Hlavní navigace

Otevřený resolver od CZ.NIC vypíná ochranu proti DNS Rebinding a upravuje DoH

Sdílet

Petr Krčmář 9. 7. 2020
DNS over HTTPS

CZ.NIC na svém blogu oznámil úpravy konfigurace otevřeného resolveru (ODVR). Ten měl od začátku zapnutou ochranu proti útoku DNS Rebinding, který obchází princip same-origin policy v prohlížečích a umožňuje útočníkovi z JavaScriptu oslovovat další zařízení v místní síti.

Ochrana byla realizována tak, že resolver filtroval odpovědi s IP adresami z privátních rozsahů a vracel stav REFUSED. Ukázalo se ale, že pro řadu uživatelů je legitimní mít ve veřejné doméně lokální adresy a navíc ostatní otevřené resolvery (Google, Cloudflare a další) mají tuto filtraci vypnutou.

Druhá úprava se týká DNS-over-HTTPS (DoH), který byl na ODVR spuštěn před rokem. Původně šlo o zkušební provoz pouze na jedné z adres anycastu, konkrétně 185.43.135.1/2001:148f:fffe::1. Nyní byla podpora rozšířena i na druhou adresu, tedy 193.17.47.1/2001:148f:ffff::1.

Našli jste v článku chybu?