Portál AbcLinuxu, 5. května 2025 03:05

DNSSEC v ČR - odpovídal Ondřej Surý, technický ředitel CZ.NIC

30. září 2008 byl v doméně .CZ nasazen do ostrého provozu systém DNSSEC. Ondřej Surý, technický ředitel sdružení CZ.NIC, v rozhovoru vysvětluje, k čemu je DNSSEC dobrý, a přibližuje okolnosti jeho zavedeni v registru české národní domény.

Na otázky odpovídal Ondřej Surý, technický ředitel sdružení CZ.NIC.

1) Představte, prosím, ve stručnosti systém DNSSEC. V čem spočívá, jak funguje, jak se projeví, jak souvisí s ostatními principy správy domén a proč je zajímavý?

DNSSEC rozšiřuje systém DNS o funkce, které zvyšují bezpečnost služby doménových jmen. Principem DNS je překlad jmenných internetových adres, jako například www.abclinuxu.cz, na číselné adresy, kterým počítače rozumějí a s jejichž pomocí dokážou zajistit zobrazování webových stránek, odesílání e-mailů, telefonování po internetu a další běžné internetové služby. DNSSEC zvyšuje bezpečnost při používání DNS tím, že zabraňuje podvržení falešných, pozměněných či neúplných údajů o doménových jménech.

2) Jak bude vypadat implementace DNSSEC ze strany CZ.NIC? Jak budou soukromé klíče zabezpečeny?

Sdružení CZ.NIC postupuje při implementaci DNSSECu v souladu s doporučeními, které je možné najít například v RFC4641, DNSSEC HowTo. Podpisové klíče jsou rozdělené na soukromé a na veřejné. Tyto klíče budou uloženy v zařízení na bezpečnou správu klíčů, tzv. HSM (Hardware Security Module). Klíče schované v tomto modulu není možné vyexportovat a použít kdekoliv jinde. Toto HSM zařízení urychluje digitální podpis, což je v případě velkých zónových souborů (resp. velkého množství RR záznamů k podepsání) potřeba.

3) Můžete popsat softwarové a hardwarové zázemí, které bude DNSSEC zajišťovat?

Do této doby vzniklo několik projektů, které je možné použít pro správu DNSSEC klíčů. Z dostupných nástrojů mohu doporučit DNSSEC Tools nebo ZKT. Určený HSM je kryptoakcelerátor Sun SCA6000, který byl vybrán pro svůj vysoký výkon.

4) Dá se předpokládat, že o zabezpečení pomocí DNSSEC budou mít zájem především banky a podobné instituce. Nakolik bude proces podepisování přístupný i obyčejným uživatelům s "nedůležitými" doménami?

Z technického pohledu je proces podepisování jednoduchý. Veškeré operace lze dělat i softwarově pomocí nástrojů, které jsou součástí DNS serveru BIND nebo utilit z balíku ldns.

Zavedení DNSSECu je důležité především u těch, kteří připojení poskytují, tedy u ISP. Ti především by měli chránit informace svých zákazníků. Koncoví uživatelé domén, ať už jsou to firmy nebo jednotlivci, by po nich měli zabezpečení DNSSECem požadovat. U bank a například informačních serverů je bezpečnost dat velice důležitá. Správci sítí v těchto firmách si samozřejmě DNSSEC, jako ochranu svých DNS záznamů, mohou zavést také.

5) Existuje mnoho různých klientských implementací DNS. Víte už dopředu, jestli budou mít některé z nich s novým systémem potíže?

DNSSEC je z pohledu klienta, který tuto technologii nepodporuje, naprosto transparentní. Nicméně si dokážu představit různé druhy firewallů a NAT zařízení, které s DNS protokolem transparentně nepracují, které mohou mít problémy s předáváním záznamů obsahující DNSSEC rozšíření.

6) Jednáte o podpoře DNSSEC například s poskytovateli připojení? Budou nabízet modemy a/nebo routery s podporou DNSSEC?

V tuto chvíli je zapotřebí se zaměřit spíše na velké DNS servery, které provozují poskytovatelé připojení pro své klienty. Napadení jednotlivých klientů v síti poskytovatele připojení je mnohem více nákladné a zisk, který z toho plyne, je řádově menší než napadnutí DNS serverů, jež provozuje ISP. Komunikace bude proto především směřovat k nasazení technologie DNSSEC na těchto velkých DNS serverech, které obsluhují tisíce klientů a uživatelé postižení napadením takového serveru by se tak počítali ve vysokých řádech.

7) Odhadovali jste, jak moc zvýší používání DNSSEC přenášené objemy dat v doméně .cz?

Neočekáváme žádný dramatický nárůst objemu přenesených dat. Datové soubory se zvětší přibližně 8 až 10krát. Od verze 9.4 má BIND již automaticky zapnutou volbu na zpracování DNSSECu, tudíž u záznamů, které jsou podepsány, naroste datový tok. Studie ukazují nárůst mezi 3 až 12násobkem. Nicméně vzhledem k faktu, že je pro koncové držitele DNSSEC volitelný a podepsané domény budou přibývat postupně, nepředpokládáme žádné důležité změny v celkových datových tocích.

8) Počítáte do budoucna s podporou NSEC3 (doplňku k DNSSEC, který má zabránit získání seznamu všech počítačů v zóně)?

Ano, do budoucna počítáme i s použitím NSEC3. Standard NSEC3 byl ovšem schválen poměrně nedávno a podpora DNS serverů je minimální.

9) Byl byste pro nasazení DNSSECu na nejvyšší (root) úrovni, aby bylo možné distribuovat veřejné klíče pro všechna jména domén?

Sdružení CZ.NIC samozřejmě podporuje podepsání zóny nejvyšší úrovně. V tuto chvíli ale není jasné, kdo bude za správu DNSSECu na této úrovni odpovídat. V současné době je jen několik zemí, ve kterých DNSSEC funguje v plném provozu. Česká republika se tak 30. září zařadila mezi ty státy, jež tuto bezpečnostní technologii do své domény nejvyšší úrovně zavedly.

10) Je možné využít pro DNSSEC podporu Linuxu?

Na Linuxu lze v současné době pro provoz technologie DNSSEC použít tři řešení, které plně podporují DNSSEC: Bind9 (minimálně 9.5.0-P2), NSD a nový rekurzivní DNS server Unbound. Mé osobní doporučení je nespoléhat se na jedno řešení a pokud máte více DNS serverů, tak použijte jejich kombinaci (například bind9 a unbound pro provoz v lokální síti).

Diskuse k tomuto článku

Neočekáváme žádný dramatický nárůst objemu přenesených dat. Datové soubory se zvětší přibližně 8 až 10krát

Tohle se mi zdá být spor, nemůže to někdo okomentovat?

1.10.2008 10:50 Mirek
Rozbalit Rozbalit vše Re: DNSSEC v ČR - odpovídal Ondřej Surý, technický ředitel CZ.NIC

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

No jo v CZ.NIC nejsou žádný Bčka 10x násobný nárůst je zanedbatelný. Teda jestli je to tak, tak klobouk dolů před jejich dimenzováním.

1.10.2008 11:04 Zdenek
Rozbalit Rozbalit vše Re: DNSSEC v ČR - odpovídal Ondřej Surý, technický ředitel CZ.NIC

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Mno staci se kouknout na velikost zonovych souboru. Jo kdyby takovy Google zaclo na youtube vsechny videa streamovat v HD tak to je neco jinyho

1.10.2008 13:34 Foo Bar | skóre: 14
Rozbalit Rozbalit vše Re: DNSSEC v ČR - odpovídal Ondřej Surý, technický ředitel CZ.NIC

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Správná připomínka... Jen pro informaci můžu předhodit nějaká čísla:

cz: ~40MB

cz.signed: ~180MB

dnssec.cz: 516 B

dnssec.cz.signed: 5918 B

Hodně záleží na tom, jaká data podepisujete. Vzhledem k tomu, že NS and glue záznamy se v DNSSECu nepodepisují, tak je nárůst u .cz způsobený hlavně NSEC záznamy a příslušnými RRSIG podpisy k nim.

1.10.2008 13:15 Foo Bar | skóre: 14
Rozbalit Rozbalit vše Re: DNSSEC v ČR - odpovídal Ondřej Surý, technický ředitel CZ.NIC

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Zdravím,

nárůst datových souborů úplně přesně nekoreluje s nárůstem datového provozu. Nárůst datového provozu je v zásadě výrazně menší, jednak z důvodů, že nárůst DNS paketů není tak výrazný, a za druhé se na DNSSEC neptají úplně všichni - jen asi 60% DNS serverů má v DNS query nastavený DO (DNSSEC OK) bit. O nějaký násobek datový provoz po podepsání .cz vzrostl, ale rozhodně to není 10x, spíš něco jako 2x až 3x.

O.

2.10.2008 11:43 Ondrej | skóre: 20 | blog: darkblair_server | Praha
Rozbalit Rozbalit vše Re: DNSSEC v ČR - odpovídal Ondřej Surý, technický ředitel CZ.NIC

Odpovědět | Sbalit | Link | Blokovat | Admin

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.