Otevřené DNSSEC Validující Resolvery

Co jsou to CZ.NIC ODVR?

CZ.NIC ODVR jsou Otevřené DNSSEC Validující Resolvery, které jsou volně k využití místo standardních DNS resolverů, nabízených Vaším poskytovatelem připojení.

Co je to DNS a DNSSEC?

Pro více informací navštivte samostatné články O doménách a DNS a O DNSSEC.

Jak zapnout CZ.NIC resolvery?

V konfiguraci síťového připojení nakonfigurujte resolvery s IP adresami 193.17.47.1 a 185.43.135.1, pokud vaše síťové připojení funguje i přes protokol IPv6 můžete použít i IPv6 adresy 2001:148f:ffff::1 a 2001:148f:fffe::1.

Microsoft Windows 11

Je zapotřebí změnit nastavení u konkrétního síťového připojení.

  1. Otevřete Ovládací panely.
  2. Klikněte na Síť a internet.
  3. Klikněte na Centrum síťových připojení a sdílení.
  4. Klikněte na Změnit nastavení adaptéru.
  5. Pravým tlačítkem myši klikněte na připojení, pro které chcete nastavit CZ.NIC resolvery a vyberte Vlastnosti.
  6. V záložce Sítě jděte do tabulky Toto připojení používá následující položky:
  7. Vyberte Protokol IP verze 4 (TCP/IPv4) a klikněte na Vlastnosti.
  8. Klikněte na Upřesnit a přejděte do záložky DNS. Pokud jsou v seznamu vypsané IP adresy DNS serverů, uložte si je stranou (pro případ, že byste v budoucnu chtěli přestat používat CZ.NIC resolvery) a následně je smažte.
  9. Klikněte na OK.
  10. Zvolte Použít následující adresy serverů DNS. Pokud jsou v polích Upřednostňovaný server DNS a Alternativní server DNS vypsané IP adresy, uložte si je stranou a následně je nahraďte IP adresami CZ.NIC resolverů:
    • 193.17.47.1, 185.43.135.1
  11. Klikněte na OK.
  12. Vyberte Protokol IP verze 6 (TCP/IPv6) a klikněte na Vlastnosti. Proveďte stejné kroky, jako v bodech 8 až 10. Použijte následující IP adresy:
    • 2001:148f:ffff::1, 2001:148f:fffe::1
  13. Klikněte na OK.
  14. Opět klikněte na OK.
  15. Opakujte kroky od bodu 5 pro všechna připojení, u kterých chcete používat CZ.NIC resolvery.

mac OS

  1. Z menu Apple (jablíčko) vyberte Předvolby systému, poté klikněte na Síť .
  2. Pokud je ikonka zámku v levém dolním rohu zamknutá, klikněte na ni, abyste autorizovali změny. Bude nutné zadat Vaše heslo.
  3. Vyberte připojení, pro které chcete nastavit CZ.NIC resolvery a klikněte na Pokročilé.
  4. Vyberte záložku DNS.
  5. Pokud jsou v seznamu vypsané IP adresy, uložte si je stranou pro případ, že byste v budoucnu chtěli přestat používat CZ.NIC resolvery.
  6. Klikněte na tlačítko + a nahraďte stávající IP adresy IP adresami CZ.NIC resolverů:
    • IPv4 adresy: 193.17.47.1, 185.43.135.1
    • IPv6 adresy: 2001:148f:ffff::1, 2001:148f:fffe::1
  7. Klikněte na tlačítko OK a následně na tlačítko Použít.
  8. Otestujte, zda-li Vám CZ.NIC resolvery fungují správně – viz test níže.
  9. Opakujte předchozí kroky pro všechna síťová nastavení, pro která si přejete používat CZ.NIC Otevřené DNSSEC validující resolvery.

Linux (Ubuntu 24 LTS)

Pokud Vaše Linuxová distribuce nepoužívá Network Manager, obraťte se na poskytovatele Vaší Linuxové distribuce pro instrukce, jak nakonfigurovat jiné DNS resolvery.

  1. Spusťte Rozšířená nastavení sítě (případně Network Manager).
  2. Vyberte síťové připojení, pro které chcete nastavit CZ.NIC resolvery.
    • Pro drátové připojení zvolte v sekci Ethernet používané připojení (např. Drátové připojení 1).
    • Pro bezdrátové připojení zvolte v sekci Wi-Fi používanou bezdrátovou síť.
  3. Klikněte na Upravit zvolené připojení (ozubené kolečko).
  4. Záložka Nastavení IPv4:
    • Metoda: Pouze automatické adresy (DHCP). Pokud již máte nastaveno Pouze automatické adresy (DHCP) a pole Servery DNS obsahuje IP adresy, poznačte si je, pokud byste v budoucnu chtěli přestat používat CZ.NIC resolvery.
    • Servery DNS: 193.17.47.1, 185.43.135.1 (položky oddělujte čárkou)
  5. Záložka Nastavení IPv6:
    • Metoda: Automaticky, pouze adresy. Pokud již máte nastaveno Automaticky, pouze adresy a pole Servery DNS obsahuje IP adresy, poznačte si je, pokud byste v budoucnu chtěli přestat používat CZ.NIC resolvery.
    • Servery DNS: 2001:148f:ffff::1, 2001:148f:fffe::1 (položky oddělujte čárkou).
  6. Klikněte na tlačítko Uložit (v závislosti na Vašem systému bude možná nutné pro provedení změn zadat heslo) a zavřete okno.
  7. Otestujte, zda-li Vám CZ.NIC resolvery fungují správně – viz test níže.
  8. Opakujte předchozí kroky pro všechna síťová nastavení, pro která chcete používat CZ.NIC Otevřené DNSSEC validující resolvery.

Jak zapnout DNS-over-TLS (DoT)

Protokol DoT chrání komunikaci mezi klientem a DNS resolverem pomocí šifrování TLS a naslouchá na portu TCP/853. Pro nastavení DoT můžete využít například stub resolver Stubby. Existují instalační balíčky pro Linux, Windows a macOS.

  1. Nejdříve je potřeba nakonfigurovat Stubby. To provedete v souboru /etc/stubby/stubby.yml na Linuxu nebo C:\Program Files\Stubby\stubby.xml na MS Windows.

  2. Vložte konfiguraci 

    resolution_type: GETDNS_RESOLUTION_STUB

dnssec_return_status: GETDNS_EXTENSION_TRUE

dns_transport_list:
  - GETDNS_TRANSPORT_TLS

tls_authentication: GETDNS_AUTHENTICATION_REQUIRED

tls_query_padding_blocksize: 128

edns_client_subnet_private : 1

idle_timeout: 10000

listen_addresses:
  - 127.0.0.1
  -  0::1

round_robin_upstreams: 1

upstream_recursive_servers:
#IPv4 ODVR
   - address_data: 193.17.47.1
     tls_auth_name: "odvr.nic.cz"
   - address_data: 185.43.135.1
     tls_auth_name: "odvr.nic.cz"
#IPv6 ODVR
   - address_data: 2001:148f:ffff::1
     tls_auth_name: "odvr.nic.cz"
   - address_data: 2001:148f:fffe::1
     tls_auth_name: "odvr.nic.cz"

  3. Spusťte službu stubby

  4. Na Linuxu pomocí systemd - "systemctl start stubby“

  5. Na MS Windows zatím ručně z příkazové řádky - "C:Program FilesStubbystubby.exe -l“, vývojáři v budoucnu slibují spouštění jako služba

  6. Nakonec je potřeba změnit DNS resolvery v nastavení sítě na "127.0.0.1“ nebo "::1“. Jak postupovat naleznete v předcházejících kapitolách.

Následně si můžete ověřit, že skutečně s ODVR komunikujete zabezpečeně, pomocí nástroje tcpdump na Linuxu nebo wireshark na Windows při aktivním filtru "host odvr.nic.cz and port 853“

Jak zapnout DNS-over-HTTPS (DoH)

Protokol DoH stejně jako DoT chrání komunikaci mezi klientem a DNS resolverem pomocí šifrování TLS, v tomto případě však na portu TCP/443. Dalším rozdílem je, že se používá přímo v internetovém prohlížeči a není potřeba instalovat a konfigurovat další služby.

Nastavení ve Firefoxu:

  1. Přejděte do Nastavení (tři vodorovné čáry v liště vpravo nahoře).
  2. Zvolte Soukromí a zabezpečení.
  3. Přejděte do sekce DNS over HTTPS.
  4. Vyberte možnost Maximální ochrana.
  5. Ve výběru poskytovatele zvolte Vlastní a nastavte: https://odvr.nic.cz/

Nastavení v Chrome:

  1. Přejděte do Nastavení (tři tečky v liště vpravo nahoře).
  2. Zvolte Ochrana soukromí a zabezpečení.
  3. Vyberte možnost Zabezpečení.
  4. Přejděte do sekce Rozšířená nastavení.
  5. Zapněte volbu Používat zabezpečené DNS.
  6. V poli Vybrat poskytovatele DNS zvolte CZ.NIC ODVR.
ODVR Chrome with DoH

Zkráceně lze do tohoto nastavení přejít pomocí zadání chrome://settings/security do příkazového řádku prohlížeče.

Následně si můžete ověřit, že skutečně s ODVR komunikujete zabezpečeně, pomocí nástroje tcpdump na Linuxu nebo wireshark na Windows při aktivním filtru "host odvr.nic.cz and port 443“

DNS-over-HTTPS podporuje pouze protokol HTTP/2.

Mám ODVR nastaveno správně?

Pro ověření, že jste provedli nastavení správně, využijte test níže.

Co mi přinese používání CZ.NIC resolverů?

Většina poskytovatelů připojení (a DNS resolverů) neposkytuje DNSSEC validaci na svých serverech. Použitím CZ.NIC ODVR zajistíte, že Vaše DNS dotazy budou validovány pomocí technologie DNSSEC.

Budou všechny mé DNS dotazy zabezpečeny, pokud použiji CZ.NIC resolvery?

Nebudou. Důvody, proč všechny DNS dotazy nebudou zabezpečeny, jsou dva:

  1. Většina doménových jmen není podepsána pomocí technologie DNSSEC. Validace (a tedy kontrola zabezpečení) probíhá pouze u podepsaných doménových jmen.
  2. Většina aplikací (jako je například prohlížeč webových stránek) a stub resolver (součást operačního systému zodpovědná za dotazování do DNS) ve Vašem počítači nerozumí technologii DNSSEC. To znamená, že pokud nepoužijete specializovanou aplikaci, jako je například doplněk DNSSEC Validátor pro prohlížeč Firefox, tak nebudete vědět, zda-li je stránka zabezpečena či nikoliv.

Je používání CZ.NIC resolverů bezpečné?

To záleží na množství faktorů. Pokud váš stub resolver nepoužívá dostatečně náhodné zdrojové porty pro dotazování na CZ.NIC resolver, tak existuje teoretická možnost, že útočník napadne spojení mezi Vaším počítačem a CZ.NIC resolvery.

Jak jsou zabezpečeny mé osobní údaje?

Sdružení CZ.NIC dočasně zpracovává IP adresy zařízení, které používáte, ale nikdy je trvale neukládá do logů. Na serverech sdružení CZ.NIC nejsou tyto IP adresy uloženy déle než několik minut a poté jsou trvale odstraněny. Záznamy síťové komunikace jsou ukládány s anonymizovanými IP adresami. To umožňuje sdružení CZ.NIC zdokonalovat provoz ODVR a provádět DNS výzkum.

Obsah ukládaných vzorků provozu zahrnuje například:
- absolutní čas příchodu paketu
- hlavičky transportních protokolů z transportu použitého k doručení požadavku (UDP, TCP, TLS, HTTPS atd.)
- požadovaný název domény, např. www.nic.cz
- požadovaný typ záznamu, např. A, AAAA, NS, MX, TXT atd.
- příznaky a bity protokolu DNS, např. bit k vypnutí DNSSEC validace, aktivace EDNS atd.
- úplná odpověď zaslaná klientovi, např. SUCCESS, SERVFAIL, NXDOMAIN, IP adresy pro požadovaný název domény (např. IP adresa www.nic.cz) atd.
- celkový čas potřebný ke zpracování žádosti od začátku do konce

Zpracování osobních údajů se u této služby řídí platnými Zásadami zpracování osobních údajů.

Ale otevřené DNS resolvery jsou špatné...

U otevřených DNS resolverů, které nejsou pod kontrolou svého správce, hrozí nebezpečí, že budou zneužity pro distribuovaný útok typu DoS. Otevřené DNSSEC validující resolvery CZ.NIC jsou nakonfigurovány tak, aby bylo velmi těžké je zneužít pro DDoS útok na servery třetích stran. Jako dodatečná ochrana jsou servery monitorovány a kontrolní mechanismy upozorní na veškerou neobvyklou aktivitu; ta je následně vyhodnocena a v případě potřeby budou přijata dodatečná opatření.

Test na využívání resolverů

Upozornění: Vzhledem k povaze testu může jeho průběh zabrat i několik desítek vteřin.

Opakované spouštění testů může dávat (díky DNS cache prohlížeče nebo systému) stejné výsledky i přes změny v nastavení v systému nebo routeru. Zkuste proto test opakovat z jiného prohlížeče nebo po delší době.