Portál AbcLinuxu, 8. května 2025 04:44

Ondřej Surý z CZ.NIC: Proč je opravdu zapotřebí DNSSEC?

Vedoucí Laboratoří CZ.NIC, Ondřej Surý, vydal dnes na blogu zajímavou zprávu, která zaujme už svým titulkem - Proč je opravdu zapotřebí DNSSEC?. Aktuální blogpost popisuje útok na DNS, se kterým přišli izraelští výzkumníci Amir Herzberg a Haya Shulmanová z izraelské Bar Ilan University. Ti na konferenci IETF 87 v Berlíně představili novou variantu otrávení DNS pomocí fragmentace IP paketů. Nové variace útoku na DNS ukazují, že opravdu potřebujeme kryptograficky silné DNS a potřebujeme jej pokud možno ihned.

4.9.2013 10:27 | Vilem Sladek | Zajímavý článek


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

4.9.2013 23:45 bubak
Rozbalit Rozbalit vše Re: Ondřej Surý z CZ.NIC: Proč je opravdu zapotřebí DNSSEC?
Odpovědět | Sbalit | Link | Blokovat | Admin
A určitě by se hodily nějaké pořádné nástroje pro správu podepsaných zón a ne nějaké "narychlo spíchnuté". Mám na mysli automatické podepisování vč. automatické rotace klíčů - vše v rámci DNS serveru, ne nějakými externími nástroji.
5.9.2013 13:02 Foo Bar | skóre: 14
Rozbalit Rozbalit vše Re: Ondřej Surý z CZ.NIC: Proč je opravdu zapotřebí DNSSEC?
Připravujeme vlastní implementaci DNSSECu do Knot DNS, a budeme prezentovat, co máme (snad) na letošním LinuxAltu. Proběhla tady snad i nějaká anketa toho, co by si lidé představovali pod dobře funkční implementací DNSSECu v DNS serveru.

Určitě pak budeme také pořádat nějaký workshop a vylepšovat nástroje na základě zpětných vazeb od uživatelů.
pavlix avatar 5.9.2013 22:36 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Ondřej Surý z CZ.NIC: Proč je opravdu zapotřebí DNSSEC?
A nějaká spolupráce se subjekty které nějak zasahují do další údržby různých softwarových balíků? Jakožto člověk z této oblasti denně narážím na rozpor mezi papírem a realitou, přičemž za papír lze dosadit i „papírové“ vlastnosti implementací.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
6.9.2013 21:47 Foo Bar | skóre: 14
Rozbalit Rozbalit vše Re: Ondřej Surý z CZ.NIC: Proč je opravdu zapotřebí DNSSEC?
Přiznám se, že jsem si Váš příspěvek přečetl asi třikrát, a pořád přesně nevím, o čem mluvíte.
7.9.2013 22:15 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Ondřej Surý z CZ.NIC: Proč je opravdu zapotřebí DNSSEC?
to je v pořádku, pavlix je troll a fakta se z něj dostávají těžko - ale když je dostanete, tak stojí za to, podobně jako zbytek místní verbeže je to docele schopný člověk :-)
pavlix avatar 8.9.2013 21:01 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Ondřej Surý z CZ.NIC: Proč je opravdu zapotřebí DNSSEC?
Fakta dodávám, kdykoli je o ně zájem.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
pavlix avatar 8.9.2013 15:15 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Ondřej Surý z CZ.NIC: Proč je opravdu zapotřebí DNSSEC?
Už jsem to řešil s vícero lidmi ohledně různých internetových standardů, ale faktem zůstává, že opravovat a udržovat standardy není tak atraktivní činnost a většina kontaktovaných lidí včetně vás osobně neměla nikdy dost zájmu a času.

Aktivity CZ.NIC v této oblasti jsou velice zajímavé a na konferencích se daří získat k přednáškám i lidi z praktické oblasti jako třeba Adam Tkáč, který řešil nasazení klientského DNSSECu ve Fedoře. S jedním kolegou aktivity po Adamovi přebíráme a rozšiřujeme a potýkáme se trochu víc s každodenní praxí.

Osobně se po praktické i bezpečnostní stránce zajímám jak o serverovou, tak o klientskou stranu DNSSECu. Ale co si budem povídat, serverová strana je v podstatě jednoduchá (za použití již známých a dostupných technologií) a klientská strana představuje větší výzvy.

Já si samozřejmě vážím aktivit CZ.NICu jak na teoretické úrovni, tak na praktické serverové úrovni, nicméně nasazení DNSSECu do praxe jenom na tom postavit nelze. Takže je hezké udělat kus práce a pak se věnovat propagaci, ale mně osobně by přišlo mnohem užitečnější se alespoň na úrovni jednotlivců spojit i s těmi, kteří pracují na jiných částech skládačky.

Těmi jinýmy částmi skládačky může být klientská strana (což rozhodně není o tom naprogramovat měnění ikonek ve firefoxu), korporátní prostředí (kombinace s různými VPN, chráněnými sítěmi, proxy, ...), kombinace s technologiemi typu NAT64, přísnější ochrana jednotlivých podstromů (samostatné certifikáty, nezávislost na globálním root certifikátu) a mnoho dalších.

Pokud jde o standardy a implementace, tak moje zkušenost s prvním i druhým v oblasti sítí je taková, že pokud se něco reálně nepoužívá, tak to při prvním pokusu o reálné použití selže. Stejnětak pokud se něco reálně používá velmi málo a v omezené množině konfigurací, tak je selhání stále více než pravděpodobné.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
6.9.2013 10:07 Marv-CZ | skóre: 21
Rozbalit Rozbalit vše Re: Ondřej Surý z CZ.NIC: Proč je opravdu zapotřebí DNSSEC?
Tak, tak. Já například vše na serverech spravuji centrálně přes LDAP. A tady je podpora DNSSEC nulová.
9.9.2013 11:12 Foo Bar | skóre: 14
Rozbalit Rozbalit vše Re: Ondřej Surý z CZ.NIC: Proč je opravdu zapotřebí DNSSEC?
Ve Vašem případě by šlo situaci jednoduše vyřešit tím, že byste mezi slave servery a LDAP primár strčil ještě jednu vrstvu, která by zónu vygenerovanou z LDAPu podepsala.

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.