Již déle než půl roku provozuje CSIRT.CZ svou druhou komerční službu. Zatímco služba penetrační testování je tu již s námi několik let, službu Deny listy jsme uvedli v červnu 2024.
Novinky v Knot Resolver 6: ochrana před DoS útoky – technické řešení
V předchozím článku této série jsme si z vysokoúrovňového pohledu nastínili, jak Knot Resolver 6 a Knot DNS 3.4 chrání samy sebe i ostatní účastníky na internetu proti útokům typu denial-of-service. Pojďme se nyní zblízka podívat na implementaci takovéto ochrany a popsat si, jak vypadá její skutečné technické řešení.
Obnovení technických kontrol sad nameserverů
Naším dlouhodobým cílem je péče o bezpečnost a stabilitu provozu domén .CZ. Jedním ze základních stavebních kamenů pro to je správně nastavený systém DNS, což však není zcela triviální záležitost a rozhodně to nemusí být jednoduché pro běžné uživatele online služeb. Proto existují správci DNS, kteří se o nastavení DNS starají, ale i těm může být ku prospěchu, pokud jsou jimi udržované nameservery pravidelně kontrolovány. A právě proto jsme dnes obnovili nové technické kontroly sad nameserverů pro domény .CZ.
Novinky v Knot Resolver 6: ochrana před DoS útoky – přehled pro operátory
V týmu vyvíjejícím škálovatelný kešující DNS resolver, Knot Resolver, v současné době pracujeme na komplexním řešení pro ochranu DNS serverů a ostatních uživatelů internetu před útoky typu denial-of-service (DoS). Tento vývoj je součástí projektu DNS4EU, kofinancovaného Evropskou unií1, jehož jsme hrdou součástí.
K dosažení tohoto cíle do Knot Resolveru přidáváme dva nové mechanismy:
Novinky v Knot Resolver 6.x
V tomto příspěvku bych rád představil nadcházející hlavní verzi projektu Knot Resolver, která je v tuto chvíli ve fázi testování a ladění a proto velmi oceníme, když si ji vyzkoušíte a poskytnete nám k ní jakoukoliv zpětnou vazbu.
RFC 9432: DNS Katalogové zóny
DNS zónu obvykle obsluhuje více autoritativních serverů, což je dokonce doporučeno z důvodu redundance. Velcí provozovatelé autoritativního DNS dokonce kombinují různé implementace name serverů, aby se vyhnuli úplnému výpadku infrastruktury v případě nějaké softwarové chyby. Pro synchronizaci obsahu zóny mezi autoritativními servery existuje pro DNS specifický mechanismus, který se nazývá transfer zóny. Je to osvědčený mechanismus, který podporují všechny běžné implementace DNS. Umožňuje jak transfer celé zóny (AXFR), tak inkrementální update (IXFR).
RFC 9432: DNS Katalogové zóny
DNS zónu obvykle obsluhuje více autoritativních serverů, což je dokonce doporučeno z důvodu redundance. Velcí provozovatelé autoritativního DNS dokonce kombinují různé implementace name serverů, aby se vyhnuli úplnému výpadku infrastruktury v případě nějaké softwarové chyby. Pro synchronizaci obsahu zóny mezi autoritativními servery existuje pro DNS specifický mechanismus, který se nazývá transfer zóny. Je to osvědčený mechanismus, který podporují všechny běžné implementace DNS. Umožňuje jak transfer celé zóny (AXFR), tak inkrementální update (IXFR).
Krátké vlny: Jednotná doména gov.cz jako součást velkého projektu státu
Stát připravil záměr migrace na jednotnou doménu a vytvoření jednotné vizuální identity ústředních orgánů státní správy. Materiál je nyní v meziresortu a jak podotknul na Twitteru Jakub Onderka, jedná se o třetí pokus vytvoření systému jednotné domény „.gov.cz“ v průběhu posledních 20 let. Nicméně doba pokročila a jednotná doména už není jen otázkou vizuálu, „aby to hezky vypadalo na státních vizitkách“ a přívětivosti pro občany, ale zejména snahou o zvýšení kybernetické bezpečnosti a právní jistoty uživatelů služeb státu.
Knot DNS – DNSSEC (2)
V předchozím dílu jsme si představili základy fungování a provozu DNSSEC na serveru Knot DNS. Dnes navážeme popisem některých dalších funkcí tohoto serveru, které s DNSSEC souvisí.
Nejčtenější články blogu CZ.NIC v roce 2021 aneb Co vás zajímalo nejvíce
Už několik let se na začátku ledna ohlížíme zpět, abychom si připomněli čtenářsky nejúspěšnější příspěvky našeho blogu za uplynulý rok. V roce 2021 vyšlo šedesát článků a mezi nejvyhledávanější patřily ty, které se věnovaly projektům mojeID a Turris, dále on-line bezpečnosti dětí na Internetu, programování nebo systému DNS. Přesněji se jednalo o následujících deset blogpostů: