Hlavní navigace

Názor k článku Doména .CZ spouští jako první automatickou správu DNSSEC klíčů od Filip Jirsák - Jak už jsem psal, notifikační e-mail, který vůbec...

  • Článek je starý, nové názory již nelze přidávat.
  • 23. 6. 2017 9:37

    Filip Jirsák

    Jak už jsem psal, notifikační e-mail, který vůbec nemusí adresátovi dorazit, nepovažuju za dostatečnou ochranu – zvlášť když je velice pravděpodobné, že půjde na stejnou doménu nebo stejný server, který se tím má „ověřit“. Dotazování se všech DNS serverů a všech IP adres také není žádná obrana, protože všechny DNS servery berou obvykle záznamy z jednoho zdroje. Stejně tak nepovažuju za dostatečnou ochranu tu lhůtu sedmi dnů – ta ochrání před případem, kdy by někdo získal neoprávněný přístup náhodou, ale nebrání před útočníkem, který ten přístup chce získat.

    Ale to všechno už jsem psal. Takže nesmysly tu plácáte vy, protože moje námitky jste nijak nevyvrátil a jenom opakujete velmi zavádějící tvrzení. Nebo snad chcete tvrdit, že doručení e-mailu je 100% spolehlivé? Že když správce DNS serveru, který nemá nasazené DNSSEC, dostane e-mail DNSSEC … CDNSKEY … RFC7344 …RFC8078 … považujeme přítomnost těchto záznamů za žádost o zveřejnění těchto klíčů v zóně .cz, tak hned bude vědět, o co jde? Nemluvě o tom, že ten e-mail může dostat vlastník domény, který z toho nepochopí ani to, že se to týká DNS. Chcete snad tvrdit, že většina provozovatelů DNS serverů používá djbdns a zónové soubory synchronizují přes rsync, takže nemají žádný master server, jehož ovládnutí stačí k manipulaci se zónou na všech podřízených serverech?

    Představte si, že má někdo třeba VPS, na něm master DNS server, web server a poštovní server, má na tom hostovanou svou doménu. Slave DNS servery má někde jinde. Připadá vám to jako neobvyklá konfigurace? Před tím VPS musí být nějaký router. Na tom routeru někdo (třeba jeho správce) nastaví přesměrování portů 25 a 53 na svůj server. E-maily bude přeposílat dál, jenom notifikační e-mail od CZ.NIC hodí do koše. Z původního DNS serveru si zkopíruje zónu, vytvoří její novou verzi, do které přidá CDNSKEY záznam a pošle notifikaci slave serverům, že si mají udělat update.

    Jak budou v takovém okamžiku fungovat ty pojistky kolem CDNSKEY záznamu? Zabrání útočníkovi v úspěšném provedení útoku? Všimněte si, že útočníkovi stačilo, že ovládá jedno jediné zařízení – a je to zařízení, které nemá ve své moci vlastník domény.