DNS64 v české zóně

Systém doménových jmen (DNS) se pomalu vzpamatovává z výměny root klíče pro DNSSEC. V době psaní tohoto článku, nejsou známy žádné významné problémy, které by tato změna způsobila. To je i pro naši českou národní doménu velmi dobře, protože každou druhou doménu máme DNSSECem zabezpečenou. Situace je horší se zaváděním IPv6 (jedná se o celosvětový problém, viz přednáška Geoffa Hustona Is IPv6 only for the Rich? na letošním RIPE 76).

DNS64

Nicméně, zkusme si na chvíli představit, že chceme mít určité služby a nebo dokonce celou kancelář IPv6-only. Motivací může být několik, i když v současné době pravděpodobně nejsou příliš silné:

  • nechceme si připlácet za IPv4 adresy,
  • nechceme konfigurovat jak IPv4 tak IPv6, protože tím roste složitost a náchylnost k chybám,
  • budujeme interní infrastrukturu, kde může být výhodné mít spíše filtrovanou IPv6 než IPv4 NATované rozsahy,
  • chceme otestovat, kde všude nám chybí IPv6 a nebo kde je špatně nakonfigurovaná.

V průběhu budování takové IPv6-only sítě pravděpodobně zjistíme, že existuje určité (dle konkrétních požadavků různě velké) množství služeb, které protokol IPv6 neimplementují. Možných řešení je několik:

  • DNS64+NAT64
  • 464XLAT
  • HTTP a HTTPS proxy

Nás z hlediska DNSSECu bude zajímat právě první možnost a to konkrétně její část DNS64. Ta má na starosti DNS překlad pro záznamy, které mají pouze IPv4 adresu. V tomto případě DNS64 vytváří neexistující IPv6 záznam využívající NAT64, který se již postará o zbytek překladu pro konkrétní IPv4-only službu. DNS64 samozřejmě nemá možnost doplnit chybějící DNSSEC podpisy a proto tyto záznamy budou nevalidní.

DNS64-nekompatibilní domény

Přechodový mechanismus DNS64+NAT64 tedy není možné použít pro domény, které jsou zabezpečeny DNSSECem. Před dvěma lety napsala Jen Linkova článek Let’s talk about IPv6 DNS64 & DNSSEC, kde analyzovala, kolik takovýchto nekompatibilních domén je v prvním milionu světově nejčastěji navštěvovaných doménách (podle serveru Alexa).

Za dva roky se ovšem mohlo hodně změnit a proto jsem analýzu v srpnu 2018 opakoval a zároveň připojil analýzu pro naší TLD .CZ.

Alexa 1M 2016 * Alexa 1M 2018 .CZ 2018
Počet domén 1 000 000 1 000 000 1 294 217
IPv6 5.7 % 18.0 % 30.2 %
DNSSEC 1.7 % 6.1 % 52.6 %
IPv4-only 94.3 % 79.5 % 63.1 %
DNS64-nekompatibilní 1.3 % 1.5 % 34.0 %

* Pro rok 2016 vycházím ze statistiky Jen Linkové.

Závěr

Z dat a grafu je patrné, že počet domén zabezpečených DNSSECem a domén, které podporují protokol IPv6 roste podobně, i když DNSSEC se zavádí malinko rychleji a proto mírně roste i počet DNS64-nekompatibilních domén. Pro naši národní doménu, ale platí, že zavádění DNSSECu výrazně předbíhá zavádění IPv6 a tedy každá třetí doména s koncovkou .CZ není kompatibilní s přechodovým mechanismem DNS64.

To neznamená, že bychom měli na DNSSEC zanevřít, ale spíše nás to může motivovat k větší snaze o implementaci protokolu IPv6 a nebo k výběru jiného přechodového mechanismu než je NAT64+DNS64.

Autor:

Komentáře (1)

  1. Vláďa říká:

    Na straně sítě to lze „řešit“ tak, že DNS64 substituci dělá až poslední validující resolver. Chápu ale že to nemusí být praktické, zvlášť pokud chceme validaci dostávat i co nejblíže ke klientům (třeba přímo do nich).

Napsat komentář: Vláďa Zrušit odpověď na komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..