Průzkum: Jak nastavujete DNS resolvery?

DNS resolvery neustále přidávají nové funkce, aniž by odstraňovaly ty staré. Tento trend však nemůže pokračovat donekonečna, protože by se software nakonec zhroutil pod vlastní vahou. Které funkce jsou v praxi využívány a které je možné odebrat? Předkládáme předběžné výsledky průzkumu mezi správci DNS resolverů a také zveme čtenáře, aby se zapojili do průzkumu napříč výrobci, který běží do 30. června 2020.

NXNSAttack: aktualizujte své resolvery a zastavte nový druh útoku náhodnými dotazy

Tento článek popisuje NXNSAttack, nově objevenou zranitelnost protokolu DNS, která postihuje většinu rekurzivních DNS resolverů. Umožňuje provádět útok dotazováním na náhodné subdomény (random subdomain attack) pomocí delegačního mechanismu DNS, což vede k vysokému zesílení počtu paketů od útočníka směrem k oběti.

Chyba v implementaci DNSSEC v BIG-IP load-balancerech od F5

Při vývoji DNS resolveru Knot Resolver se Laboratořím CZ.NIC podařilo odhalit bezpečnostní chybu, která umožňuje obejít zabezpečení DNSSEC na load-balancerech výrobce F5 a způsobit tak nedostupnost služby. Tyto výrobky jsou nasazeny například na některých internetových bankovních aplikacích i českých bank a úřadů. Z pohledu uživatele se úspěšný útok pomocí této chyby projeví např. tak, že prohlížeč při práci s internetovým bankovnictvím náhle zahlásí chybu „adresu nelze nalézt“ a služba přestane být dostupná.

Knot Resolver & soukromí

Na apríla firma Cloudflare zcela vážně oznámila světu novinku, že vstupuje na trh rekurzivních DNS serverů a začíná tak konkurovat Google Public DNS. Velmi náš těší, že Cloudflare se rozhodl nasadit právě náš Knot Resolver, který v CZ.NIC vyvíjíme od roku 2014. Text veřejného oznámení velmi stručně vyjmenovává funkce Knot Resolveru, které Cloudflare nabízí veřejnosti.

Společně za zlepšení stability, rychlosti a další rozšiřitelnosti DNS ekosystému

V minulosti se výrobci DNS softwaru pokoušeli řešit problémy s interoperabilitou DNS protokolu a jeho rozšíření zvaného EDNS (standard RFC 6891) tak, že do svého software dočasně přidávali schopnost přijmout různé nestandardní chování. Bohužel se ukázalo, že tento přístup, tedy přidáváním dočasných „náplastí na problémy“ není dlouhodobě udržitelný, a to především proto, že implementace, které plně nerespektují standardy, zdánlivě fungují a není tedy důvod pouštět se do jejich plnohodnotných oprav. Výsledkem těchto polovičatých řešení je jejich hromadění a ukládání v DNS softwaru, což vede k situaci, kdy je jich už tolik, že samy o sobě začaly způsobovat problémy. Tím nejviditelnějším problémem je pomalejší odpovídání na DNS dotazy a nemožnost nasadit novou funkcionalitu DNS protokolu zvanou DNS Cookies, která by pomohla omezit DDoS útoky založené na zneužití DNS protokolu.

Co má společného Postel, IETF a dnešní Internet

Ve dnech 16. – 21. července 2017 se v Praze bude konat konference IETF 99. O tom, co IETF je a jak funguje, už dřív česky psal můj kolega Ondřej Surý ve svých článcích Cesta do hlubin IETFOdkud pochází Internetové standardy (aneb bylo jednou jedno RFC) nebo Vrána k vráně sedá aneb koťátka, dogy a nápoje v IETF. Ladislav Lhotka zase trefně popsal její neobvyklou geekovskou atmosféru. Proto stačí uvést, že IETF je organizace vydávající internetové standardy. Jejím cílem je vytvářet kvalitní technickou dokumentaci, která ovlivňuje vývoj Internetu a aplikací přes něj provozovaných.