Hezký článek, v závěru odpovídá na otázky které mě napadly na začátku - jaký je reálný problém s podvrženými DNS záznamy, jak často se stávají případy, kterým by byl schopen DNSSEC zabránit.
Jedna věc mi není zcela jasná - postupným procházením přes NSEC jsem schopen zjistit všechny záznamy v zónovém souboru i při zakázaném AXFR, ne? A to je myslím považováno za určité bezpečnostní riziko. Nebo je to nějak jinak?
Poznamku o tom, ze velikost domenovych dat cca 10GB by mohla zpusobit problemy (generovani velkeho saouboru a nacitani do pameti) jsem opravdu nepochopil. Copak je nutne drzet domenove zaznamy v souboru, ktery se cely nacita do pameti? Co treba databaze?
Nejsem si uplne jisty, ale pokud vim, tak BIND si veskere zony a zaznamy nacte do RAM a za behu na disk prakticky nesahne.
Nedovedu si predstavit, ze by to pri nekolika stovkach dotazu za sekundu bylo s databazi unosne. Ale jiste se najde jine reseni.
Prestoze je to velky moloch, nevidim v tom nektere konkretni veci:
- jak se podepisuji negativni odpovedi, nema-li tajny klic byt autoritativnimu DNS serveru dostupny? To se prochazi cely ten retezec?
- jak se ochrani DNS pred podvrzenim starych (tedy korektne podepsanych), ale jiz neplatnych zaznamu? Je tam treba nejaka vazba na seriove cislo v SOA? Hmm, a jak se vlastne bezpecne dovim, jake je ted zrovna seriove cislo?
- nebylo by lepsi misto podepisovani kazde dvojice (jmeno, typ zaznamu) podepsat jen vsechny zaznamy pro dane jmeno s tim, ze by vedle byly uvedene kontrolni soucty po jednotlivych typech zaznamu? Cili kdybych se ptal na A zaznam, tak bych neco dostal, spocital SHA1, podival se ze souhlasi, pridal k tomu SHA1 pripadnych ostatnich typu zaznamu (ziskane jednim dotazem), a z toho bych vyrobil cely SHA1 soucet a overil jeho signaturu. Prece jen nejakych 128 nebo 160 bitu checksumu pro kazdou dvojici (jmeno/typ zaznamu) je mene nez RSA podpis.
Jak je vidět, inteligentní člověk je schopen vymyslet různá efektivnější řešení. Ale nějak mi už delší dobu připadá, že celý systém DNS je snad od lidí uvažujících pořád jen v tisících počítačů na internetu.
Co je ale nejhorší, že nakonec řada instalací DNS-serverů je kvůli dobré funkčnosti nakofigurovaná jinak, než jak by měla být. Ale nikdo se o tom pro jistotu nazmiňuje. - A tak lidé čtou úvahy a RFC soubory o tom, jak si konceptoři myslí, že by mohl internet fungovat.
A zrovna tak se musíte asi dívat na DNSSEC. - Otázkou samozřejmě je, zda se takto internet může do budoucna dál bez reálných zpětných vazeb úspěšně rozvíjet.
No pokud je to narazka na jednoho sverazneho peopklika, ktery si standardy a normy vyklada po svem do dnes, tak ten nas bohudik taky nespasi...:-) (a jeho software odmitam pouzivat treba ja; a az se jeho vytvory nauci slusnemu chovani, mozna bude na case o nich uvazovat - jenze jejich autor jasne deklaroval, ze se tak nikdy nestane, takze jsem vlastne o nic neprisel)