepsání) potřeba.

3) Můžete popsat softwarové a hardwarové zázemí, které bude DNSSEC zajišťovat?

Do této doby vzniklo několik projektů, které je možné použít pro správu DNSSEC klíčů. Z dostupných nástrojů mohu doporučit DNSSEC Tools nebo ZKT. Určený HSM je kryptoakcelerátor Sun SCA6000, který byl vybrán pro svůj vysoký výkon.

4) Dá se předpokládat, že o zabezpečení pomocí DNSSEC budou mít zájem především banky a podobné instituce. Nakolik bude proces podepisování přístupný i obyčejným uživatelům s "nedůležitými" doménami?

Z technického pohledu je proces podepisování jednoduchý. Veškeré operace lze dělat i softwarově pomocí nástrojů, které jsou součástí DNS serveru BIND nebo utilit z balíku ldns.

Zavedení DNSSECu je důležité především u těch, kteří připojení poskytují, tedy u ISP. Ti především by měli chránit informace svých zákazníků. Koncoví uživatelé domén, ať už jsou to firmy nebo jednotlivci, by po nich měli zabezpečení DNSSECem požadovat. U bank a například informačních serverů je bezpečnost dat velice důležitá. Správci sítí v těchto firmách si samozřejmě DNSSEC, jako ochranu svých DNS záznamů, mohou zavést také.

5) Existuje mnoho různých klientských implementací DNS. Víte už dopředu, jestli budou mít některé z nich s novým systémem potíže?

DNSSEC je z pohledu klienta, který tuto technologii nepodporuje, naprosto transparentní. Nicméně si dokážu představit různé druhy firewallů a NAT zařízení, které s DNS protokolem transparentně nepracují, které mohou mít problémy s předáváním záznamů obsahující DNSSEC rozšíření.

6) Jednáte o podpoře DNSSEC například s poskytovateli připojení? Budou nabízet modemy a/nebo routery s podporou DNSSEC?

V tuto chvíli je zapotřebí se zaměřit spíše na velké DNS servery, které provozují poskytovatelé připojení pro své klienty. Napadení jednotlivých klientů v síti poskytovatele připojení je mnohem více nákladné a zisk, který z toho plyne, je řádově menší než napadnutí DNS serverů, jež provozuje ISP. Komunikace bude proto především směřovat k nasazení technologie DNSSEC na těchto velkých DNS serverech, které obsluhují tisíce klientů a uživatelé postižení napadením takového serveru by se tak počítali ve vysokých řádech.

7) Odhadovali jste, jak moc zvýší používání DNSSEC přenášené objemy dat v doméně .cz?

Neočekáváme žádný dramatický nárůst objemu přenesených dat. Datové soubory se zvětší přibližně 8 až 10krát. Od verze 9.4 má BIND již automaticky zapnutou volbu na zpracování DNSSECu, tudíž u záznamů, které jsou podepsány, naroste datový tok. Studie ukazují nárůst mezi 3 až 12násobkem. Nicméně vzhledem k faktu, že je pro koncové držitele DNSSEC volitelný a podepsané domény budou přibývat postupně, nepředpokládáme žádné důležité změny v celkových datových tocích.

8) Počítáte do budoucna s podporou NSEC3 (doplňku k DNSSEC, který má zabránit získání seznamu všech počítačů v zóně)?

Ano, do budoucna počítáme i s použitím NSEC3. Standard NSEC3 byl ovšem schválen poměrně nedávno a podpora DNS serverů je minimální.

9) Byl byste pro nasazení DNSSECu na nejvyšší (root) úrovni, aby bylo možné distribuovat veřejné klíče pro všechna jména domén?

Sdružení CZ.NIC samozřejmě podporuje podepsání zóny nejvyšší úrovně. V tuto chvíli ale není jasné, kdo bude za správu DNSSECu na této úrovni odpovídat. V současné době je jen několik zemí, ve kterých DNSSEC funguje v plném provozu. Česká republika se tak 30. září zařadila mezi ty státy, jež tuto bezpečnostní technologii do své domény nejvyšší úrovně zavedly.

10) Je možné využít pro DNSSEC podporu Linuxu?

Na Linuxu lze v současné době pro provoz technologie DNSSEC použít tři řešení, které plně podporují DNSSEC: Bind9 (minimálně 9.5.0-P2), NSD a nový rekurzivní DNS server Unbound. Mé osobní doporučení je nespoléhat se na jedno řešení a pokud máte více DNS serverů, tak použijte jejich kombinaci (například bind9 a unbound pro provoz v lokální síti).

Nástroje: Tisk bez diskuse