Hlavní navigace

CZ.NIC spustil nový veřejný DNS resolver, podporuje DNS over TLS

Václav Steiner

CZ.NIC už více než deset let provozuje vlastní otevřený DNS resolver. Nyní byla spuštěna nová verze, která používá anycast, běží na Knot Resolveru a podporuje bezpečný přenos pomocí DNS over TLS.

Doba čtení: 3 minuty

Sdílet

Již více než 10 let mají uživatelé internetu, nejen v České republice, možnost volně využít tzv. Otevřené DNSSEC Validující Resolvery CZ.NIC, zkráceně ODVR, namísto DNS resolverů od poskytovatelů internetového připojení.

Jedná se o českou alternativu k veřejným DNS resolverům od společností Google (tzv. „čtyři osmičky“) nebo Cloudflare (tedy „čtyři jedničky“). Mimochodem i v případě Cloudflare resolverů jde tak trochu o „českou“ alternativu, protože využívá námi vyvíjený Knot Resolver (viz článek kolegy Petra Špačka).

Původní ODVR

Původní ODVR bylo provozováno na dvou oddělených platformách. Na první s IPv4+IPv6 adresou (217.31.204.130, 2001:1488:800:400::130) naslouchaly samostatné servery umístěné pouze v pražských datacentrech, kde byl fail-over řešen softwarovou implementací. Druhá platforma s IPv4+IPv6 adresou (193.29.206.206, 2001:678:1::206) byla propagována z vybraných serverů v anycastu pro .CZ. Tyto servery byly umístěny jak v České republice, tak i Evropě a na dalších kontinentech. Fail-over byl v tomto případě realizován přímo BGP protokolem.

Na servery jsme instalovali zejména Debian a Ubuntu Linux a jako DNS resolver jsme na všech serverech použili Unbound, samozřejmě se zapnutou validací DNSSEC.

Právě společné prostředí anycastu .CZ a části ODVR bylo hlavním impulsem k tomu, abychom tyto dvě součásti zcela oddělili a provozovali nezávisle na sobě. Nasazováním převážně malých DNS stacků, můj dřívější článek, do zahraničních lokalit vedlo k větší složitosti správy celého řešení. Současně také logicky docházelo ke sdílení prostředků jednotlivých serverů, které jsme navrhovali zejména pro provoz domény .CZ. S ohledem na odolnost proti případným útokům jsme se rozhodli provoz ODVR oddělit.

Využití ODVR v České republice v průběhu několika let ukazuje následující graf. Každý modrý sloupec představuje průměrný počet požadavků za sekundu v daném měsíci získaný z průměrných hodnot z každého dne. Maximální využití ve špičkách pak znázorňuje červená linka.


Dle grafu je zřejmé, že zájem o tyto DNS resolvery mezi uživateli internetu v České republice neustále roste. Naše stávající infrastruktura ale zvládala i daleko větší objem provozu. Důkazem budiž graf provozu (viz níže) z 22. listopadu 2016, kdy došlo k výpadku DNS resolverů společnosti Google (viz také dřívější článek kolegy Zdeňka Brůny).


Nové ODVR

V čem je nové ODVR jiné? Za prvé, všechny servery běží na novém DNS anycastu, který však není součástí anycastu .CZ. Propagují novou dvojici IPv4+IPv6 adres z nového ASN 20701. A protože, na rozdíl od situace před deseti lety, máme svůj vlastní resolver, nahradili jsme Unbound za Knot Resolver (v době vydání tohoto článku ve verzi 4.0), a to se zapnutou podporou DNS over TLS.

Nové servery jsou nyní umístěny „pouze“ ve všech našich datacentrech v České republice. Zahraniční instance jsme v této chvíli nezprovozňovali, protože objem provozu mimo ČR není příliš významný. Na následujícím grafu je navíc patrná klesající poptávka v posledních dvou letech (jedná se o procentuální zastoupení z celkového počtu požadavků) po ODVR resolverech ze zahraničních lokalit. Jakmile se tento trend podle našich statistik provozu otočí, jsme připraveni servery spustit i ve významných zahraničních lokalitách.


Vyzkoušejte si nové ODVR!

Je to jednoduché. Stačí si v konfiguraci síťového připojení ve vašem PC, telefonu nebo tabletu nastavit IPv4 adresy 193.17.47.1 a 185.43.135.1. Pokud máte k dispozici i připojení pomocí protokolu IPv6, můžete použít i adresy 2001:148f:ffff::1 a 2001:148f:fffe::1.

Podpora šifrované komunikace DNS over TLS je dostupná na adrese odvr.nic.cz,na standardním portu TCP/853. DoT si můžete sami vyzkoušet v Linuxu pomocí stub resolveru Stubby a nebo na mobilních zařízeních s Androidem verze 9, který má tuto podporu přímo integrovanou.

Adresy nového ODVR budou také k dispozici uživatelům routerů Turris jako první volitelné DNS resolvery namísto DNS resolverů od poskytovatele internetového připojení. Pro Turris Omnia od aktualizace TurrisOS verze 3.11.5 a pro Turris MOX od verze 4.0 beta 1.

Přeji vám příjemné (a šifrované) brouzdání po internetu s našimi novými DNS resolvery a budu se těšit na další stoupající využití ODVR.

(Původně vyšlo na blogu CZ.NIC.)