Vlákno názorů k článku CZ.NIC spustil nový veřejný DNS resolver, podporuje DNS over TLS od tomk - Dle návodu na https://www.nic.cz/odvr/, část Linux (Network Manager)...
-
Dle návodu na https://www.nic.cz/odvr/, část Linux (Network Manager) se sice změní DNS servery pro dané připojení, ale jinak je vše nezabezpečené jako předtím po portu 53 (ubuntu 18.04). NetworkManager to nezařídí a systemd-resolve ukazuje DNSSEC supported: no.
Navíc mám opět dle návodu na na www.dnssec.cz klíč zelený, přitom všechny DNS query jedou bez zabezpečení a vrací se v odpovědi 'Cannot handle DNSSEC security RRs'.
Troufám si také souhlasit, že pobloudí i nelaik, případně nabyde falešného dojmu bezpečí.
Nejspíše bude nutné použít stubby, který článek zmiňuje. Tam je ale konfigurace vyžadující veřejně klíče ?
-
Momentální návody tam jsou z doby před spuštěním DNS over TLS. Jak jsme tu řešili, systémové resolvery typicky DoT (ani DoH) nepodporují, takže nastavení by nebylo tak jednoduché jako pár kliknutí v NetworkManageru. S lokálním ověřením DNSSEC je to podobné, pokud vím.
Z hlediska bezpečí je potřeba rozlišit dvě věci. Zabezpečení kanálu, třeba pomocí TLS, je jedna věc, jejímž cílem je především soukromí. Tam je taky potřeba důvěra v provozovatele (cz.nic, v tomto případě). Na druhou stranu, validace DNSSEC ověřuje, že data v DNS nebyla změněna někde po dlouhé cestě od vlastníka zóny (skrze různé servery, cache apod.)
Resolvery cz.nic validují DNSSEC, ale samozřejmě pokud se k ním připojujete nezabezpečeným kanálem a DNSSEC lokálně neověříte, někde po cestě mohl někdo data podvrhnout. Takové riziko ale nejde nijak "otestovat", pokud vím... podobná zelená světýlka se dělají jednoduše tak, že se zkusí resolving domén se záměrně rozbitým DNSSEC (různými způsoby) a ten by měl selhat. Jako základní test to stačí, ale skutečná bezpečnost není o takových světýlkách.
-
Děkuji za upřesnění, DNSSEC, ač implikuje trochu IPSEC, není DNS over TLS a řeší komunikaci mezi vlastníkem domény a registrátorem.
Ještě bych se zeptal, když CZ NIC má doménu nejvyšší úrovně, neberou ISP DNS záznamy od něj a není tak vlastně pak správný záznam i na ISP resolverech ?
Takto funguje DNS over TLS se stubby
vi /etc/stubby/stubby.yml- upstream_recursive_servers
- address_data: 193.17.47.1
tls_auth_name: "odvr.nic.cz"
- address_data: 185.43.135.1
tls_auth_name: "odvr.nic.cz"
(odtranit defaultní sinodun.com servery)
systemctl restart stubby
