Otevřené DNSSEC Validující Resolvery

Co jsou to CZ.NIC ODVR?

CZ.NIC ODVR jsou Otevřené DNSSEC Validující Resolvery, které jsou volně k využití místo standardních DNS resolverů, nabízených Vaším poskytovatelem připojení.

Co je to DNS?

Systém DNS (Domain Name System) funguje jako telefonní seznam pro internetové IP adresy. Umožňuje přiřadit k číselné IP adrese určitý symbolický název, tzv. doménové jméno, které si uživatelé snadno zapamatují a dokáží jej bez obtíží napsat např. do webového prohlížeče (vím, že česká firma se jmenuje XY, do vyhledávače zadám www.XY.cz). Prohlížeč se podobně jako telefon podívá do "seznamu", najde správný záznam a automaticky se připojí na IP adresu, odpovídající doménovému jménu a stránku uživateli zobrazí.

Více informací naleznete na stránce O doménách a DNS.

Co je to DNSSEC?

DNSSEC je rozšíření systému doménových jmen (DNS), které zvyšuje jeho bezpečnost. DNSSEC poskytuje uživatelům jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena. DNSSEC zajistí důvěryhodnost údajů, získaných z DNS.

Více informací naleznete na stránce Jak funguje DNSSEC?.

Jak zapnout CZ.NIC resolvery?

V konfiguraci síťového připojení nakonfigurujte resolvery s IP adresami 193.17.47.1 a 185.43.135.1, pokud vaše síťové připojení funguje i přes protokol IPv6 můžete použít i IPv6 adresy 2001:148f:ffff::1 a 2001:148f:fffe::1.

Microsoft Windows 10

Je zapotřebí změnit nastavení u konkrétního síťového připojení.

  1. Otevřete Ovládací panely
  2. Klikněte na Centrum síťových připojení a sdílení a pak na Změnit nastavení adaptéru.
  3. Vyberte připojení, pro které chcete nakonfigurovat CZ.NIC resolvery. Pro změnu připojení pomocí kabelu (Ethernet) klikněte pravým tlačítkem na Připojení k místní síti a vyberte Vlastnosti. Pro změnu bezdrátového připojení klikněte pravým tlačítkem na Bezdrátové připojení k síti a vyberte Vlastnosti. X 4. Zvolte panel Obecné. Vyberte Protokol IP verze 4 (TCP/IPv4) v seznamu Toto připojení používá následující položky a klikněte na Vlastnosti.
  4. V záložce Obecné klikněte na tlačítko Upřesnit ... a vyberte záložku DNS. Pokud jsou v nastavení vyplněny nějaké stávající DNS resolvery, opište si stávající nastavení pro případ, že byste je chtěli vrátit zpátky.
  5. Klikněte na OK.
  6. Vyberte Použít následující adresy serverů DNS.
  7. Do polí Upřednostňovaný server DNSNáhradní server DNS napište IP adresy CZ.NIC resolverů: 193.17.47.1 a 185.43.135.1
  8. Restartujte spojení, které jste vybrali v kroku 3.
  9. Otestujte, zda-li Vám nové CZ.NIC resolvery fungují správně – otevřete stránku www.odvr.cz.
  10. Opakujte předchozí kroky pro všechna síťová nastavení, pro která si přejete používat CZ.NIC Otevřené DNSSEC validující resolvery.

Mac OS X 10.6 a novější, MacOS 10.x

  1. Z menu Apple (jablíčko) vyberte Předvolby systému [System Preferences] , pak klikněte na Síť [Network] .
  2. Pokud je ikonka zámku v levém dolním rohu zamknutá, tak na ni klikněte, abyste autorizovali změny. Bude nutné vložit Vaše heslo.
  3. Vyberte připojení, pro které chcete nastavit CZ.NIC resolvery, například: Pro změnu nastavení drátové sítě vyberte v seznamu Ethernet a klikněte na Pokročilé [Advanced]... Pro změnu nastavení bezdrátové sítě vyberte v seznamu Airport a klikněte na Pokročilé [Advanced]...
  4. Vyberte žáložku DNS.
  5. Klikněte na tlačítko + a nahraďte stávající IP adresy IP adresami CZ.NIC resolverů: 193.17.47.1 a 185.43.135.1.
  6. Klikněte na tlačítko OK a následně na tlačítko Použít [Apply].
  7. Otestujte, zda-li Vám nové CZ.NIC resolvery fungují správně – otevřete stránku www.odvr.cz.
  8. Opakujte předchozí kroky pro všechna síťová nastavení, pro která si přejete používat CZ.NIC Otevřené DNSSEC validující resolvery.

Linux (Network Manager)

Pokud Vaše Linuxová distribuce nepoužívá Network Manager, obraťte se na poskytovatele Vaší Linuxové distribuce pro instrukce, jak nakonfigurovat jiné DNS resolvery.

  1. Klikněte pravým tlačítkem na ikonu Network Managera a zvolte Upravit připojení... [Edit connections...]
  2. Vyberte síťové připojení, pro které chcete nastavit CZ.NIC resolvery, například: Pro drátové připojení vyberte panel Wired, vyberte ze seznamu Auto eth0 a klikněte na tlačítko Edit... [ozubené kolečko] Pro bezdrátové připojení vyberte panel Wireless, vyberte ze seznamu Auto -název_připojení- a klikněte na tlačítko Edit... [ozubené kolečko]
  3. Vyberte panel Nastavení IPv4 [IPv4 Settings] a pokud máte v seznamu Metoda [Method] vybránu volbu Automaticky (DHCP) , změňte ji na Pouze automatické adresy (DHCP).
  4. Pokud máte zvolenu volbu Pouze automatické adresy (DHCP) [Automatic (DHCP) addresses only] nebo Ručně [Manual], bude pole DNS servers otevřeno pro editaci. Pokud toto pole již obsahuje IP adresy, poznačte si je, pokud byste v budoucnu chtěli přestat používat CZ.NIC resolvery. Vyplňte do pole DNS servers IP adresy CZ.NIC resolverů: 193.17.47.1 a 185.43.135.1. Jednotlivé IP adresy oddělte čárkou.
  5. Klikněte na tlačítko Uložit [Apply]. Pro provedení změn bude možná nutné zadat Vaše heslo v závislosti na nastavení Vašeho systému.
  6. Zavřete okno pomocí křížku.
  7. Otestujte, zda-li Vám nové CZ.NIC resolvery fungují správně – otevřete stránku www.odvr.cz.
  8. Opakujte předchozí kroky pro všechna síťová nastavení, pro která chcete používat CZ.NIC Otevřené DNSSEC validující resolvery.

Jak zapnout DNS-over-TLS (DoT)

Protokol DoT chrání komunikaci mezi klientem a DNS resolverem pomocí šifrování TLS a naslouchá na portu TCP/853. Pro nastavení DoT můžete využít například stub resolver Stubby. Existují instalační balíčky pro Linux, Windows a macOS.

  1. Nejdříve je potřeba nakonfigurovat Stubby. To provedete v souboru /etc/stubby/stubby.yml na Linuxu nebo C:\Program Files\Stubby\stubby.xml na MS Windows.

  2. Vložte konfiguraci

    resolution_type: GETDNS_RESOLUTION_STUB
    
    dnssec_return_status: GETDNS_EXTENSION_TRUE
    
    dns_transport_list:
      - GETDNS_TRANSPORT_TLS
    
    tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
    
    tls_query_padding_blocksize: 128
    
    edns_client_subnet_private : 1
    
    idle_timeout: 10000
    
    listen_addresses:
      - 127.0.0.1
      -  0::1
    
    round_robin_upstreams: 1
    
    upstream_recursive_servers:
    #IPv4 ODVR
       - address_data: 193.17.47.1
         tls_auth_name: "odvr.nic.cz"
       - address_data: 185.43.135.1
         tls_auth_name: "odvr.nic.cz"
    #IPv6 ODVR
       - address_data: 2001:148f:ffff::1
         tls_auth_name: "odvr.nic.cz"
       - address_data: 2001:148f:fffe::1
         tls_auth_name: "odvr.nic.cz"
    
  3. Spusťte službu stubby

  4. Na Linuxu pomocí systemd - "systemctl start stubby“

  5. Na MS Windows zatím ručně z příkazové řádky - "C:Program FilesStubbystubby.exe -l“, vývojáři v budoucnu slibují spouštění jako služba

  6. Nakonec je potřeba změnit DNS resolvery v nastavení sítě na "127.0.0.1“ nebo "::1“. Jak postupovat naleznete v předcházejících kapitolách.

Následně si můžete ověřit, že skutečně s ODVR komunikujete zabezpečeně, pomocí nástroje tcpdump na Linuxu nebo wireshark na Windows při aktivním filtru "host odvr.nic.cz and port 853“

Jak zapnout DNS-over-HTTPS (DoH)

Protokol DoH stejně jako DoT chrání komunikaci mezi klientem a DNS resolverem pomocí šifrování TLS, v tomto případě však na portu TCP/443. Dalším rozdílem je, že se používá přímo v internetovém prohlížeči a není potřeba instalovat a konfigurovat další služby. Protokol DoH si můžete vyzkoušet ve Firefoxu od verze 62, Chrome od verze 66 nebo Bromite od verze 67.

Nastavení přímo ve Firefoxu je velice jednoduché.

  1. Přejděte do nastavení – tři vodorovné čáry v liště vpravo nahoře, řádek Předvolby, menu ObecnéNastavení sítě (zcela dole), Konfigurovat připojení aplikace Firefox k internetu, tlačítko Nastavení
  2. Zaškrtněte Zapnout DNS přes HTTPS a do pole vlastní vložte "https://odvr.nic.cz/doh“.
  3. Alternativně lze DoH aktivovat i v pokročilém nastavení „about:config“ vyhledáním řetězce „network.trr“.

Následně si můžete ověřit, že skutečně s ODVR komunikujete zabezpečeně, pomocí nástroje tcpdump na Linuxu nebo wireshark na Windows při aktivním filtru "host odvr.nic.cz and port 443“

Mám ODVR nastaveno správně?

Pro ověření, že jste provedli nastavení správně, využijte kontrolu na této stránce. Zkontrolujete zde také, zda nevyužíváte naší staré ODVR instance, kterou plánujeme 20. ledna 2020 vypnout.

Co mi přinese používání CZ.NIC resolverů?

Většina poskytovatelů připojení (a DNS resolverů) neposkytuje DNSSEC validaci na svých serverech. Použitím CZ.NIC ODVR zajistíte, že Vaše DNS dotazy budou validovány pomocí technologie DNSSEC.

Budou všechny mé DNS dotazy zabezpečeny, pokud použiji CZ.NIC resolvery?

Nebudou. Důvody, proč všechny DNS dotazy nebudou zabezpečeny, jsou dva:

  1. Většina doménových jmen není podepsána pomocí technologie DNSSEC. Validace (a tedy kontrola zabezpečení) probíhá pouze u podepsaných doménových jmen.
  2. Většina aplikací (jako je například prohlížeč webových stránek) a stub resolver (součást operačního systému zodpovědná za dotazování do DNS) ve Vašem počítači nerozumí technologii DNSSEC. To znamená, že pokud nepoužijete specializovanou aplikaci, jako je například doplněk DNSSEC Validátor pro prohlížeč Firefox, tak nebudete vědět, zda-li je stránka zabezpečena či nikoliv.

Je používání CZ.NIC resolverů bezpečné?

To záleží na množství faktorů. Pokud váš stub resolver nepoužívá dostatečně náhodné zdrojové porty pro dotazování na CZ.NIC resolver, tak existuje teoretická možnost, že útočník napadne spojení mezi Vaším počítačem a CZ.NIC resolvery.

Jsou zde nějaká omezení?

Překlad doménového jména není možný za předpokladu, pokud se v DNS zóně vyskytuje záznam obsahující privátní IPv4 nebo IPv6 adresu. Konkrétně se jedná o IP adresy z rozsahů:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16
  • 169.254.0.0/16
  • fd00::/8
  • fe80::/10

Chráníme vás tak před útokem DNS rebinding, pomocí nehož může útočník proniknout přes váš webový prohlížeč do lokální sítě.

Jak jsou zabezpečeny mé osobní údaje?

Sdružení CZ.NIC dočasně zpracovává IP adresy zařízení, které používáte, ale nikdy je trvale neukládá do logů. Na serverech sdružení CZ.NIC nejsou tyto IP adresy uloženy déle než několik minut a poté jsou trvale odstraněny. Záznamy síťové komunikace jsou ukládány s anonymizovanými IP adresami. To umožňuje sdružení CZ.NIC zdokonalovat provoz ODVR a provádět DNS výzkum.

Obsah ukládaných vzorků provozu zahrnuje například:
- absolutní čas příchodu paketu
- hlavičky transportních protokolů z transportu použitého k doručení požadavku (UDP, TCP, TLS, HTTPS atd.)
- požadovaný název domény, např. www.nic.cz
- požadovaný typ záznamu, např. A, AAAA, NS, MX, TXT atd.
- příznaky a bity protokolu DNS, např. bit k vypnutí DNSSEC validace, aktivace EDNS atd.
- úplná odpověď zaslaná klientovi, např. SUCCESS, SERVFAIL, NXDOMAIN, IP adresy pro požadovaný název domény (např. IP adresa www.nic.cz) atd.
- celkový čas potřebný ke zpracování žádosti od začátku do konce

Zpracování osobních údajů se u této služby řídí platnými Zásadami zpracování osobních údajů.

Ale otevřené DNS resolvery jsou špatné...

U otevřených DNS resolverů, které nejsou pod kontrolou svého správce, hrozí nebezpečí, že budou zneužity pro distribuovaný útok typu DoS. Otevřené DNSSEC validující resolvery CZ.NIC jsou nakonfigurovány tak, aby bylo velmi těžké je zneužít pro DDoS útok na servery třetích stran. Jako dodatečná ochrana jsou servery monitoroványa kontrolní mechanismy upozorní na veškerou neobvyklou aktivitu; ta je následně vyhodnocena a v případě potřeby budou přijata dodatečná opatření.