Vlákno názorů k článku
Google validuje DNSSEC na svých veřejných DNS (aktualizováno)
od K - Chraneni uzivatele? A co kdyz nekdo podvrhne komunikaci...
-
j (neregistrovaný)
Validovat by musel system uzivatele, coz bude u widli nejdriv za 20 let. Ostatne, ani 8my si neumej vzit z RA DNSko ... (IPv6) ...
A stejne je to nanic, protoze kdyz sedim na lince k userovi, tak si muzu vygenerovat klido celej vlastni strom a query nikam jinam nepustim. Ale jinak je to fajn ... na vygenerovani dosu ... uzasna vec. -
Karel (neregistrovaný)
Dotaz: pokud mám BIND9 nakonfigurovaný jako "forward only", tzn. jen přeposílá dotazy na třeba Google DNS, tak žádnou validaci/kontrolu věrohodnosti nedělá?
Mám pocit, že jsem se nedávno díval, co tam ode mne na ten Google DNS server chodí a mám pocit, že tam nějaké věci týkající se DNSSEC chodily. Vyhodnotil jsem to tak, že to je úžasný, že mám zabezpečené DNS dotazy. Takže to tak není? Na co ten BIND pak zvyšuje traffic a nespokojí se jen s jednoduchou odpovědí (IP adresou) a naopak generuje další data kolem DNSSEC?
-
Ondřej CaletkaZlatý podporovatelBIND9 má standardně zapnutou podporu DNSSEC, takže ověřuje podpisy, ale nemá nastavený trust anchor, takže není schopen říct, jestli jsou ty podpisy pravé (takže to celé dělá zbytečně :) ). Stačí ale nastavit trust anchor a celé se to rozběhne.
Jen při takovémhle řetězení a DNSSECu pozor, někdy je problém s wildcardovými doménami. Udělal jsem na to takový testík na http://0skar.cz/dns/ a podle všeho tím Google naštěstí postižen není.
-
Karel (neregistrovaný)
Díky za odpověď. Ještě se zeptám...
Chápu to správně, že bez toho "trust anchor" tedy informace o DNSSEC kontrole přes BIND9 "protečou" ke klientovi,
ale samotný BIND9 při podvržení odpovědi jen "nečinně přihlíží"?
A pokud mám v prohlížeči (Google Chrome) nainstalován doplněk DNSSEC, který mi zeleným klíčkem ukazuje, že je doména ověřena, je tato informace pravdivá?
Tj. při podvržení odpovědi uvidím červený klíček?Ten "trust anchor" si určitě nastuduji a zkusím zapnout. Dík.
-
Ondřej CaletkaZlatý podporovatel
Ano, chápeš to naprosto správně. Bez trust anchor jsou všechny DNSSEC data vyhodnocena jako neurčitá (indeterminate) a propuštěna dál. Postup zadání trust anchoru je třeba na stránkách https://labs.nic.cz/page/905/dnssec-za-pet-minut/
Co se týče doplňku pro Chrome, existují dvě verze. Ta starší se opírala pouze o AD flag od DNS serveru, takže pokud byl v doplňku nastaven tvůj DNS server, nemohl být klíček nikdy zelený, jen žlutý (v neurčitém stavu DNS server AD flag nedává). Druhá verze pluginu ale už provádí kompletní validaci autonomně (má trust anchor v sobě) a navíc kontroluje IP adresu, na kterou se prohlížeč připojil. Takže zelený klíček znamená, že se podpis podařilo ověřit a zároveň se prohlížeč připojil na správnou adresu. Takže funguje zcela nezávisle na nastavení jakýchkoli DNS serverů.
-
Karel (neregistrovaný)
Tak jsem si to doma zkusil a přijde mi, že to podvrženou adresu nepustí. Mám BIND9 nastaven na "forward only" a "ping www.rhybar.cz" vrátí něco jako "unknown address". Ideální.
Zkusil jsem ještě ten test na Oskar.cz/dns a tam jsem neprošel v bodě 3a a 3b. Jinak úspěch.
-
Karel (neregistrovaný)
Mám BIND doma. Ale díky (ne)kvalitě připojení operátora T-Mobile, který na mé stížnosti z vysoka kašle, nemohu provozovat BIND jako rekurzivní resolver. Díky pomalé rychlosti (máme pokrytí přes GPRS) tam procházení doménové struktury nefunguje, resp. dotaz z mojí LAN mi BIND zodpověděl až na potřetí či popátý.
Pomohlo to, že jsem BIND nechal dotazy forwardovat ven (na Google). Nelíbí se mi to, raději bych si je řešil sám, ale funkčnost je teď mnohem lepší.
DNSSEC mi implicitně jede v obou variantách. A to se mi líbí.
Nevím, jestli by mi u těch forwardovaných dotazů jelo DNSSEC bez podpory Googlu, ale hádám že ne. (odhad laika :-)
-
Ondřej CaletkaZlatý podporovatel
To sice ano, ale zase na druhou stranu, zapnutí validace nemůže bezpečnost uživatele snížit (pokud tedy nějaká aplikace závislá na DNSSEC slepě nedůvěřuje AD flagu v DNS odpovědi). Navíc vzhledem k tomu, kolik uživatelů Googlí DNS používá (a někdy i nedobrovolně), odpadnou konečně problémy, kdy správce domény špatně nastaví DNSSEC, ale nikdo si toho nevšimne protože validaci skoro nikdo nedělá.
Takže by si třeba Černohorci konečně mohli opravit vládní web www.vlada.me :)
ČLÁNKY DO MAILU