Otevřené DNSSEC Validující Resolvery

Co jsou to CZ.NIC ODVR?

CZ.NIC ODVR jsou Otevřené DNSSEC Validující Resolvery, které jsou volně k využití místo standardních DNS resolverů, nabízených Vaším poskytovatelem připojení.

Co je to DNS?

Systém DNS (Domain Name System) funguje jako telefonní seznam pro internetové IP adresy. Umožňuje přiřadit k číselné IP adrese určitý symbolický název, tzv. doménové jméno, které si uživatelé snadno zapamatují a dokáží jej bez obtíží napsat např. do webového prohlížeče (vím, že česká firma se jmenuje XY, do vyhledávače zadám www.XY.cz). Prohlížeč se podobně jako telefon podívá do "seznamu", najde správný záznam a automaticky se připojí na IP adresu, odpovídající doménovému jménu a stránku uživateli zobrazí.

Více informací naleznete na stránce O doménách a DNS.

Co je to DNSSEC?

DNSSEC je rozšíření systému doménových jmen (DNS), které zvyšuje jeho bezpečnost. DNSSEC poskytuje uživatelům jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena. DNSSEC zajistí důvěryhodnost údajů, získaných z DNS.

Více informací naleznete na stránce Jak funguje DNSSEC?.

Jak zapnout CZ.NIC resolvery?

V konfiguraci síťového připojení nakonfigurujte resolvery s IP adresami 193.17.47.1 a 185.43.135.1, pokud vaše síťové připojení funguje i přes protokol IPv6 můžete použít i IPv6 adresy 2001:148f:ffff::1 a 2001:148f:fffe::1.

Microsoft Windows XP

Je zapotřebí změnit nastavení u konkrétního síťového připojení.

  1. Otevřete Ovládací panely
  2. Klikněte na Připojení k síti a Internetu a pak na Síťová připojení.
  3. Vyberte připojení, pro které chcete nakonfigurovat CZ.NIC resolvery. Pro změnu připojení pomocí kabelu (Ethernet) klikněte pravým tlačítkem na Připojení k místní síti a vyberte Vlastnosti. Pro změnu bezdrátového připojení klikněte pravým tlačítkem na Bezdrátové připojení k síti a vyberte Vlastnosti.
  4. Zvolte panel Obecné. Vyberte Protokol sítě internet (TCP/IP) v seznamu Toto připojení používá následující položky a klikněte na Vlastnosti.
  5. V záložce Obecné klikněte na tlačítko Upřesnit ... a vyberte záložku DNS. Pokud jsou v nastavení vyplněny nějaké stávající DNS resolvery, opište si stávající nastavení pro případ, že byste je chtěli vrátit zpátky.
  6. Klikněte na OK.
  7. Vyberte Použít následující adresy serverů DNS.
  8. Do polí Upřednostňovaný server DNSNáhradní server DNS napište IP adresy CZ.NIC resolverů: 193.17.47.1 a 185.43.135.1
  9. Restartujte spojení, které jste vybrali v kroku 3.
  10. Otestujte, zda-li Vám nové CZ.NIC resolvery fungují správně – otevřete stránku www.dnssec.cz a klíč na pravé straně musí být zelený. Pokud se Vám zobrazí červený rozbitý klíč, nastavení není správné.
  11. Opakujte předchozí kroky pro všechna síťová nastavení, pro která si přejete používat CZ.NIC Otevřené DNSSEC validující resolvery.

Mac OS X 10.5/10.6

  1. Z menu Apple (jablíčko) vyberte Předvolby systému [System Preferences] , pak klikněte na Síť [Network] .
  2. Pokud je ikonka zámku v levém dolním rohu zamknutá, tak na ni klikněte, abyste autorizovali změny. Bude nutné vložit Vaše heslo.
  3. Vyberte připojení, pro které chcete nastavit CZ.NIC resolvery, například: Pro změnu nastavení drátové sítě vyberte v seznamu Ethernet a klikněte na Upřesnit [Advanced]... Pro změnu nastavení bezdrátové sítě vyberte v seznamu Airport a klikněte na Upřesnit [Advanced]...
  4. Vyberte žáložku DNS.
  5. Klikněte na tlačítko + a nahraďte stávající IP adresy IP adresami CZ.NIC resolverů: 193.17.47.1 a 185.43.135.1.
  6. Klikněte na tlačítko OK a následně na tlačítko Použít [Apply].
  7. Otestujte, zda-li Vám nové CZ.NIC resolvery fungují správně – otevřete stránku www.dnssec.cz a klíč na pravé straně musí být zelený. Pokud se Vám zobrazí červený rozbitý klíč, Nastavení není správné. V prohlížeči Safari může načítání nějakou dobu trvat.
  8. Opakujte předchozí kroky pro všechna síťová nastavení, pro která si přejete používat CZ.NIC Otevřené DNSSEC validující resolvery.

Linux (Network Manager)

Pokud Vaše Linuxová distribuce nepoužívá Network Manager, obraťte se na poskytovatele Vaší Linuxové distribuce pro instrukce, jak nakonfigurovat jiné DNS resolvery.

  1. Klikněte pravým tlačítkem na ikonu Network Managera a zvolte Edit connections...
  2. Vyberte síťové připojení, pro které chcete nastavit CZ.NIC resolvery, například: Pro drátové připojení vyberte panel Wired, vyberte ze seznamu Auto eth0 a klikněte na tlačítko Edit... Pro bezdrátové připojení vyberte panel Wireless, vyberte ze seznamu Auto -název_připojení- a klikněte na tlačítko Edit...
  3. Vyberte panel IPv4 Settings a pokud máte v seznamu Method vybránu volbu Automatic (DHCP) , změňte ji na Automatic (DHCP) addresses only.
  4. Pokud máte zvolenu volbu Automatic (DHCP) addresses only nebo Manual, bude pole DNS servers otevřeno pro editaci. Pokud toto pole již obsahuje IP adresy, poznačte si je, pokud byste v budoucnu chtěli přestat používat CZ.NIC resolvery. Vyplňte do pole DNS servers IP adresy CZ.NIC resolverů: 193.17.47.1 a 185.43.135.1. Jednotlivé IP adresy oddělte čárkou.
  5. Klikněte na tlačítko Apply. Pro provedení změn bude možná nutné zadat Vaše heslo v závislosti na nastavení Vašeho systému.
  6. Klikněte na tlačítko Close.
  7. Otestujte, zda-li Vám nové CZ.NIC resolvery fungují správně – otevřete stránku www.dnssec.cz a klíč na pravé straně musí být zelený. Pokud se Vám zobrazí červený rozbitý klíč, nastavení není správné.
  8. Opakujte předchozí kroky pro všechna síťová nastavení, pro která chcete používat CZ.NIC Otevřené DNSSEC validující resolvery.

Jak zapnout DNS-over-TLS (DoT)

Protokol DoT chrání komunikaci mezi klientem a DNS resolverem pomocí šifrování TLS a naslouchá na portu TCP/853. Pro nastavení DoT můžete využít například stub resolver Stubby. Existují instalační balíčky pro Linux, Windows a macOS.

  1. Nejdříve je potřeba nakonfigurovat Stubby. To provedete v souboru /etc/stubby/stubby.xml na Linuxu nebo C:\Program Files\Stubby\stubby.yml na MS Windows.

  2. Vložte konfiguraci

    resolution_type: GETDNS_RESOLUTION_STUB
    
    dns_transport_list:
      - GETDNS_TRANSPORT_TLS
    
    tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
    
    tls_query_padding_blocksize: 128
    
    edns_client_subnet_private : 1
    
    idle_timeout: 10000
    
    listen_addresses:
      - 127.0.0.1
      -  0::1
    
    round_robin_upstreams: 1
    
    upstream_recursive_servers:
    #IPv4 ODVR
       - address_data: 193.17.47.1
         tls_auth_name: "odvr.nic.cz"
       - address_data: 185.43.135.1
         tls_auth_name: "odvr.nic.cz"
    #IPv6 ODVR
       - address_data: 2001:148f:ffff::1
         tls_auth_name: "odvr.nic.cz"
       - address_data: 2001:148f:fffe::1
         tls_auth_name: "odvr.nic.cz"
    
  3. Spusťte službu stubby

  4. Na Linuxu pomocí systemd - "systemctl start stubby“

  5. Na MS Windows zatím ručně z příkazové řádky - "C:Program FilesStubbystubby.exe -l“, vývojáři v budoucnu slibují spouštění jako služba

  6. Nakonec je potřeba změnit DNS resolvery v nastavení sítě na "127.0.0.1“ nebo "::1“. Jak postupovat naleznete v předcházejících kapitolách.

Následně si můžete ověřit, že skutečně s ODVR komunikujete zabezpečeně, pomocí nástroje tcpdump na Linuxu nebo wireshark na Windows při aktivním filtru "host odvr.nic.cz and port 853“

Jak zapnout DNS-over-HTTPS (DoH)

Protokol DoH stejně jako DoT chrání komunikaci mezi klientem a DNS resolverem pomocí šifrování TLS, v tomto případě však na portu TCP/443. Dalším rozdílem je, že se používá přímo v internetovém prohlížeči a není potřeba instalovat a konfigurovat další služby. Protokol DoH si můžete vyzkoušet ve Firefoxu od verze 62, Chrome od verze 66 nebo Bromite od verze 67.

Nastavení přímo ve Firefoxu je velice jednoduché.

  1. Přejděte do nastavení – tři vodorovné čáry v liště vpravo nahoře, řádek Předvolby, menu ObecnéNastavení sítě (zcela dole), Konfigurovat připojení aplikace Firefox k internetu, tlačítko Nastavení
  2. Zaškrtněte Zapnout DNS přes HTTPS a do pole vlastní vložte "https://odvr.nic.cz/doh“.
  3. Alternativně lze DoH aktivovat i v pokročilém nastavení „about:config“ vyhledáním řetězce „network.trr“.

Následně si můžete ověřit, že skutečně s ODVR komunikujete zabezpečeně, pomocí nástroje tcpdump na Linuxu nebo wireshark na Windows při aktivním filtru "host odvr.nic.cz and port 443“

Co mi přinese používání CZ.NIC resolverů?

Většina poskytovatelů připojení (a DNS resolverů) neposkytuje DNSSEC validaci na svých serverech. Použitím CZ.NIC ODVR zajistíte, že Vaše DNS dotazy budou validovány pomocí technologie DNSSEC.

Budou všechny mé DNS dotazy zabezpečeny, pokud použiji CZ.NIC resolvery?

Nebudou. Důvody, proč všechny DNS dotazy nebudou zabezpečeny, jsou dva:

  1. Většina doménových jmen není podepsána pomocí technologie DNSSEC. Validace (a tedy kontrola zabezpečení) probíhá pouze u podepsaných doménových jmen.
  2. Většina aplikací (jako je například prohlížeč webových stránek) a stub resolver (součást operačního systému zodpovědná za dotazování do DNS) ve Vašem počítači nerozumí technologii DNSSEC. To znamená, že pokud nepoužijete specializovanou aplikaci, jako je například doplněk DNSSEC Validátor pro prohlížeč Firefox, tak nebudete vědět, zda-li je stránka zabezpečena či nikoliv.

Je používání CZ.NIC resolverů bezpečné?

To záleží na množství faktorů. Pokud váš stub resolver nepoužívá dostatečně náhodné zdrojové porty pro dotazování na CZ.NIC resolver, tak existuje teoretická možnost, že útočník napadne spojení mezi Vaším počítačem a CZ.NIC resolvery.

Jsou zde nějaká omezení?

Překlad doménového jména není možný za předpokladu, pokud se v DNS zóně vyskytuje záznam obsahující privátní IPv4 nebo IPv6 adresu. Konkrétně se jedná o IP adresy z rozsahů:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16
  • 169.254.0.0/16
  • fd00::/8
  • fe80::/10

Chráníme vás tak před útokem DNS rebinding, pomocí nehož může útočník proniknout přes váš webový prohlížeč do lokální sítě.

Jak jsou zabezpečeny mé osobní údaje?

CZ.NIC resolvery neshromažďují žádná osobní data, ani neuchovávají informace o stránkách, na které Váš počítač osobní údaje posílá.

Ale otevřené DNS resolvery jsou špatné...

U otevřených DNS resolverů, které nejsou pod kontrolou svého správce, hrozí nebezpečí, že budou zneužity pro distribuovaný útok typu DoS. Otevřené DNSSEC validující resolvery CZ.NIC jsou nakonfigurovány tak, aby bylo velmi těžké je zneužít pro DDoS útok na servery třetích stran. Jako dodatečná ochrana jsou servery monitoroványa kontrolní mechanismy upozorní na veškerou neobvyklou aktivitu; ta je následně vyhodnocena a v případě potřeby budou přijata dodatečná opatření.