abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 2
dnes 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 0
dnes 12:55 | Nová verze

Google Chrome 55 byl prohlášen za stabilní. Nejnovější stabilní verze 55.0.2883.75 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo také 36 bezpečnostních chyb. Mariusz Mlynski si například vydělal 22 500 dolarů za 3 nahlášené chyby (Universal XSS in Blink).

Ladislav Hagara | Komentářů: 1
dnes 11:55 | Pozvánky

Máte rádi svobodný software a hardware nebo se o nich chcete něco dozvědět? Přijďte na 135. sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.

xkucf03 | Komentářů: 0
dnes 00:10 | Nová verze

Byla vydána verze 3.2 svobodného systému pro detekci a prevenci průniků a monitorování bezpečnosti počítačových sítí Suricata. Z novinek lze zmínit například podporu protokolů DNP3 a CIP/ENIP, vylepšenou podporu TLS a samozřejmě také aktualizovanou dokumentaci.

Ladislav Hagara | Komentářů: 0
včera 21:00 | Nová verze

Byla vydána beta verze Linux Mintu 18.1 s kódovým jménem Serena. Na blogu Linux Mintu jsou hned dvě oznámení. První o vydání Linux Mintu s prostředím MATE a druhé o vydání Linux Mintu s prostředím Cinnamon. Stejným způsobem jsou rozděleny také poznámky k vydání (MATE, Cinnamon) a přehled novinek s náhledy (MATE, Cinnamon). Linux Mint 18.1 bude podporován až do roku 2021.

Ladislav Hagara | Komentářů: 0
včera 16:42 | Nová verze

Byl vydán Devuan Jessie 1.0 Beta 2. Jedná se o druhou beta verzi forku Debianu bez systemd představeného v listopadu 2014 (zprávička). První beta verze byla vydána v dubnu letošního roku (zprávička). Jedna z posledních přednášek věnovaných Devuanu proběhla v listopadu na konferenci FSCONS 2016 (YouTube, pdf).

Ladislav Hagara | Komentářů: 0
včera 15:16 | Komunita

Na GOG.com začal zimní výprodej. Řada zlevněných her běží oficiálně také na Linuxu. Hru Neverwinter Nights Diamond lze dva dny získat zdarma. Hra dle stránek GOG.com na Linuxu neběží. Pomocí návodu ji lze ale rozběhnout také na Linuxu [Gaming On Linux].

Ladislav Hagara | Komentářů: 1
včera 13:14 | Bezpečnostní upozornění

Byla vydána verze 2.7.1 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Řešeno je několik bezpečnostních problémů. Aktualizován byl především Tor Browser na verzi 6.0.7. Tor Browser je postaven na Firefoxu ESR (Extended Support Release) a právě ve Firefoxu byla nalezena a opravena vážná bezpečnostní chyba MFSA 2016-92 (CVE-2016-9079, Firefox SVG Animation

… více »
Ladislav Hagara | Komentářů: 0
30.11. 19:19 | Nová verze

Příspěvek na blogu nadace Raspberry Pi je věnován bezpečnostním vylepšením v nejnovější verzi Raspbianu s desktopovým prostředím PIXEL. V oficiálních obrazech je nově zakázán SSH přístup. Ten lze samozřejmě povolit po zavedení Raspbianu pomocí nástroje raspi-config. Nemá-li uživatel k Raspberry Pi připojený terminál, může SSH přístup povolit vytvořením souboru ssh v adresáři /boot. Raspbian nově upozorňuje uživatele na bezpečnostní riziko, je-li SSH přístup povolen a uživatel pi nemá změněno výchozí heslo.

Ladislav Hagara | Komentářů: 42
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 755 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Hacknutelný dnssec - jak klient ověřuje podpisy?

20.11.2011 11:19 dnssec
Hacknutelný dnssec - jak klient ověřuje podpisy?
Přečteno: 817×
Ahoj. Přečetl jsem si nějaké články o tom, jak funguje dnssec a připadá mi to, že je to děravé. Brání se tento mechanismus nějak třeba útoku man in the middle? Co když mám v klientovi nastavený dns server 1.2.3.4, ale útočník mi předhodí svůj vlastní, na kterém bude mít podvržené všechny podpisy? Nebo ještě horší možnost: co když nastane mitm útok během dotazu mého rekurzivního serveru, který se bude ptát autoritativních serverů? Nestačí v tomto případě podvržení autoritativního serveru s tím, že bych na tom podvrženém skladoval všechny potřebné podpisy (a vlastně by se nenarušil řetězec důvěry - byl by podvrhnut)? Pokud tyto útoky nejsou možné, mohl by mi prosím někdo vysvětlit proč, jak je toto zabezpečené?

Řešení dotazu:


Odpovědi

20.11.2011 13:54 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Certifikát ke každé doméně je uložen v nadřazené doméně. Klient by měl mít bezpečně uložen certifikát kořene DNS, a ověřit celou cestu až ke kořeni. Útočníkův certifikát tak nebude sedět s tím, který je pro danou doménu uložen v nadřazené doméně, čímž se útok odhalí.
20.11.2011 18:34 dnssec
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Klient by měl mít bezpečně uložen certifikát kořene DNS
Aha, díky. Teď už to dává smysl.
20.11.2011 18:35 dnssec
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Mimochodem, kde je v linuxu ten klíč uložen?
xkucf03 avatar 20.11.2011 18:51 xkucf03 | skóre: 45 | blog: xkucf03
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Např. v /etc/bind/named.conf.options (pokud používáš Bind, u jiných DNS serverů to bude jinde).
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
20.11.2011 22:29 dnssec
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
To je ale server. Nebo ve větě "Klient by měl mít bezpečně uložen certifikát kořene DNS" byl myšlen klientem rekurzivní dns server?
21.11.2011 18:11 jelen s mydlem
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Hledejte "trust anchor"
21.11.2011 19:48 dnssec
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Takže to vypadá, že trust anchor je umístěn v resolvujícím dns serveru. To ale nezabrání útoku mitm, protože samotná komunikace s resolvujícím dns serverem je nešifrovaná a tak se dá posloupnost paketů resp. informací odposlechnout a podvrhnout.
21.11.2011 19:54 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Komunikace s resolvujícím DNS serverem by měla vést přes relativně bezpečnou síť – minimálně poskytovatel onoho resolvujícího DNS serveru tu síť nejspíš za bezpečnou považuje :-) Pokud vím, existuje třeba taky plugin do prohlížeče, který validaci provádí – a dá se čekat, že způsoby použití DNSSEC se budou postupně rozšiřovat.
21.11.2011 21:11 dnssec
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Takže pro mě několik závěrů:

1. komunikace s resolvujícím dns serverem musí být v rámci sítě nějak zabezpečena (což pokud se nejedná o firemní prostředí tak nebývá, protože se použije resolver poskytovatele např. přes wifi spoj)

2. není dobré, aby byl resolvující server také autoritativní resp. nemá smysl podepisovat domény na autoritativním dns serveru, který použiji pouze jako resolvující (jednoduše řečeno pokud budu mít vlastní privátní doménu a vlastní resolvující dns server v jednom, tak nemá podpis této domény smysl)


... pokud jsem vyvodil špatné závěry, tak mě prosím opravte
pavlix avatar 21.11.2011 23:16 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Pro mě to má jeden jediný závěr, a to, že validující DNS resolver má být za všech okolností na lokálním stroji, pokud se nejedná o nějaké enterprise nasazení, kde se tak jako tak špicluje traffic.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
xkucf03 avatar 22.11.2011 14:07 xkucf03 | skóre: 45 | blog: xkucf03
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
má být za všech okolností na lokálním stroji, pokud…
Tady záleží na důvěryhodnosti (lokální) sítě – jestliže je nedůvěryhodná, tak sice můžu mít DNS server s validací na localhostu a doménová jména se mi přeloží na správné IP adresy, ale ta nedůvěryhodná síť mi ty IP adresy nasměruje jinam.

A naopak když té síti věřím – věřím, že nepřesměrovává IP/porty někam jinam a zároveň věřím, že nepodvrhává DNS záznamy.

Rozdíl by byl snad leda v případě, že bych přes DNSSEC chtěl přenášet něco jiného než IP adresy (např. otisky klíčů), ale takové použití zatím není příliš časté…
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
pavlix avatar 22.11.2011 16:07 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Tady záleží na důvěryhodnosti (lokální) sítě
A tu implicitně považuju za nedůvěryhodnou.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
xkucf03 avatar 22.11.2011 16:19 xkucf03 | skóre: 45 | blog: xkucf03
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
To je v pořádku, já většinou taky.

Jenže přesunem DNS serveru na localhost si nijak moc nepomůžeš, protože ta nedůvěryhodná síť ti může místo podvržení DNS záznamů přesměrovat IP adresy a porty. Resp. pomůžeš si jen v případě, že používáš DNSSEC k přenosu těch jiných informací, pokud jsi myslel tohle (což bych ale neřekl, že je „za všech okolností“ – je to dnes spíš výjimka a za všech okolností se DNS používá leda tak k překladu doménových jmen na IP adresy).

Navíc ona ta nedůvěryhodná síť ani nemusí nic podvrhávat nebo přesměrovávat – dost škody se dá napáchat pouhým pasivním odposloucháváním. Takže bych spíš řekl, že je za (téměř) všech okolností potřeba šifrovat komunikaci.

A otisky klíčů v DNSSEC jsou pak taková třešnička na dortu, pojistka, v podstatě paralelní hierarchie certifikačních autorit (vedle např. těch v x509).
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
pavlix avatar 22.11.2011 17:27 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Jenže přesunem DNS serveru na localhost si nijak moc nepomůžeš, protože ta nedůvěryhodná síť ti může místo podvržení DNS záznamů přesměrovat IP adresy a porty.
Bavíme se stále ještě o DNSSECu?
Resp. pomůžeš si jen v případě, že používáš DNSSEC k přenosu těch jiných informací, pokud jsi myslel tohle (což bych ale neřekl, že je „za všech okolností“ – je to dnes spíš výjimka a za všech okolností se DNS používá leda tak k překladu doménových jmen na IP adresy).
To „za všech okolností“ jsi obrátil naruby, ale nevadí.

Pokud vím, tak ještě nedávno nebyl k DNSSEC k dispozici vůbec, takže hodnotit, co se jím přenáší a co ne je víceméně zbytečné. Nehledě na to, že třeba Openswan umí DNS chráněné DNSSECem využívat velmi dobře.
A otisky klíčů v DNSSEC jsou pak taková třešnička na dortu, pojistka, v podstatě paralelní hierarchie certifikačních autorit (vedle např. těch v x509).
Pro tebe je to třešnička na dortu, pro mě je to naprostý základ, bez kterého DNSSEC téměř nemá smysl.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
22.11.2011 16:21 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Tady záleží na důvěryhodnosti (lokální) sítě
A tu implicitně považuju za nedůvěryhodnou.
Takže se od ní okamžitě odpojíte. Někteří lidé ale počítačovou síť potřebují, takže se naučili alespoň trochu své lokální síti důvěřovat.
pavlix avatar 22.11.2011 17:29 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Takže se od ní okamžitě odpojíte.
Tvá schopnost dedukce mě vždycky udivovala.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
22.11.2011 17:41 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
S nedůvěryhodnou sítí se nedá dělat nic jiného. Co budete dělat třeba se sítí, která špatně směruje většinu paketů? Přitom směrování je pro důvěryhodnost sítě dost podstatná záležitost, důležitější než nějaké DNS.

Ve skutečnosti i u té nejpochybnější sítě důvěřujete spoustě věcí. Jenže pravdivě to napsat by nebylo tak efektní, jako velkohubé prohlášení o tom, že každou síť považujete za nedůvěryhodnou.
pavlix avatar 22.11.2011 17:48 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
S nedůvěryhodnou sítí se nedá dělat nic jiného.
Doporučuju ti podívat se na svět okolo tebe. Je v něm dostatek protipříkladů.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
22.11.2011 20:28 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Co tedy děláte se sítí, která 80 % paketů směruje špatně a sem tam se na datové vodiče dostane 230 V? Připojíte tam svůj počítač a zkoušíte štěstí? Nebo před každým připojením do nějaké sítě ověřujete, že se takhle nechová?
pavlix avatar 23.11.2011 01:43 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
A co to dívání na okolní svět, pomohlo?

Mimochodem, když už máš potřebu klást takto debilní otázky, nevidím důvod, proč bys neměl být taky první, kdo na ně odpoví.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
23.11.2011 08:10 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Klidně na tu otázku odpovím – já bych do takové sítě počítač nezapojoval. Nicméně pokud bych s danou sítí neměl takovou zkušenost, nebo by mne někdo nevaroval, pokládám každou síť v tomto směru implicitně za důvěryhodnou. V tom je tedy mezi námi rozdíl, takže moje odpověď je nezajímavá, protože se tady snažím zjistit, jak postupuje někdo, kdo každou síť považuje implicitně za nedůvěryhodnou (a taky by mne zajímalo, co se musí stát, aby jste nějakou síť začal považovat za důvěryhodnou).
A co to dívání na okolní svět, pomohlo?
Mně pomáhá, měl byste to někdy zkusit taky. Třeba byste pak přestal tvrdit nesmysly jako že žádné síti v ničem nedůvěřujete; nebo pokud za „nedůvěryhodnou síť“ označujete síť, které v mnoha parametrech důvěřujete, a v několika málo ne, popsal byste, čím je zrovna těch pár parametrů důležitých.
pavlix avatar 23.11.2011 14:26 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
já bych do takové sítě počítač nezapojoval
Já s nedůvěryhodnými sítěmi pracuju denně a počítače k nim připojuju. Stačí to jako odpověď?
nebo by mne někdo nevaroval, pokládám každou síť v tomto směru implicitně za důvěryhodnou. V tom je tedy mezi námi rozdíl
To ano, já nemám potřebu si nalhávat něco, co není pravda.
Třeba byste pak přestal tvrdit nesmysly jako že žádné síti v ničem nedůvěřujete
Zatím jsem to tvrdit ani nezačal.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
23.11.2011 15:06 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Takže síti, ve které důvěřujete velké spoustě věcí, říkáte nedůvěryhodná síť. Hm. Takže onu nedůvěryhodnost pro vás zřejmě způsobuje jenom pár nějakých parametrů. Zvláštní je, že to nejsou ty parametry pro fungování sítě podstatné, ale dobře – které to tedy jsou?
pavlix avatar 23.11.2011 19:30 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Takže síti, ve které důvěřujete velké spoustě věcí, říkáte nedůvěryhodná síť.
Samozřejmě.
Takže onu nedůvěryhodnost pro vás zřejmě způsobuje jenom pár nějakých parametrů.
Tak to v bezpečnosti obvykle funguje.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
23.11.2011 20:10 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Ve vašem pojetí „bezpečnosti“ možná. Normálně se ale posuzují nejprve ty podstatné parametry a teprve pak ty okrajové. Z hlediska bezpečnosti je třeba mnohem důležitější to, jak ta síť směruje, a překlad DNS názvů je až daleko za tím. Ostatně, když bude mít ta síť vhodně cinknuté směrování paketů s DNS dotazy, tak ten váš slavný lokální DNS resolver zvaliduje leda tak velké kulové.
pavlix avatar 24.11.2011 00:42 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Smysluplné možnosti naší konverzace jsou zjevně vyčerpány. Já ti nemám možnost více sdělit, protože neposloucháš z principu. Ty mi nemáš co více sdělit, protože už nějakou dobu vaříš z vody.

Nevidím jiné rozumné východisko, než vlákno ukončit.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
24.11.2011 07:32 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Ano, já neposlouchám. Vy už jste tu napsal stokrát ty parametry, podle kterých posuzujete důvěryhodnost sítě, a já je pokaždé ignoroval. Taky jste už stokrát vyvrátil tvrzení, že z hlediska následků prakticky není rozdíl v tom, zda vám resolvující DNS server na dotaz na example.com vrátí 5.6.7.8 místo správné 1.2.3.4, nebo zda vám na ten dotaz odpoví správně, ale následně komunikaci s 1.2.3.4 přesměruje na 5.6.7.8.
22.11.2011 02:15 jaroleto
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Metody bezpecneho dotazovani se jednoho serveru jsou tady mnohem dele nez DNSSEC. Treba TSIG. Takze co jste vazeny vlastne hledal, kdyz jste nenasel ani toto?

Jina vec ale samozrejme je, proc rovnou nenasadit vlastni DNSSEC server a v dobre kontrolovanem mistnim prostredi nevynechat TSIG, kdyz nepodepisuji ani prenost souboru na file server.
22.11.2011 08:34 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
není dobré, aby byl resolvující server také autoritativní
To nebylo dobré nikdy.

Nezabezpečená WiFi na poslední míli hlavního internetového připojení je podle mne české specifikum, ve světě to podle mne i pro domácnosti bude spíš nějaký kabel. A vzhledem k tomu, že dnes nejčastější způsob zabezpečení je přenos hesla z webového formuláře v otevřeném tvaru přes HTTP, nemá moc smysl najednou zabezpečovat DNS tak, že se validace DNSSEC bude urychleně cpát až na koncové počítače.

Ostatně jako u každé hierarchické služby je potřeba systémově zajistit hlavně ty úpravy směrem od kořene. Takže se dá očekávat, že využití DNSSEC na straně klienta se bude postupně rozvíjet, teď bylo a je důležité zajistit hlavně to, aby byly klíče a software k dispozici na serverech (bez toho navíc nikdo žádné velké úpravy klientů dělat nebude). Podpisem kořenové zóny nasazení DNSSEC nekončí, ale naopak začíná.

Vlastní privátní doménu v odděleném stromu asi nemá smysl podepisovat – musel byste přidávat její klíč všude, kde ji chcete validovat, atd. Podle mne je ale lepší použít privátní doménu jako poddoménu skutečné domény (třeba local.example.com), a k tomu bych už přistupoval jako k celé doméně, tj. nevylučovala bych ji z podepisování. Dá se předpokládat, že v budoucnosti se přes zabezpečené DNS budou kontrolovat třeba HTTPS certifikáty, což může mít smysl i pro privátní doménu – a naopak při použití odděleného stromu budete mít problém, protože klíč od té domény budete muset dostat třeba až do všech prohlížečů na koncových stanicích.
21.11.2011 19:49 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Myšlen byl jakýkoli klient, ale pokud vím, předpokládá se, že validaci bude pro koncového klienta dělat rekurzivní DNS server (tj. typicky firemní DNS rekurzivní server nebo server ISP). Takovou konfiguraci předpokládají všechny návody, které jsem viděl – a nevím, zda vůbec existuje klientská DNS knihovna, která by validaci uměla. Ono by to taky nebylo moc efektivní, takže i pro ochranu jednoho počítače je asi lepší zprovoznit si lokální rekurzivní server.
pavlix avatar 21.11.2011 23:17 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Ono by to taky nebylo moc efektivní, takže i pro ochranu jednoho počítače je asi lepší zprovoznit si lokální rekurzivní server.

Vždyť v první větě píšeš, že by to nebylo moc efektivní, a hned v druhé to navrhuješ!
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
22.11.2011 08:10 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Efektivní by nebyla implementace v rámci resolvující knihovny. Ta existuje v rámci procesu, který překlad provádí. Takže pustíte třeba ping s DNS jménem, stáhnou se klíče od všech nadřazených domén až ke kořeni a ověří a po 1 sekundě ping ukončíte – takže to ověřování DNSSEC vyvolalo řádově víc síťového provozu, než ping. Za chvilku si vzpomenete, že ten ping chcete nechat běžet dýl, znovu ho spustíte a bude se to ověřovat celé znovu. Lepší by bylo mít ty údaje nakešované alespoň v rámci lokálního počítače – ať už prostřednictvím lokálního validujícího resolveru, nebo třeba přes NSS s keší.
pavlix avatar 22.11.2011 16:07 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Přijde mi, že ten odstavec šel vyjádřit jednou větou tak, aby byl srozumitelný a neobsahoval vnitřní rozpor...

Ale co už, každý máme jiný styl psaní.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
22.11.2011 16:24 Filip Jirsák | skóre: 66 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Vnitřní rozpor tam vidí jenom ten, kdo „klientská DNS knihovna“ a „resolvující DNS server“ považuje za synonyma. Problém pak ale stejně není v té větě, ale v nerozlišení těch dvou termínů.
pavlix avatar 22.11.2011 17:30 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Když myslíš.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
22.11.2011 12:19 Adam Tkáč
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Ano, v pripade DNSSEC se muzeme bavit o klientovi jako o rekurzivnim serveru. Kazdy klient totiz musi rekurzivne validovat podpisy od korenove zony k nizsim domenam. Takze spravna cesta, jak mit opravdu secure DNS je pouzivat napr. BIND nebo unbound jako resolver a /etc/resolv.conf nastavit na 127.0.0.1.
pavlix avatar 22.11.2011 16:13 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Akorát pak stejně skončíš na tom, že DNSSEC je centralizovaný :). Lepší než aktuální situace, pravda.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
23.11.2011 13:24 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Co je na centralizovaném přístupu špatného?
pavlix avatar 23.11.2011 14:32 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Pán asi neslyšel o single point of failure?

Například to, že centrální bod, na kterém celé zabezpečení stojí, může dát koupit, ukrást, získat vydíráním, ... a zbytek se sesype jako domeček z karet.

Já jsem nikdy netvrdil, že centralizovaný systém je obecně špatný. Jen to, že má své určité vlastnosti, díky kterým je velmi zranitelný zásahem do jednoho jediného bodu.

Zranitelnost centralizovaného systému se ukazuje v mnoha oblastech lidského konání, není to jenom o počítačových sítích.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
25.11.2011 14:15 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Jenže právě kryptografické technologie a technologie sítí umožňují vytvořit centralizované struktury, v nichž neexistuje jedno kritické místo. DNS je nádherný příklad, neexistuje za 30 let žádný útok, který by DNS nějak vyřadil. Byly útoky, které některé z kořenových serverů dostaly do problémů, ale i kdyby některé z těch 200 systémů šlo k zemi, redundance je značná.

Stejně tak představa, že se někdo bude probourávat do trezoru v ICANNu, aby ukradl Hardware security modul (ale ten by mu v podstatě stejně na nic nebyl). Distribuované systémy pro "network of trust" mají zase tu základní nevýhodu, že důvěra je pouze pravděpodobností.
pavlix avatar 25.11.2011 14:49 pavlix | skóre: 53 | blog: pavlix
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
centralizované struktury, v nichž neexistuje jedno kritické místo.
Jako oxymorón do básničky by to bylo hezké.
DNS je nádherný příklad, neexistuje za 30 let žádný útok, který by DNS nějak vyřadil.
Díky decentralizaci, že?
Stejně tak představa, že se někdo bude probourávat do trezoru v ICANNu, aby ukradl Hardware security modul (ale ten by mu v podstatě stejně na nic nebyl).
To je dost naivní představa. Život bývá mnohem jednodušší.
Distribuované systémy pro "network of trust" mají zase tu základní nevýhodu, že důvěra je pouze pravděpodobností.
Kteroužto základní nevýhodu už z definice sdílení s centralizovanými, tudíž to pro srovnání nemá velký význam.
GentooFedoraSCRAM – Jsem open source vývojář, nikoli markeťák ⇒ názory zde uvedené jsou jen mé vlastní.
20.11.2011 13:56 jaroleto
Rozbalit Rozbalit vše Re: Hacknutelný dnssec - jak klient ověřuje podpisy?
Tak jako nonDNSSEC server obsahuje adresy korenovych serveru, tak i DNSSEC server obsahuje adresy i klice korenovych serveru. Takze dokud je tvuj server nekompromitovany a vsechny bez vyjimky korenove servery podepsane, mitm utok je nemozny.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.