DNSSEC: Proč už klasické DNS nestačí

DNS vzniklo v době, kdy internet ještě nebyl tolik rozšířený a dnešní době už vůbec nevyhovuje. Proč je potřeba nové DNSSEC a jak si ho zajistit?
DNSSEC: Proč už klasické DNS nestačí

Proč už DNS nestačí? Pro odpověď na tuto otázku je nutné jít k jedné ze základních a také nejstarších služeb internetu, tedy k systému doménových jmen, DNS (Domain Name System). Tento systém překládá člověku dobře pochopitelné jmenné internetové adresy, tedy například predstavenstvo@nasifirmy.cz nebo www.pizzaazdomu.cz, na adresy číselné, kterým zase rozumějí počítače a dokážou pomocí nich zobrazit webové stránky nebo odeslat e-mail.

V době, kdy systém DNS vznikl, byl internet tvořen tak malým množstvím subjektů, že se všichni navzájem znali, a neřešili tak příliš otázku bezpečnosti. Ta doba je však dávno pryč. Přes systém DNS není těžké zaútočit na některý z nameserverů, narušit standardní DNS komunikaci a podvrhnout jí své falešné údaje. Snadno lze zaměnit číselnou adresu internetové služby s tím, že ta jmenná zůstane zachována. Poměrně snadno se tak docílí, že přesměruje e-maily nebo zobrazí návštěvníkovi stránek jiný obsah, než tam umístil jejich provozovatel.

A to vše v podstatě v neviditelné formě pro běžného uživatele, protože ten používá svoje důvěrně známé adresy. O tom, že strategie firmy odeslaná do mailboxu útočníka či odcizené peníze nebo osobní údaje jsou závažné problémy, není sporu. Ale představte si, že útočník napadne weby veřejné správy nebo zpravodajských serverů a rozšíří mezi lidi zprávy, které způsobí paniku, pády měn nebo kurzů akcií. Představte si, že ovlivní fungování tisíců internetových služeb v takovém rozsahu, že si to ani představit nelze. Služba DNS, není-li zabezpečena pomocí DNSSEC, poskytuje totiž potenciálnímu útočníkovi několik míst, na kterých je možné komunikaci narušit a zfalšovat údaje.

Co to je DNSSEC

Řešením těchto problémů je zavedení DNSSEC, díky kterému získávají uživatelé internetu jistotu, že informace, které z DNS získali, pocházejí ze správného zdroje a nebyly po cestě k nim změněny – že jsou důvěryhodné.

DNSSEC (Domain Name System Security Extensions) je bezpečnostní rozšíření systému doménových jmen, tedy jednoho ze základních stavebních kamenů internetu. Tato technologie výrazně snižuje riziko, že se vám někdo nabourá do e-mailové schránky, změní obsah zobrazovaný vaším internetovým prohlížečem nebo odcizí údaje o platební kartě či heslo do důležitého systému.

Klepněte pro větší obrázek
Vývoj zabezpečení českých domén na celkovém počtu.

DNSSEC zavádí do systému doménových jmen asymetrickou kryptografii, tedy princip, který je znám například z šifrování zpráv pomocí PGP nebo podepisování emailů elektronickým podpisem. Také v případě DNSSEC se pracuje se dvěma klíči, jedním šifrovacím, druhým dešifrovacím – v našem případě DNS záznamy. Konkrétně se to provádí tak, že si držitel domény (případně důvěryhodný technický správce domény – správce autoritativního nameserveru pro doménu) vygeneruje dvojici soukromého a veřejného klíče. Svým soukromým klíčem pak elektronicky podepíše technické údaje, které o své doméně do DNS vkládá. Pomocí veřejného klíče je možné ověřit pravost tohoto podpisu, proto je nutné, aby byl veřejný klíč dostupný všem; publikuje se tedy ve veřejné části klíče u nadřazené autority.

V případě .cz domény jí je registr domén .cz. Na úrovni registru domén řetěz důvěry nekončí, pokračuje obdobným způsobem k nadřazené autoritě, jak vyplývá z hierarchického uspořádání DNS. Všechna technická data v DNS jsou tak podepsána a důvěryhodnost údajů, které tento systém poskytuje, je na diametrálně vyšší úrovni v porovnání se stavem bez DNSSEC.

DNSSEC je navíc zpětně kompatibilní se stávajícím DNS a obě varianty fungují současně, což pomáhá při postupném zavádění této technologie. Běžný uživatel zavedení DNSSEC v podstatě nepozná a mělo by pro něj být tedy daleko méně bolestivé, než byl třeba přechod z analogového na digitální televizní vysílání.

Jak se chránit pomocí DNSSEC

Existuje několik typických situací, ve kterých se může běžný uživatel ocitnout, a ve kterých je nutné volit různý přístup.

Jste držitelem domény, provozujete na ní internetové služby a chcete udělat maximum pro zabezpečení své domény. V tomto případě většinou platí, že zároveň nerozumíte systému DNS, natož DNSSEC, a ani tomu moc rozumět nechcete. Pokud chcete svoji doménu zabezpečit, je to velmi jednoduché. Stačí se obrátit na svého registrátora a požádat ho, aby vaši moji doménu pomocí DNSSEC zabezpečil, pokud to jste to už neudělali. Jestliže při této otázce narazíte na neochotu u svého registrátora, pak není nic jednoduššího, než ho změnit a přejít k takovému, kterému zabezpečení domén nebude dělat problém. Změna registrátora i zabezpečení domény je totiž otázkou několika minut. Volbu správného registrátora lze provést díky jejich veřejně dostupnému seznamu (s uvedením jimi podporovaných technologií a úrovní certifikace) na stránkách správce české národní domény www.nic.cz.

Klepněte pro větší obrázek
Schéma komunikace přes DNS server nezabezpečený technologií DNSSEC.

Pokud jste zaměstnancem nebo manažerem ve firmě, která provozuje svoje DNS servery (a vy je využíváte při přístupu k internetovým službám). Podle velikosti firmy, ve které pracujete, a samozřejmě také podle pozice, je tento případ jednoduchý či složitější. V každém případě zatlačte na své IT oddělení, aby vaše DNS servery naučilo DNSSEC používat a aby to samé požadovalo od vašeho poskytovatele připojení k internetu. Zavedení podpory DNSSEC na nameservery je poměrně jednoduché a existuje k tomu spousta návodů, například na www.dnssec.czlze najít dostatek informací dokonce v češtině.

Pokud jste domácí uživatel internetu a využíváte DNS servery poskytovatele připojení, je situace dost možná nejsložitější, ale i ta je řešitelná. Buď sami, viz níže, nebo dotazem na svého ISP zjistěte, zda DNSSEC podporuje. Pokud ne, změňte poskytovatele připojení, a pokud to není možné, sdělte mu co nejoficiálnější formou, že o DNSSEC stojíte. Každá firma, která to se svým podnikáním myslí vážně, požadavkům svých zákazníků naslouchá a plní je, je tedy šance, že i vy pomůžete svého ISP přesvědčit, aby šel s dobou.

Pokud se tak nestane, hrozí mu, že nakonec o své zákazníky přijde a jako bonus navíc bude muset řešit závažné bezpečnostní incidenty ve své síti. Pro všechny uvedené situace lze hodně informací ohledně své bezpečnosti získat, aniž byste kohokoliv kontaktovali. Tak předně na stránkách www.dnssec.cz najdete, zda máte zabezpečen přístup k internetovým službám pomocí DNSSEC, a zda se tedy máte věnovat postupům uvedeným výše. Dále můžete několika způsoby ověřit, zda jsou vámi navštěvované domény pomocí DNSSEC chráněny. Jedním z uživatelsky velmi přívětivých způsobů je instalace zásuvného modulu do Firefoxu pod názvem DNSSEC Validator, který vám poté bude okamžitě oznamovat, jestli jsou navštěvované domény chráněny, či nikoliv. Od toho je pak již jen krůček, abyste své bance nebo státnímu úřadu napsali, že i oni by měli o zabezpečení svých domén uvažovat.

DNSSEC v Česku a ve světě

Správce české národní domény, sdružení CZ.NIC, začalo se zaváděním technologie DNSSEC v roce 2008 a je ve své snaze velmi úspěšné. Ještě do konce roku 2009 tak byly zabezpečeny první stovky .cz domén. V roce 2009 pokračoval postupný, ale stále ještě pomalý růst počtu zabezpečených domén, roky 2010 a zejména 2011 pak znamenaly výrazné zvýšení dostupnosti této technologie u registrátorů.

Klepněte pro větší obrázek
Použití DNSSEC Validatoru.

V roce 2012 bude tato technologie u registrátorů již běžný standard. Vývoj počtu zabezpečených .cz domén lze dobře vidět na grafu. Z uvedených faktů vyplývá, že na straně registrátorů je situace ohledně podpory DNSSEC již velmi dobrá. Aspoň částečnou podporu této technologie mají zavedenu všichni významní hráči na trhu, další ji zavádějí nebo o ní vážně uvažují. Kvalitní registrátoři domény zabezpečují automaticky a zdarma. Co se týče poskytovatelů připojení, ISP (Internet Service Provider), je situace obecně hůře měřitelná nebo zcela neměřitelná. Nicméně podporu již zavedli takoví hráči jako Telefónica, Vodafone nebo GTS a spousta menších, tedy i zde je situace poměrně dobrá a dá se očekávat, že se bude dále lepšit.

Ve srovnání se světem v zavádění DNSSEC rozhodně Česká republika nekulhá, naopak je v tomto trendu lídrem. Neexistuje více zabezpečených domén pomocí DNSSEC od jedné TLD (a to počtem i penetrací), než je tomu v případě .cz domény. Srovnání s .cz v tomto ohledu snese snad pouze .se doména, která ale začala s podporou DNSSEC dříve než .cz. Zbytek světa rozhodně nespí, z celkového počtu dnes dostupných 304 TLD DNSSEC podporuje 76 z nich, tedy každá čtvrtá. DNSSEC zavedla taková TLD jako .com, .net, .org, .eu nebo z okolních zemí .de, .at a .pl. Podpora DNSSEC poskytovateli připojení ve světě pak více méně kopíruje podporu registrátorů. Výraznou aktivitu v této oblasti tedy najdeme například ve Švédsku nebo v USA.

Samotným zabezpečením DNS ale přínos DNSSEC nekončí. V současné době je například poměrně živá diskuse kolem projektu DANE (DNS-based Authentication of Named Entities). Toto uvažované rozšíření DNS by přineslo možnost daleko rychlejšího a levnějšího přidání TLS nebo SSL certifikátů k internetovým stránkám. A to pouze díky využití důvěryhodného komunikačního kanálu DNSSEC. DNSSEC tedy zřejmě nebude sloužit pouze k ochraně systému DNS, ale využije se jako základní stavební kámen pro další užitečné aplikace.

Autor pracuje jako technický ředitel ve společnosti ACTIVE 24.

Diskuze (8) Další článek: Twitter na Grammy 2012: téměř 11 tisíc tweetů během vteřiny

Témata článku: Technologie, Internet, Okolní svět, Veřejná komunikace, Soukromý klíč, Pomalý růst, Stavební kámen, DNSSEC, Celková bezpečnost, Veřejná služba, Běžná komunikace, Běžný standard, Jednoduché uspořádání, Postupné zavádění, Veřejný klíč, Různý přístup, Nesta, Dešifrovací klíč, Uvedená doba, Zavedená firma, Nést


Určitě si přečtěte

Fedora 33 prostě funguje. Linux si zaslouží dobýt laptop, je to ale asi opět marné

Fedora 33 prostě funguje. Linux si zaslouží dobýt laptop, je to ale asi opět marné

** Desktopový Linux funguje a vypadá stále lépe ** Fedora 33 není výjimkou ** Ve stínu Windows a macOS tu vyrostly skvělé alternativy

Jakub Čížek | 162

Jakub Čížek
FedoraOperační systémyLinux
Čím nahradit WhatsApp: Vyberte si z 10 alternativních komunikátorů

Čím nahradit WhatsApp: Vyberte si z 10 alternativních komunikátorů

** Z WhatsAppu kvůli novým podmínkám utíkají tisíce uživatelů ** Čím nahradit populární aplikaci pro zasílání zpráv? ** Vybrali jsme pro vás 10 alternativních komunikátorů

Karel Kilián | 110

Karel Kilián
KomunikaceWhatsAppInstant Messaging
Google chystá funkci, která z chytrého Gmailu udělá hloupý Gmail
Lukáš Václavík
SoukromíGmailGoogle
10 míst na mapách Googlu, která nesmíte vidět. Nahradily je čtverečky

10 míst na mapách Googlu, která nesmíte vidět. Nahradily je čtverečky

** Deset míst, které nesmíte vidět ve webových mapách ** Jsou to letiště, základny i elektrárny ** Nejvíce míst tají Francie

Jakub Čížek | 21

Jakub Čížek
Mapy GoogleMapy
Nejlepší příslušenství k počítači. Tipy na osvědčené klávesnice, tiskárny, routery…

Nejlepší příslušenství k počítači. Tipy na osvědčené klávesnice, tiskárny, routery…

** Tipy na užitečné příslušenství k počítačům ** Poradíme, s jakými produkty neuděláte chybu ** Některé z věcí mohou být dobrými vánočními dárky

David Polesný, Stanislav Janů | 20

David PolesnýStanislav Janů
Příslušenství
Google vymyslel technologii superpřesného GPS. Už ji podporuje Pixel 5 a dorazí i na ostatní telefony

Google vymyslel technologii superpřesného GPS. Už ji podporuje Pixel 5 a dorazí i na ostatní telefony

** Kvalita GPS ve městech občas stojí za starou bačkoru ** Mohou za to odrazy signálu od okolních budov ** Google má jejich 3D model, a tak spolupracuje s výrobci GPS čipů

Jakub Čížek | 41

Jakub Čížek
NavigaceTechnologieGoogle
AMD uvádí grafické karty Radeon RX 6800, 6800 XT a 6900 XT. Útočí přímo na modely od Nvidie

AMD uvádí grafické karty Radeon RX 6800, 6800 XT a 6900 XT. Útočí přímo na modely od Nvidie

** AMD představilo tři nové grafické karty ** Všechny s architekturou RDNA2, kterou používají i PS5 a Xbox Series ** Karty útočí přímo na GeForce RTX 3000

Karel Javůrek | 78

Karel Javůrek
Radeon RX 6000Grafické kartyAMD