Hlavní navigace

DNS: čas podepisování

 Autor: 29
Pavel Satrapa

V minulém týdnu se v Praze konal již šedesátý RIPE Meeting. Z diskutovaných témat asi nejvýrazněji vyčnívalo zabezpečení DNS, alias DNSSEC. Po dlouhých letech přešlapování a slepých uliček se snad konečně dočká nasazení v plnohodnotné podobě – podpis kořenové zóny je na spadnutí, vyvíjejí se potřebné programy a podpisy rostou jako houby po dešti.

Počet podepsaných domén utěšeně stoupá. Z významných domén všeobecného významu je už podepsána skoro celá doména arpa, zatím s výjimkou nejvýznamnější poddomény in-addr.arpa. Pro ni už ovšem existuje plán – k podpisu by mělo dojít během letošního roku, současně s převodem na jiné servery.

Největší pozornost se samozřejmě upírá ke kořenové doméně, která má sloužit jako výchozí bod pro veškeré ověřování. Rychlost jejího podepisování připomíná pohyb kontinentů, ale konečně spěje ke šťastnému vyvrcholení. Nechme stranou politické handrkování na téma „Kdo bude držet Klíč k Internetu?“ a podívejme se na stránku technickou.

Celý proces byl spuštěn letos v lednu, kdy začaly být digitální podpisy postupně vkládány na jednotlivé kořenové servery. Vše za pečlivého pozorování, měření a odběrů ranní moči zúčastněných serverů i jejich správců. Tato fáze skončila shodou okolností právě minulý týden, konkrétně 5. května, kdy byl „podepsán“ poslední z kořenových serverů.

Ovšem představení ještě neskončilo, protože stávající podpisy jsou úmyslně falešné. Zatím se sleduje, co udělá s chováním DNS samotná přítomnost podpisového materiálu. Statistiky ukazují, že se zvýšila teplota TCP dotazů, ovšem zůstává na úrovni desetin procenta celkového DNS provozu, jehož drtivá většina probíhá pro UDP. Pokud se v nejbližší době neodehraje opravdu ošklivý průšvih, dočkáme se 1. července vystavení skutečných klíčů a opravdového podpisu kořenové domény.

Ruku v ruce s postupným šířením DNSSEC kráčí i vývoj softwarových prostředků. Klíčový je samozřejmě server BIND, vládce DNS infrastruktury. Starý pes se tentokrát naučil několika novým kouskům.

BIND 9.7

Joao Damas jeho poslední verzi 9.7 označil za DNSSEC pro lidi, a měl pravdu. Syntaxe příkazů pro generování klíčů a podepisování zónových souborů se výrazně zjednodušila. Původní možnosti sice zůstaly, ale byly doplněny rozumným implicitním chováním. Pokud nepotřebujete něco speciálního, můžete strašlivé parametry vynechat.

Asi nejmarkantnější je rozdíl při vlastním podpisu. Není třeba do zónového souboru vkládat záznamy s veřejnými klíči, ani zadávat kryptografické algoritmy na příkazovém řádku. Stačí prosté

dnssec-signzone -S  zóna

Volba -S znamená „smart“ a při jejím použití si program najde odpovídající klíče, vloží jejich veřejné verze, zvolí kryptografické postupy do souboru a vše opatří DNSSEC záznamy. Není bohužel až tak smart, aby použil NSEC3, když byl klíč pro něj vytvořen, musíte mu napovědět volbou -3. Snad ve verzi 9.8 ještě o chlup zmoudří.

Rozhodně ale potěší jeho inteligentní zacházení s klíči. Jejich interní formát byl rozšířen o časové údaje ohledně platnosti. Každému klíči lze určit až pět časů: kdy bude publikován v DNS (parametr -P), kdy se jím začne podepisovat (-A), kdy bude označen jako revokovaný (-R), kdy se jím přestane podepisovat (-I) a kdy bude odstraněn z DNS (-D). Parametry lze použít při vytváření klíče příkazem dnssec-keygen nebo později nastavit specializovaným příkazem dnssec-settime. Jejich vliv ilustruje následující obrázek:

dns-klic-casy

časové parametry klíče

Podepisování v chytrém režimu si samo najde všechny klíče pro danou doménu, vloží do zónového souboru ty, které tam patří (aktuální čas je mezi jejich publikací a odstraněním), a všemi aktivními (mezi aktivací a odvoláním) podepíše záznamy. V principu si tedy můžete vygenerovat klíče třeba na deset let dopředu a nechat na dnssec-signzone jejich postupné střídání.

Pokud používáte BIND, popsané změny vám nasazení DNSSEC významně ulehčí. Ale co když ne? Řada sítí, zejména těch větších, navíc provozuje různé sofistikované systémy pro registraci připojených zařízení. Konfigurace pro DNS (a DHCP a případné další služby) jsou v nich generovány strojově a případné přizpůsobení pro DNSSEC může připomínat stavbu plachetnice v láhvi od rumu. Ovšem i pro takové případy už je k mání řešení. Jmenuje se…

OpenDNSSEC

Tento volně dostupný program zajišťuje strojovou autogramiádu. V konfiguračním souboru mu definujete politiky pro podepisování – jaké algoritmy hodláte používat, jaká má být životnost klíčů a podobně. Jakmile jsou připraveny, stačí mu jen podstrkovat nepodepsané domény a OpenDNSSEC se o vše postará: generuje a spravuje si potřebné klíče (včetně toho, že době životnosti lze nastavit určitý náhodný rozptyl, aby nedocházelo k hromadnému vypršení řady klíčů současně), podepisuje jimi domény a dává k dispozici podepsané zónové soubory.

Program není úplně samostatný. Musí mít k ruce HSM (Hardware Security Module) pro uchovávání klíčů a provádění kryptografických operací. Pro běžné nároky rozhodně vystačí jeho otevřená softwarová emulace SoftHSM, která je vyvíjena společně, ovšem distribuována odděleně. Lze ji získat na webu OpenDNSSEC.

OpenDNSSEC není DNS serverem. Doménová data k podepsání musí dostat v podobě zónového souboru (pro příští verze se chystá i podpora databází). Pokud pracuje na stejném stroji jako zdroj nepodepsaných dat (např. registrační systém), může si jej převzít přímo z odpovídajícího adresáře. V opačném případě je schopen získat zónová data pomocí DNS – jeho součástí je zonefetch, který se o to postará.

Pokud chcete „výrobu“ svého DNS měnit co nejméně, lze OpenDNSSEC nasadit poměrně bezbolestně následujícím způsobem:

opendnssec

schéma nasazení OpenDNSSEC

Server, kde vznikají doménová data, skryjete a neuvedete v NS záznamech dané domény. Nastavíte na něm, aby při změně některé z domén poslal upozornění OpenDNSSECu. Ten si stáhne aktuální verzi zónového souboru, a vytvoří její podepsanou verzi. Vyzve DNS server běžící na jeho stroji (sám tyto funkce neumí, potřebuje proto lokální DNS server, aby data nabízel dál) k načtení nové verze podepsané zóny. Ten na ni následně upozorní veřejné autoritativní servery a podepsaná data jsou vystavena do světa.

Popsaný způsob je samozřejmě poměrně krkolomný, ale dokáže doplnit podpisy i k velmi nestandardně vytvářeným zónám. Přestože je OpenDNSSEC velmi mladý, už se prosadil i do vrcholových domén se a uk. Dá se na něj tedy spolehnout.

Pokud nechcete propásnout cimrmanovsky zapamatovatelný letopočet pro podpis svých domén, neváhejte. Na ještě lepší rok 2020 bych rozhodně nečekal.

Anketa

Sledujete situaci okolo DNSSEC?

Našli jste v článku chybu?

13. 5. 2010 17:38

Dobrý den,

ano, toto nastavení existuje (resp. existuje až od verze bind 9.4+).

dnssec-enable yes; znamená, že Bind posílá dotazy z DO (DNSSEC OK) bitem, ale DNSSEC se jinak nezpracovává.

dnssec-validation yes; bez nastaveného TA (resp. trusted-keys) také nic nedělá.

Podepsaná doména, ke které nemáte nakonfigurovaný TA, se bude zpracovávat jako nepodepsaná.

Kořenové nameservery reálně podepsané nejsou, zatím je podpis proveden pouze pomocí DURZ a "falešných" klíčů. Prosím neuvádě…









13. 5. 2010 13:26

Dobrý den,

opravdu nevím, co jste měl nastavené. Nic takového, co popisujete, v žádném aktuálním software pro DNS neexistuje.

Vždy musí být nakonfigurovány konkrétní pevné body důvěry (TA - Trust Anchor). A tudíž ani podepisování kořenové zóny vám nemohlo způsobit popisované chování.

S pozdravem,
Ondřej Surý






Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Podnikatel.cz: Zařízení pro EET zbytečně, vrátí vám peníze

Zařízení pro EET zbytečně, vrátí vám peníze

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Vedení ČRo: personální změny od ledna

Vedení ČRo: personální změny od ledna

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy