abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 18:22 | Nová verze

    Byla vydána verze 0.2.0 v Rustu napsaného frameworku Pingora pro vytváření rychlých, spolehlivých a programovatelných síťových systémů. Společnost Cloudflare jej letos v únoru uvolnila pod licencí Apache 2.0.

    Ladislav Hagara | Komentářů: 0
    10.5. 19:11 | Nová verze

    Open source RDP (Remote Desktop Protocol) server xrdp (Wikipedie) byl vydán ve verzi 0.10.0. Z novinek je vypíchnuta podpora GFX (Graphic Pipeline Extension). Nová větev řeší také několik bezpečnostních chyb.

    Ladislav Hagara | Komentářů: 7
    10.5. 04:11 | Nová verze

    Rocky Linux byl vydán v nové stabilní verzi 9.4. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    9.5. 22:22 | Bezpečnostní upozornění

    Dellu byla odcizena databáze zákazníků (jméno, adresa, seznam zakoupených produktů) [Customer Care, Bleeping Computer].

    Ladislav Hagara | Komentářů: 17
    9.5. 21:11 | Zajímavý článek

    V lednu byl otevřen editor kódů Zed od autorů editoru Atom a Tree-sitter. Tenkrát běžel pouze na macOS. Byl napevno svázán s Metalem. Situace se ale postupně mění. V aktuálním příspěvku Kdy Zed na Linuxu? na blogu Zedu vývojáři popisují aktuální stav. Blíží se alfa verze.

    Ladislav Hagara | Komentářů: 32
    9.5. 14:33 | Pozvánky

    O víkendu 11. a 12. května lze navštívit Maker Faire Prague, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.

    Ladislav Hagara | Komentářů: 0
    8.5. 21:55 | Nová verze

    Byl vydán Fedora Asahi Remix 40, tj. linuxová distribuce pro Apple Silicon vycházející z Fedora Linuxu 40.

    Ladislav Hagara | Komentářů: 20
    8.5. 20:22 | IT novinky

    Představena byla služba Raspberry Pi Connect usnadňující vzdálený grafický přístup k vašim Raspberry Pi z webového prohlížeče. Odkudkoli. Zdarma. Zatím v beta verzi. Detaily v dokumentaci.

    Ladislav Hagara | Komentářů: 7
    8.5. 12:55 | Nová verze

    Byla vydána verze R14.1.2 desktopového prostředí Trinity Desktop Environment (TDE, fork KDE 3.5). Přehled novinek v poznámkách k vydání, podrobnosti v seznamu změn.

    JZD | Komentářů: 0
    7.5. 18:55 | IT novinky

    Dnešním dnem lze již také v Česku nakupovat na Google Store (telefony a sluchátka Google Pixel).

    Ladislav Hagara | Komentářů: 10
    Podle hypotézy Mrtvý Internet mj. tvoří většinu online interakcí boti.
     (64%)
     (8%)
     (13%)
     (16%)
    Celkem 160 hlasů
     Komentářů: 11, poslední 10.5. 18:00
    Rozcestník


    Vložit další komentář
    9.7.2009 05:56 kralyk z abclinuxu | skóre: 29 | blog:
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?
    No koukám, že DNSSEC nám situaci s bezpečností nikterak nezjednodušší, ba naopak, bude v tom pěkenj hokej ;-)
    (...), protože se USA nechtějí vzdát toho, že budou jediné, kdo k nim bude mít přístup
    No jo, to by nebyli voni, ti kluci americký vykutálený :-D

    rejp: v poslední části je na začátku aktální místo aktuální a skoro na konci je VegiSign místo VeriSign
    9.7.2009 06:15 Robert Krátký | skóre: 94 | blog: Robertův bloček
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?
    rejp
    Dík, opraveno.
    9.7.2009 07:45 tomfi | skóre: 19
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?

    Docela mě článek zaujal... chci se zeptat co se bude dít se záznamy, které nebudou podepsané? .

    Odhaduju, že se to bude řešit nějak komplexně... resolver pošle info a tím je z obliga... software bude buď otravovat uživatele, že se mu něco nezdá, nebo je otravovat nebude a bude mít větší podíl na trhu (uživatele nechtějí aby je software obtěžoval, natož je stavěl svévolně před rozhodovací problémy) .Teprve až všichni přejdou  tak začně aplikovat zabezpečení. Tady bude asi kámen úrazu, kdy výrobce SW určí, že už přešli všichni, jsou dvě varianty.. buď "přejdou všichni uživatele k němu", nebo "všichni ostatní výrobci už uživatele otravují a vypadá to že můj podíl na trhu už dál neporoste". (tím co bylo napsáno se nesnažím ukázat na žádného konkrétního výrobce softwaru)... je ten odhad správný?

    Je můj odhad správný?

    Vždyť jsou to jen jedničky a nuly ...
    9.7.2009 08:16 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?
    To je jako se ptát, co se bude dít s webovými servery, které jsou dostupné přes HTTP a ne přes HTTPS – nic, bude jich i nadále většina. Spíš to bude tak, že software využije informaci o podepsaném DNS a nějakým způsobem to dá najevo uživateli. Takže třeba internetový prohlížeč zobrazí adresní řádek webu, jehož doména je podepsaná DNSSEC, růžově (nebo která barva je ještě volná).
    9.7.2009 13:55 St4nd3l
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?
    Prohlizec vubec netusi zda je domena podepsana nebo ne tohle si resi validujici resolver. Takze zadna barva se asi konat nebude :)
    9.7.2009 14:03 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?
    Netuší to teď. V budoucnosti se k té informaci samozřejmě bude muset nějak dostat, jinak je to celé k ničemu – pokud tedy nebereme v úvahu stav, kdy je podepsáno vše a odpovědi, u nichž se nepodaří podpis ověřit, se rovnou zahodí. Ale bavíme se snad o tomto tisíciletí.
    9.7.2009 16:43 Vladki
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?

    Aplikace to netusi a nemusi tusit. Resolver overi podpis a to co je dobre podepsane pusti. To co vubec neni podepsane pusti taky. Pouze pokud je podpis spatne - t.j. nekdo se snazi neco nekaleho udelat na podepsane domene, tak resolver odpovi ze doslo k chybe. Aplikace se tak nedozvi zadnou odpoved a nevleze napr. na podvodny web.

    9.7.2009 17:07 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?
    Úplně stejně by to mohlo fungovat u toho HTTPS – nyní prohlížeč, pokud se mu nepodaří ověřit certifikát, vypíše varování a umožní uživateli se ke stránce proklikat. Kdyby se choval podle vámi popsaného způsobu, uživatele by na stránku vůbec nepustil – opravdu je to to, co lidé chtějí? Navíc pokud se resolver chová stejně k podepsané i nepodepsané doméně, je celé DNSSEC k ničemu, protože útočníkovi prostě stačí podepsaným paketům znemožnit dostat se ke klientovi a místo toho mu poslat nepodepsané (a pokud se resolver spokojí s první odpovědí, nemusí ty podepsané ani odklánět).
    9.7.2009 22:35 Ondrej Filip
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?

    Vladki to napsal zcela spravne. Pokud je nektery zaznam nepodepsany, tak i z nadrazene zony vite, ze je nepodepsany a naopak. Takze pokud utocnik podvrhne nepodepsany zaznam a Vy vite, ze mel byt podepsany, tak jej odmitnete.

     

    Analogie s HTTPS zde proste nefunguje, pokud nesedi podpis, je zaznam odmitnut. U DNS nemate moznost nejak klikat a nastavovat vyjimky.

    10.7.2009 00:16 tomfi | skóre: 19
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?

    Původně byl můj příspěvek delší, ale nakonec jsem jej redukoval... myslím že o http a https to tak úplně není, služby založené na vizuální reprezentaci jsou no s trochou nadsázky "ty méně náročné na otravování"... ale s příchodem ipv6 bude hooodně důležité DNS. To se myslím všichni shodneme. Že to zrovna prohlížeč může vyřešit při surfování je jedna věc...

    pozor Internet není a nebude jenom o http.. telefonie, jabber, mail, přenos souborů, dynamicky tvořené bezpečné tunely, prostě přenos všeho možného... to všechno může být závislé na dns ... a přesvědčovat telefon že opravdu s tím člověkem na druhém konci chci mluvit, že opravdu jsem si jistý že to není podvodník se ani mě moc chtít nebude ..a to vůbec neuvažuju eventualitu že by mi telefon odmítl spojení celkově.

    No nechám se překvapit jak to nakonec bude... Naštěstí mě uklidnila zpráva, že certifikáty ke kořenovým serverům chtějí držet Američani... kolébka spamu a útoků :D Aby nevznikla horká diskuse, opírám se o tyto články:

    http://www.usatoday.com/tech/news/computersecurity/infotheft/2007-03-19-attacks-us_N.htm

    http://news.cnet.com/U.S.-cooks-up-most-spam/2100-1024_3-5322803.html

    Vždyť jsou to jen jedničky a nuly ...
    10.7.2009 10:56 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?
    To ale platí v případě, kdy mám důvěryhodný seznam certifikátů nadřazených zón – v ideálním případě tedy jeden důvěryhodný certifikát kořenové zóny. I v takovém případě je pro uživatele užitečné vědět, jestli záznam existuje a je podepsán, nebo pouze existuje.
    Analogie s HTTPS zde proste nefunguje, pokud nesedi podpis, je zaznam odmitnut.
    Pro uživatele může být užitečná i informace, zda záznam nebyl nalezen nebo zda byl nalezen záznam bez podpisu / se špatným podpisem. A analogie s HTTP vs. HTTPS zde funguje – pořád je důležité vědět, zda záznam byl podepsán nebo nebyl. To, že je v TLD .cz možnost podepsat záznamy nijak nezvyšuje mojí důvěru v nepodepsaný záznam example.cz. Je to stejné, jako kdyby vás prohlížeč nepustil na stránku s neplatným HTTPS certifikátem, ale neměl byste žádnou kontrolu nad tím, zda se připojujete přes HTTP nebo HTTPS.
    U DNS nemate moznost nejak klikat a nastavovat vyjimky.
    Zajímavé, že se všude popisuje, jak si nastavit takovou výjimku pro TLD .cz a říci resolveru, že tato doména je podepsaná tím a tím certifikátem, ačkoli kořenová doména podepsaná není. Alespoň tohle je to, co já si pod výjimkou v DNSSEC představuji – řeknu resolveru, ať nehledí nalevo napravo a jako certifikát pro danou doménu bere tenhle certifikát.
    10.7.2009 11:54 Ondrej Filip
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?

    Bohuzel, vychazite ze spatneho predpokladu, ze DNS pouzivaji pouze aplikace urcene pro zive uzivatele. Ale jak byste chtel zpracovavat stav, kdy resolver dostane spatne podepsanou odpoved na dotaz, ktery si vyzadal treba automaticky zalohovaci system? Obdobne, co by melo delat MTA? Proste spatne podepsany zaznam se zahazuje, protoze je to pravdepodobne utok.

     

    Vyjimky nejdou ve smyslu weboveho prohlizece a HTTPS protokolu. Neni mozne nastavit, ze A zaznam bad.example.cz mam akceptovat i se spatnym podpisem. A rozhodne to nejde v aplikaci.

     

    Kazdopadne pokud jste s DNSSEC nespokojeny, nic Vam nebrani dat do IETF navrh. Jinak se obavam, ze se nic nestane, protoze lide, kteri DNS provozuji, jsou s tim soucasnym stavem vice ci mene spokojeni.

     

     

     

     

    10.7.2009 13:50 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?
    Bohuzel, vychazite ze spatneho predpokladu, ze DNS pouzivaji pouze aplikace urcene pro zive uzivatele.
    Nevycházím, já nic takového nepředpokládám.
    Ale jak byste chtel zpracovavat stav, kdy resolver dostane spatne podepsanou odpoved na dotaz, ktery si vyzadal treba automaticky zalohovaci system? Obdobne, co by melo delat MTA? Proste spatne podepsany zaznam se zahazuje, protoze je to pravdepodobne utok.
    Automatický zálohovací systém i MTA by se zachovaly přesně tak, jak by je nakonfiguroval jejich správce.

    Špatně podepsaný záznam je pravděpodobně útok, ale já tady píšu hlavně o (správně, záměrně) nepodepsaných záznamech. Co uděláte, když vás e-shop přesměruje na platební bránu, bude chtít zadat údaje o platební kartě a vy uvidíte, že jde o protokol HTTP? poklepete si na čelo, a údaje zadávat nebudete, protože víte, že to není bezpečné. Ale nepodepsané DNS odpovědi klidně věřit budete, protože to přece není špatně podepsaný záznam (bavíme se o nepodepsané odpovědi, kdy správce nepoužívá DNSSEC a nepodepsaná odpověď je tedy správně). U protokolu HTTPS je to zrovna zbytečné, protože tam se ověřuje i identita, a DNSSEC je tedy zbytečné. Ale internet není jen web, jsou i jiné protokoly, které mohou zajišťovat ochranu před únosem spojení, ale nemusí zajišťovat ověření identity druhé strany. V takovém případě by byl užitečný mechanizmus ověření identity skrze DNS – jenže k tomu potřebuju umět rozeznat stav, kdy je identita zaručena, od stavu, kdy nevím. DNSSEC bez úprav resolveru ale umí indikovat jenom dva stavy – nevím a nenalezeno/útok. Tedy záruka žádná.
    Kazdopadne pokud jste s DNSSEC nespokojeny, nic Vam nebrani dat do IETF navrh.
    Změna není potřeba na úrovni protokolu DNS, ale na úrovni resolveru. „Stačí“ doplnit funkce socket() a bind() o návratový příznak „DNS odpověď ověřena“. bez toho je DNSSEC vhodné k nasazení na servery, ale vůbec nic nepřináší klientům. Protože pro klienta bez úpravy resolveru nepřináší DNSSEC žádný rozdíl – pořád musí odpovědi DNS považovat za nedůvěryhodné.
    10.7.2009 13:56 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?

    > doplnit funkce socket() a bind() o návratový příznak

    Funkce socket() a bind() s DNS vubec nepracuji. Bezne programy pouzivaji variantu gethostbyname().

    10.7.2009 14:34 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?
    Máte pravdu, nějak jsem si vymyslel, že si tyhle funkce převádějí jméno na IP adresu automaticky. Když jsou tu ale specializované funkce na práci s resolverem, je to tím jednodušší.
    10.7.2009 15:46 Ondrej Filip
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?

    Bohuzel uz nemam cas na delsi diskusi, kazdopadne - Zvlastni je, ze to neduveryhodne DNS ted pouzivate a na celo si neklepete. Srovnavat HTTPS a DNSSEC dost dobre nejde. Jedno podepisuje, druhe sifruje.

     

    S modifikaci funkci resolveru Vam preji hodne stesti, kazdopadne to uz neni o DNSSEC.

    10.7.2009 16:12 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?
    Zvlastni je, ze to neduveryhodne DNS ted pouzivate a na celo si neklepete.
    A v tom je právě problém. K čemu je dobré DNSSEC, když pro mne jako pro uživatele budou DNS odpovědi stejně nedůvěryhodné,jako dosud? Jsou s tím jen náklady na zavedení, ale přínos pro klienta žádný.
    Srovnavat HTTPS a DNSSEC dost dobre nejde. Jedno podepisuje, druhe sifruje.
    DNSSEC by mohlo sloužit k ověření identity, HTTPS se dnes používá také zejména k ověření identity.
    10.7.2009 17:24 Ondrej 'SanTiago' Zajicek
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?

    > K čemu je dobré DNSSEC, když pro mne jako pro uživatele budou DNS odpovědi stejně nedůvěryhodné,jako dosud?

    Jako ochranu pred DOS utokem - pokud resolveru prijdou dve odpovedi (falesna a korektni), nema resolver informace k tomu, aby urcil, ktera z nich je ta spravna. A tak musi si jednu vybrat a tu predat dal. Pokud vybere tu spatnou, tak na to sice treba WWW prohlizec pomoci HTTPS prijde, ale uz neni moznost pak ziskat pak tu spravnou. Takze se na cilovou adresu nedostane (a tedy to jde povazovat za DOS utok).

    Je pravda, ze u koncoveho resolveru by to slo resit i jednoduseji, ale u rekurzivniho DNS serveru tezko.

    10.7.2009 17:41 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?
    Jenže klient toho resolveru se stejně nedozví, že dostal správnou odpověď. Jistě, DNSSEC snižuje pravděpodobnost útoku a umožňuje na straně serveru ošetřit, že na mou doménu nemůže být veden úspěšný útok podvržením DNS odpovědi (pokud klient používá DNSSEC). Ale když se na to podívám z hlediska klienat a z hlediska bezpečnosti, není žádný rozdíl ve „starém“ DNS a v DNSSEC bez informování klienta. Z pohledu bezpečnosti musím vždy očekávat nejhorší případ, a to je v obou případech podvržená odpověď – z pohledu klienta tedy s DNSSEC sice snížím pravděpodobnost podvržení odpovědi, ale z hlediska toho, jak moc se mohu na DNS spolehnout, je DNS i DNSSEC stejně nespolehlivé. Když se zavede indikace DNSSEC z resolveru do aplikace, dostane se najednou DNSSEC do jiné kategorie, protože tam mám odpovědi, kterým můžu důvěřovat.
    Bedňa avatar 9.7.2009 09:33 Bedňa | skóre: 34 | blog: Žumpa | Horňany
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?

    Výborný nápad, založte ho do trezoru naspodok aby ho nikto nenašiel.

    KERNEL ULTRAS video channel >>>
    9.7.2009 10:07 David Jaša | skóre: 44 | blog: Dejvův blog
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?
    Dal by se v rámci dnssec distribuovat i otisk certifikátu, který server používá pro HTTPS?
    9.7.2009 10:26 Ondrej Filip
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?

    Ne snad primo pomoci DNSSEC, ale pomoci DNS rozhodne. Podobne to uz funguje u SSH - zaznam SSHFP. Na tomto standardu se uz pracuje a nezustavame jen u webu. Pojednavala o tom jedna z prednasek na IT09.

    9.7.2009 21:11 David Jaša | skóre: 44 | blog: Dejvův blog
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?
    Ne snad primo pomoci DNSSEC, ale pomoci DNS rozhodne.
    Nicméně bez DNSSEC není třeba se o něco takového vůbec snažit. :-)
    9.7.2009 22:29 Ondrej Filip
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?

    Ano, bez DNSSEC je to snadno napadnutelne. :-)

    9.7.2009 10:22 Ondrej Filip
    Rozbalit Rozbalit vše Par nepresnosti

    Predevsim domena Madarska podepsana neni.

     

    Nechapu, jak se pomoci DNSSEC ovlada Internet. DNSSEC v soucasnem modelu delegace domen nejvyssi urovne nic nemeni. O vzniku a zaniku domen proste rozhoduje ICANN ve spolupraci s DoC a technicky pak zonu tvori Verisign. S prichodem DNSSECu se na tomto nic nemeni.

     

    Kde jste cerpal informaci, ze dalsi spravci cekaji na rozsireni NSEC3? Vetsina spravcu ceka na podpis root zony. Mimochodem .GOV a .ORG jsou podepsane pomoci NSEC3.

     

    Proc myslite, ze pri kompromitaci klicu korenove zony by byl DNSSEC na par let u ledu?

    9.7.2009 16:20 Foo Bar | skóre: 14
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?
    Nerozumím tomu, proč autor píše o něčem, čemu zjevně nerozumí (a teď ani nemluvím o DNSSECu, ale i o DNS) a ani si ten článek nenechá zkontrolovat někým, kdo by mu ty základní chyby našel a opravil.

    A taky nerozumím tomu, proč takovou hroznou slátaninu ABClinuxu vydalo :(.

    Abych nemluvil obecně, tak uvedu pár věcných chyb:

    - u DNS se nepodvrhává jen "UDP paket", ale DNS zpráva, která v sobě obsahuje ještě ID, které je potřeba uhádnout

    - TTL 86 let je jen velmi velmi teoretická, prakticky je to nesmysl, protože majoritní resolvery mají vrchní limit standardně na 7 dní (bind) či ještě méně (unbound na 1 den)

    - DNSSEC záznamy se neposílají automaticky, ale pouze na vyžádání, v dotazu je potřeba nastavit DO (DNSSEC OK) bit v "hlavičce" (ve skutečnosti v OPT záznamu)

    - část o "ovládání internetu" se mi skoro nechce ani komentovat... kdo si myslíte, že dnes provádí změny v kořenové zóně? OSN, zednáři, delfíni, marťani? A nebudou to zase jen ty Spojené státy?

    - Bind views fungují úplně stejně s DNSSECem i bez něj, prostě podepíšete obě zóny.

    - Podpora NSEC3 je dnes úplně stejná jako podpora klasického NSEC (bind9.6, unbound, nsd3). Mimochdem to vypadá, že Bert začal pracovat na podpoře DNSSECu pro PowerDNS.

    - A taková "maďarsko-nsec3" rada na závěr - https://itar.iana.org/anchors/
    15.7.2009 07:35 Pev | skóre: 28
    Rozbalit Rozbalit vše Re: DNSSEC – o co jde?
    čeká Wikipedie => česká.

    Díky za pěkný článek.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.