DNS vzniklo v době, kdy internet ještě nebyl tolik rozšířený a dnešní době už vůbec nevyhovuje. Proč je potřeba nové DNSSEC a jak si ho zajistit?
Proč už DNS nestačí? Pro odpověď na tuto otázku je nutné jít k jedné ze základních a také nejstarších služeb internetu, tedy k systému doménových jmen, DNS (Domain Name System). Tento systém překládá člověku dobře pochopitelné jmenné internetové adresy, tedy například predstavenstvo@nasifirmy.cz nebo www.pizzaazdomu.cz, na adresy číselné, kterým zase rozumějí počítače a dokážou pomocí nich zobrazit webové stránky nebo odeslat e-mail.
V době, kdy systém DNS vznikl, byl internet tvořen tak malým množstvím subjektů, že se všichni navzájem znali, a neřešili tak příliš otázku bezpečnosti. Ta doba je však dávno pryč. Přes systém DNS není těžké zaútočit na některý z nameserverů, narušit standardní DNS komunikaci a podvrhnout jí své falešné údaje. Snadno lze zaměnit číselnou adresu internetové služby s tím, že ta jmenná zůstane zachována. Poměrně snadno se tak docílí, že přesměruje e-maily nebo zobrazí návštěvníkovi stránek jiný obsah, než tam umístil jejich provozovatel.
A to vše v podstatě v neviditelné formě pro běžného uživatele, protože ten používá svoje důvěrně známé adresy. O tom, že strategie firmy odeslaná do mailboxu útočníka či odcizené peníze nebo osobní údaje jsou závažné problémy, není sporu. Ale představte si, že útočník napadne weby veřejné správy nebo zpravodajských serverů a rozšíří mezi lidi zprávy, které způsobí paniku, pády měn nebo kurzů akcií. Představte si, že ovlivní fungování tisíců internetových služeb v takovém rozsahu, že si to ani představit nelze. Služba DNS, není-li zabezpečena pomocí DNSSEC, poskytuje totiž potenciálnímu útočníkovi několik míst, na kterých je možné komunikaci narušit a zfalšovat údaje.
Co to je DNSSEC
Řešením těchto problémů je zavedení DNSSEC, díky kterému získávají uživatelé internetu jistotu, že informace, které z DNS získali, pocházejí ze správného zdroje a nebyly po cestě k nim změněny – že jsou důvěryhodné.
DNSSEC (Domain Name System Security Extensions) je bezpečnostní rozšíření systému doménových jmen, tedy jednoho ze základních stavebních kamenů internetu. Tato technologie výrazně snižuje riziko, že se vám někdo nabourá do e-mailové schránky, změní obsah zobrazovaný vaším internetovým prohlížečem nebo odcizí údaje o platební kartě či heslo do důležitého systému.
Vývoj zabezpečení českých domén na celkovém počtu.
DNSSEC zavádí do systému doménových jmen asymetrickou kryptografii, tedy princip, který je znám například z šifrování zpráv pomocí PGP nebo podepisování emailů elektronickým podpisem. Také v případě DNSSEC se pracuje se dvěma klíči, jedním šifrovacím, druhým dešifrovacím – v našem případě DNS záznamy. Konkrétně se to provádí tak, že si držitel domény (případně důvěryhodný technický správce domény – správce autoritativního nameserveru pro doménu) vygeneruje dvojici soukromého a veřejného klíče. Svým soukromým klíčem pak elektronicky podepíše technické údaje, které o své doméně do DNS vkládá. Pomocí veřejného klíče je možné ověřit pravost tohoto podpisu, proto je nutné, aby byl veřejný klíč dostupný všem; publikuje se tedy ve veřejné části klíče u nadřazené autority.
V případě .cz domény jí je registr domén .cz. Na úrovni registru domén řetěz důvěry nekončí, pokračuje obdobným způsobem k nadřazené autoritě, jak vyplývá z hierarchického uspořádání DNS. Všechna technická data v DNS jsou tak podepsána a důvěryhodnost údajů, které tento systém poskytuje, je na diametrálně vyšší úrovni v porovnání se stavem bez DNSSEC.
DNSSEC je navíc zpětně kompatibilní se stávajícím DNS a obě varianty fungují současně, což pomáhá při postupném zavádění této technologie. Běžný uživatel zavedení DNSSEC v podstatě nepozná a mělo by pro něj být tedy daleko méně bolestivé, než byl třeba přechod z analogového na digitální televizní vysílání.
Jak se chránit pomocí DNSSEC
Existuje několik typických situací, ve kterých se může běžný uživatel ocitnout, a ve kterých je nutné volit různý přístup.
Jste držitelem domény, provozujete na ní internetové služby a chcete udělat maximum pro zabezpečení své domény. V tomto případě většinou platí, že zároveň nerozumíte systému DNS, natož DNSSEC, a ani tomu moc rozumět nechcete. Pokud chcete svoji doménu zabezpečit, je to velmi jednoduché. Stačí se obrátit na svého registrátora a požádat ho, aby vaši moji doménu pomocí DNSSEC zabezpečil, pokud to jste to už neudělali. Jestliže při této otázce narazíte na neochotu u svého registrátora, pak není nic jednoduššího, než ho změnit a přejít k takovému, kterému zabezpečení domén nebude dělat problém. Změna registrátora i zabezpečení domény je totiž otázkou několika minut. Volbu správného registrátora lze provést díky jejich veřejně dostupnému seznamu (s uvedením jimi podporovaných technologií a úrovní certifikace) na stránkách správce české národní domény www.nic.cz.
Schéma komunikace přes DNS server nezabezpečený technologií DNSSEC.
Pokud jste zaměstnancem nebo manažerem ve firmě, která provozuje svoje DNS servery (a vy je využíváte při přístupu k internetovým službám). Podle velikosti firmy, ve které pracujete, a samozřejmě také podle pozice, je tento případ jednoduchý či složitější. V každém případě zatlačte na své IT oddělení, aby vaše DNS servery naučilo DNSSEC používat a aby to samé požadovalo od vašeho poskytovatele připojení k internetu. Zavedení podpory DNSSEC na nameservery je poměrně jednoduché a existuje k tomu spousta návodů, například na www.dnssec.czlze najít dostatek informací dokonce v češtině.
Pokud jste domácí uživatel internetu a využíváte DNS servery poskytovatele připojení, je situace dost možná nejsložitější, ale i ta je řešitelná. Buď sami, viz níže, nebo dotazem na svého ISP zjistěte, zda DNSSEC podporuje. Pokud ne, změňte poskytovatele připojení, a pokud to není možné, sdělte mu co nejoficiálnější formou, že o DNSSEC stojíte. Každá firma, která to se svým podnikáním myslí vážně, požadavkům svých zákazníků naslouchá a plní je, je tedy šance, že i vy pomůžete svého ISP přesvědčit, aby šel s dobou.
Pokud se tak nestane, hrozí mu, že nakonec o své zákazníky přijde a jako bonus navíc bude muset řešit závažné bezpečnostní incidenty ve své síti. Pro všechny uvedené situace lze hodně informací ohledně své bezpečnosti získat, aniž byste kohokoliv kontaktovali. Tak předně na stránkách www.dnssec.cz najdete, zda máte zabezpečen přístup k internetovým službám pomocí DNSSEC, a zda se tedy máte věnovat postupům uvedeným výše. Dále můžete několika způsoby ověřit, zda jsou vámi navštěvované domény pomocí DNSSEC chráněny. Jedním z uživatelsky velmi přívětivých způsobů je instalace zásuvného modulu do Firefoxu pod názvem DNSSEC Validator, který vám poté bude okamžitě oznamovat, jestli jsou navštěvované domény chráněny, či nikoliv. Od toho je pak již jen krůček, abyste své bance nebo státnímu úřadu napsali, že i oni by měli o zabezpečení svých domén uvažovat.
DNSSEC v Česku a ve světě
Správce české národní domény, sdružení CZ.NIC, začalo se zaváděním technologie DNSSEC v roce 2008 a je ve své snaze velmi úspěšné. Ještě do konce roku 2009 tak byly zabezpečeny první stovky .cz domén. V roce 2009 pokračoval postupný, ale stále ještě pomalý růst počtu zabezpečených domén, roky 2010 a zejména 2011 pak znamenaly výrazné zvýšení dostupnosti této technologie u registrátorů.
Použití DNSSEC Validatoru.
V roce 2012 bude tato technologie u registrátorů již běžný standard. Vývoj počtu zabezpečených .cz domén lze dobře vidět na grafu. Z uvedených faktů vyplývá, že na straně registrátorů je situace ohledně podpory DNSSEC již velmi dobrá. Aspoň částečnou podporu této technologie mají zavedenu všichni významní hráči na trhu, další ji zavádějí nebo o ní vážně uvažují. Kvalitní registrátoři domény zabezpečují automaticky a zdarma. Co se týče poskytovatelů připojení, ISP (Internet Service Provider), je situace obecně hůře měřitelná nebo zcela neměřitelná. Nicméně podporu již zavedli takoví hráči jako Telefónica, Vodafone nebo GTS a spousta menších, tedy i zde je situace poměrně dobrá a dá se očekávat, že se bude dále lepšit.
Ve srovnání se světem v zavádění DNSSEC rozhodně Česká republika nekulhá, naopak je v tomto trendu lídrem. Neexistuje více zabezpečených domén pomocí DNSSEC od jedné TLD (a to počtem i penetrací), než je tomu v případě .cz domény. Srovnání s .cz v tomto ohledu snese snad pouze .se doména, která ale začala s podporou DNSSEC dříve než .cz. Zbytek světa rozhodně nespí, z celkového počtu dnes dostupných 304 TLD DNSSEC podporuje 76 z nich, tedy každá čtvrtá. DNSSEC zavedla taková TLD jako .com, .net, .org, .eu nebo z okolních zemí .de, .at a .pl. Podpora DNSSEC poskytovateli připojení ve světě pak více méně kopíruje podporu registrátorů. Výraznou aktivitu v této oblasti tedy najdeme například ve Švédsku nebo v USA.
Samotným zabezpečením DNS ale přínos DNSSEC nekončí. V současné době je například poměrně živá diskuse kolem projektu DANE (DNS-based Authentication of Named Entities). Toto uvažované rozšíření DNS by přineslo možnost daleko rychlejšího a levnějšího přidání TLS nebo SSL certifikátů k internetovým stránkám. A to pouze díky využití důvěryhodného komunikačního kanálu DNSSEC. DNSSEC tedy zřejmě nebude sloužit pouze k ochraně systému DNS, ale využije se jako základní stavební kámen pro další užitečné aplikace.
Autor pracuje jako technický ředitel ve společnosti ACTIVE 24.
