DNS rebinding
Naše otevřené DNSSEC validující resolvery měly od začátku provozu (tedy i v době, kdy ještě běžely na DNS resolveru Unbound) nastavenu ochranu proti DNS Rebindingu. Toto nastavení jsme zachovali i při spuštění nového ODVR anycastu postaveného již na našem Knot Resolveru.
V praxi taková ochrana funguje tak, že pokud se v DNS zóně vyskytují A/AAAA záznamy s IP adresami z privátních rozsahů, resolver zablokuje doménový překlad. Uživateli se vrátí odpověď se stavem „REFUSED“ a v textové formě pak hlášení „blocked by DNS rebinding protection“.
O filtrování privátních rozsahů na veřejném DNS jsme v době spouštění ODVR moc neváhali. Nebyl rozumný důvod, proč by se měly privátní adresy v těchto zónách objevovat. Jenomže vše se vyvíjí a DNS nezůstává pozadu. Ukazuje se, a zpětná vazba uživatelů ODVR to jen potvrzuje, že pro některé účely překládat privátní adresy smysl má. Níže uvádím několik příkladů, které potřebu ochrany proti DNS rebindingu na ODVR oslabují:
- filtrování e-mailů založené na DNSBL. Jedná se o jednu z účinných metod, jak ještě před přijetím e-mailu zjistit, že příchozí e-mail je s největší pravděpodobností spam. DNSBL servery pracují s privátními adresami a zapnutá ochrana proti DNS rebindingu je v podstatě blokuje
- doménové záznamy, které jsou záměrně směrovány na privátní rozsahy v interní síti, v domácnostech či menších sítích, kde nemá smysl nastavovat a udržovat další DNS služby. Typickým příkladem mohou být různé interní webové služby nebo vývojová prostředí.
- smysluplnou konfiguraci ochrany proti DNS Rebindingu stejně není možné univerzálně nakonfigurovat, protože někteří uživatelé potřebují IP adresy z rozsahu 172.16.*.*, jiní z 192.168.1.* apod.
- Google, Cloudflare a velká část poskytovatelů připojení má na svých DNS resolverech tuto ochranu standardně vypnutou, což uživatele ODVR může mást
Na základě výše uvedeného jsme se shodli, že ochranu DNS Rebinding na celém ODVR anycastu k dnešnímu dni zcela vypneme.
DoH
Přibližně před rokem jsme na novém ODVR anycastu zprovoznili i DNS-over-HTTPs. Jelikož šlo poměrně o novou implementaci, rozhodli jsme se, že tento protokol budeme zatím zkušebně provozovat pouze na jedné z IP adresy ODVR anycastu, konkrétně na 185.43.135.1/2001:148f:fffe::1, abychom získali zkušenosti s jeho podporou. Spolu s kolegy z týmu Knot Resolveru jsme implementaci postupně odladili, a tak jsme se rozhodli, že spustíme protokol DoH i na druhé anycastové IP adrese 193.17.47.1/2001:148f:ffff::1 a to také k dnešnímu dni.
Věřím, že vypnutím DNS Rebindingu si naše veřejné resolvery najdou zase další spokojené uživatele.