Názory k článku Věrohodné DNS čili DNSSEC

Hezký článek, v závěru odpovídá na otázky které mě napadly na začátku - jaký je reálný problém s podvrženými DNS záznamy, jak často se stávají případy, kterým by byl schopen DNSSEC zabránit.

Jedna věc mi není zcela jasná - postupným procházením přes NSEC jsem schopen zjistit všechny záznamy v zónovém souboru i při zakázaném AXFR, ne? A to je myslím považováno za určité bezpečnostní riziko. Nebo je to nějak jinak?

Poznamku o tom, ze velikost domenovych dat cca 10GB by mohla zpusobit problemy (generovani velkeho saouboru a nacitani do pameti) jsem opravdu nepochopil. Copak je nutne drzet domenove zaznamy v souboru, ktery se cely nacita do pameti? Co treba databaze?

Nejsem si uplne jisty, ale pokud vim, tak BIND si veskere zony a zaznamy nacte do RAM a za behu na disk prakticky nesahne.
Nedovedu si predstavit, ze by to pri nekolika stovkach dotazu za sekundu bylo s databazi unosne. Ale jiste se najde jine reseni.

Prestoze je to velky moloch, nevidim v tom nektere konkretni veci:

- jak se podepisuji negativni odpovedi, nema-li tajny klic byt autoritativnimu DNS serveru dostupny? To se prochazi cely ten retezec?

- jak se ochrani DNS pred podvrzenim starych (tedy korektne podepsanych), ale jiz neplatnych zaznamu? Je tam treba nejaka vazba na seriove cislo v SOA? Hmm, a jak se vlastne bezpecne dovim, jake je ted zrovna seriove cislo?

- nebylo by lepsi misto podepisovani kazde dvojice (jmeno, typ zaznamu) podepsat jen vsechny zaznamy pro dane jmeno s tim, ze by vedle byly uvedene kontrolni soucty po jednotlivych typech zaznamu? Cili kdybych se ptal na A zaznam, tak bych neco dostal, spocital SHA1, podival se ze souhlasi, pridal k tomu SHA1 pripadnych ostatnich typu zaznamu (ziskane jednim dotazem), a z toho bych vyrobil cely SHA1 soucet a overil jeho signaturu. Prece jen nejakych 128 nebo 160 bitu checksumu pro kazdou dvojici (jmeno/typ zaznamu) je mene nez RSA podpis.

-Yenya

Jak je vidět, inteligentní člověk je schopen vymyslet různá efektivnější řešení. Ale nějak mi už delší dobu připadá, že celý systém DNS je snad od lidí uvažujících pořád jen v tisících počítačů na internetu.
Co je ale nejhorší, že nakonec řada instalací DNS-serverů je kvůli dobré funkčnosti nakofigurovaná jinak, než jak by měla být. Ale nikdo se o tom pro jistotu nazmiňuje. - A tak lidé čtou úvahy a RFC soubory o tom, jak si konceptoři myslí, že by mohl internet fungovat.
A zrovna tak se musíte asi dívat na DNSSEC. - Otázkou samozřejmě je, zda se takto internet může do budoucna dál bez reálných zpětných vazeb úspěšně rozvíjet.

No pokud je to narazka na jednoho sverazneho peopklika, ktery si standardy a normy vyklada po svem do dnes, tak ten nas bohudik taky nespasi...:-) (a jeho software odmitam pouzivat treba ja; a az se jeho vytvory nauci slusnemu chovani, mozna bude na case o nich uvazovat - jenze jejich autor jasne deklaroval, ze se tak nikdy nestane, takze jsem vlastne o nic neprisel)