Hlavní navigace

CZ.NIC spustil nový veřejný DNS resolver, podporuje DNS over TLS

30. 4. 2019
Doba čtení: 3 minuty

Sdílet

CZ.NIC už více než deset let provozuje vlastní otevřený DNS resolver. Nyní byla spuštěna nová verze, která používá anycast, běží na Knot Resolveru a podporuje bezpečný přenos pomocí DNS over TLS.

Již více než 10 let mají uživatelé internetu, nejen v České republice, možnost volně využít tzv. Otevřené DNSSEC Validující Resolvery CZ.NIC, zkráceně ODVR, namísto DNS resolverů od poskytovatelů internetového připojení.

Jedná se o českou alternativu k veřejným DNS resolverům od společností Google (tzv. „čtyři osmičky“) nebo Cloudflare (tedy „čtyři jedničky“). Mimochodem i v případě Cloudflare resolverů jde tak trochu o „českou“ alternativu, protože využívá námi vyvíjený Knot Resolver (viz článek kolegy Petra Špačka).

Původní ODVR

Původní ODVR bylo provozováno na dvou oddělených platformách. Na první s IPv4+IPv6 adresou (217.31.204.130, 2001:1488:800:400::130) naslouchaly samostatné servery umístěné pouze v pražských datacentrech, kde byl fail-over řešen softwarovou implementací. Druhá platforma s IPv4+IPv6 adresou (193.29.206.206, 2001:678:1::206) byla propagována z vybraných serverů v anycastu pro .CZ. Tyto servery byly umístěny jak v České republice, tak i Evropě a na dalších kontinentech. Fail-over byl v tomto případě realizován přímo BGP protokolem.

Na servery jsme instalovali zejména Debian a Ubuntu Linux a jako DNS resolver jsme na všech serverech použili Unbound, samozřejmě se zapnutou validací DNSSEC.

Právě společné prostředí anycastu .CZ a části ODVR bylo hlavním impulsem k tomu, abychom tyto dvě součásti zcela oddělili a provozovali nezávisle na sobě. Nasazováním převážně malých DNS stacků, můj dřívější článek, do zahraničních lokalit vedlo k větší složitosti správy celého řešení. Současně také logicky docházelo ke sdílení prostředků jednotlivých serverů, které jsme navrhovali zejména pro provoz domény .CZ. S ohledem na odolnost proti případným útokům jsme se rozhodli provoz ODVR oddělit.

Využití ODVR v České republice v průběhu několika let ukazuje následující graf. Každý modrý sloupec představuje průměrný počet požadavků za sekundu v daném měsíci získaný z průměrných hodnot z každého dne. Maximální využití ve špičkách pak znázorňuje červená linka.


Dle grafu je zřejmé, že zájem o tyto DNS resolvery mezi uživateli internetu v České republice neustále roste. Naše stávající infrastruktura ale zvládala i daleko větší objem provozu. Důkazem budiž graf provozu (viz níže) z 22. listopadu 2016, kdy došlo k výpadku DNS resolverů společnosti Google (viz také dřívější článek kolegy Zdeňka Brůny).


Nové ODVR

V čem je nové ODVR jiné? Za prvé, všechny servery běží na novém DNS anycastu, který však není součástí anycastu .CZ. Propagují novou dvojici IPv4+IPv6 adres z nového ASN 20701. A protože, na rozdíl od situace před deseti lety, máme svůj vlastní resolver, nahradili jsme Unbound za Knot Resolver (v době vydání tohoto článku ve verzi 4.0), a to se zapnutou podporou DNS over TLS.

Nové servery jsou nyní umístěny „pouze“ ve všech našich datacentrech v České republice. Zahraniční instance jsme v této chvíli nezprovozňovali, protože objem provozu mimo ČR není příliš významný. Na následujícím grafu je navíc patrná klesající poptávka v posledních dvou letech (jedná se o procentuální zastoupení z celkového počtu požadavků) po ODVR resolverech ze zahraničních lokalit. Jakmile se tento trend podle našich statistik provozu otočí, jsme připraveni servery spustit i ve významných zahraničních lokalitách.


Vyzkoušejte si nové ODVR!

Je to jednoduché. Stačí si v konfiguraci síťového připojení ve vašem PC, telefonu nebo tabletu nastavit IPv4 adresy 193.17.47.1 a 185.43.135.1. Pokud máte k dispozici i připojení pomocí protokolu IPv6, můžete použít i adresy 2001:148f:ffff::1 a 2001:148f:fffe::1.

Podpora šifrované komunikace DNS over TLS je dostupná na adrese odvr.nic.cz,na standardním portu TCP/853. DoT si můžete sami vyzkoušet v Linuxu pomocí stub resolveru Stubby a nebo na mobilních zařízeních s Androidem verze 9, který má tuto podporu přímo integrovanou.

Adresy nového ODVR budou také k dispozici uživatelům routerů Turris jako první volitelné DNS resolvery namísto DNS resolverů od poskytovatele internetového připojení. Pro Turris Omnia od aktualizace TurrisOS verze 3.11.5 a pro Turris MOX od verze 4.0 beta 1.

Hacking tip

Přeji vám příjemné (a šifrované) brouzdání po internetu s našimi novými DNS resolvery a budu se těšit na další stoupající využití ODVR.

(Původně vyšlo na blogu CZ.NIC.)

Autor článku

Václav Steiner vede ve sdružení CZ.NIC týmy systémových administrátorů.