Americký úřad NTIA (obdoba našeho ČTÚ), podobně jako minulý rok při rozhodování zda-li podepsat či nepodepsat kořenovou zónu, vyzval veřejnost, aby komentovali finální zprávu o testování podpisu kořenové zóny.
Tato zpráva byla připravena organizací ICANN a společností VeriSign, tedy hlavními autory současného systému podpisu kořenové zóny, který byl testován. Dokument shrnuje závěry z testování a konstatuje, že při testování nebyly identifikovány žádné škodlivé jevy, které by bránily nasazení systému do produkce. Na základě toho doporučuje pokračovat v implementaci a žádá úřad NTIA o autorizaci.
Rád bych uvedl pár zajímavostí ze zprávy, především v bodech, kde nebyl nahlášen úplný úspěch:
- Kořenové nameservery sbíraly data z tzv. priming dotazů. Toho sběru dat se nezúčastnil server B.
- V určitých časových okamžicích probíhal sběr veškerého provozu na kořenové nameservery. Plný sběr dat ze všech nameserverů se povedl pouze u posledních dvou časových oken.
- Proces testování SKR (Signed Key Response – ruční schvalování klíčů) pověřenou osobou z NTIA nebyl dokončen. V průběhu implementace došlo k zesílení bezpečnosti a pověřená osoba bude SKR autorizovat přihlášením přes certifikát na kartě. Tento proces byl pouze vyzkoušen technickým týmem Verisignu.
- Nebylo otestováno porušení tzv. tamper pojistky v HSM (Hardware Security Module). Panuje dostatečná důvěra, že tyto testy byly provedeny při certifikaci FIPS 140. Porušením tamper pojistky dochází ke znehodnocení materiálu uvnitř HSM, případně celého HSM.
- V době publikace této zprávy nebylo dokončeno testování změny DS záznamů. Panuje však shoda, že změna DS záznamů není odlišná od změny jiných záznamů v kořenové zóně a tudíž bude testování úspěšné.
Rád bych na tomto místě a tomto blogu zdůraznil, že celý tým, který měl na starosti odvedl výbornou práci a rád bych tímto poděkoval následujícím lidem:
Joe Abley (ICANN), Mehmet Akcin (ICANN), David Blacka (VeriSign), David Conrad (ICANN), Richard Lamb (ICANN/IANA), Matt Larson (VeriSign), Fredrik Ljunggren (Kirei AB), Dave Knight (ICANN), Tomofumi Okubo (Verisign), Jakob Schlyter (Kirei AB), Duane Wessels (Verisign)
V tuto chvíli zbývá ke spuštění podpisu kořenové zóny už jen pár krůčků. Jedním z nich je vygenerování KSK klíčů, které proběhne příští týden ve středu 16. června 2010 na východním pobřeží (Culpeper, VA). Druhá KSK ceremonie se bude konat 12. července 2010 na západním pobřeží (El Segundo, CA). Následně musí proběhnout oficiální předání DS klíčů mezi TLD operátory a ICANN/IANA. Tento krok bude zatím neviditelný, ale bude zapotřebí, aby ve chvíli spuštění podepsané kořenové zóny do ostrého provozu již kořenová zóna již tyto DS záznamy obsahovala.
Posledním nejdůležitějším krokem bude publikace validních klíčů a správných podpisů, tedy ostré spuštění do produkčního provozu. Tento krok by se měl stát 15. července 2010. A i když mám plnou důvěru k tomu, že vše klapne naprosto hladce, tak stejně držte palce. Jedná se o nejdůležitější změnu v historii v systému DNS od jeho vzniku.
Ondřej Surý
P.S.: Dovolím si na závěr ještě jedno upozornění. Kořenová zóna bude používat algoritmus RSA-SHA256, který je podporován pouze v novějších verzích DNS serveru Bind. Konkrétně 9.6.2-P1 nebo vyšší (nicméně doporučuji nejnovější 9.6-ESV-R1), nebo 9.7.0-P2 (nebo vyšší, v tuto chvíli je již dostupná verze 9.7.1rc1 – tedy kandidát na vydání).
Vládní aktivity v oblasti kybernetické bezpečnosti
Vláda na svém zasedání v předposledním květnovém týdnu, na základě návrhu Ministerstva vnitra, zřídila Meziresortní koordinační radu pro oblast kybernetické bezpečnosti a schválila její statut.
Podle oficiální zprávy, která byla k návrhu statutu vydána, má být zřízení koordinační rady nástrojem pro podporu výkonu koordinační role Ministerstva vnitra v oblasti kybernetické bezpečnosti, která vyžaduje součinnost dalších ústředních orgánů státní správy a dalších subjektů. Jednání rady, jejíž první setkání se má uskutečnit relativně velmi brzy, nejpozději do konce srpna, se budou účastnit nejen Ministerstvo vnitra, ale také zástupci policie, Ministerstva obrany, zahraničních věcí, financí, průmyslu a obchodu, dopravy, ale i BIS, České národní banky a pochopitelně ČTÚ. Přizváni mohou být také externí odborníci.
Zřízení této rady je součástí širšího zájmu státu o kybernetickou bezpečnost, a bylo schváleno vládou už v březnu tohoto roku. Do poloviny prosince by pak MV mělo vládě předložit strategii pro oblast kybernetické bezpečnosti a co je důležité, nejpozději do konce tohoto roku zahájit zajišťování provozu vládního (národního) pracoviště CSIRT. Modelové pracoviště již od r. 2008, v rámci grantu MV, obsluhují pracovníci sdružení CESNET. Sdružení CZ.NIC, které provozuje CSIRT tým zodpovědný za řešení incidentů v rámci AS25192 a incidentů dotýkajících se nameserverů pro domény .cz a ENUM, se aktivně účastní pracovních setkání, které se provozu národního CSIRTu týkají.
Zuzana Durajová
A zase o dva méně
Pozorní lidé si možná všimli, že počitadlo na stránkách Geoffa Hustona ukazuje, že volný adresní prostor se zmenšil o další procentní bod. Ještě včera ukazovalo 7 % a dnes je to již jen 6 %. Důvod je poměrně jednoduchý. Zhruba před měsícem jsem referoval, že dva velké adresní bloky byly přiděleny evropskému RIPE NCC a včera naopak dva velké bloky 177.0.0.0/8 a 181.0.0.0/8 (dohromady cca 33 miliónů adres) putovaly k LACNICu do Latinské Ameriky. Takovýchto volných bloků už je jenom 16, tedy pouze zhruba tři na každý geografický region. A to jak vidno mnoho není, počitadlo nám dnes říká, že lidé, kteří v IANA přidělují IPv4 adresy nebudou mít na konci příštích prázdnin co na práci.
Ondřej Filip
O IPv6 ze všech úhlů pohledu
Přesně za týden to bude rok, kdy česká vláda vydala usnesení číslo 727. O tomto důležitém dokumentu informoval kolega Ondřej Filip na tomto blogu několik dnů po jeho schválení. Já se k němu v tuto chvíli vracím především proto, že přesně 8. června, tedy v den jeho prvního výročí, proběhne druhý den konference Internet a Technologie 10. Že vám toto spojení nedává smysl? Bez dalších informací ani nemůže.
Na 8. června jsme totiž do programu naší konference zařadili dva bloky věnované IPv6. Tomuto tématu jsme se tentokrát rozhodli věnovat nejvíce a to z několika důvodů. Jedním z nich je třeba ono zmíněné výročí, druhým, podstatně důležitějším důvodem je fakt, že konec IPv4 se podle všeho opravdu blíží; počítadla už nějaký ten pátek ukazují konstantní datum, kdy k vyčerpání bloků IP adres verze čtyři s největší pravděpodobnosti skutečně dojde.
V rámci všech konferencí Internet a Technologie (IT 08 a IT 09) jsme se IPv4 a IPv6 dotkli minimálně jedním příspěvkem. Letos je to hned příspěvků několik, přičemž jedním z nich je také panelová diskuse se zástupci všech zainteresovaných společností a institucí, jichž se přechod na IPv6 výrazně týká. Mezi panelisty bude vedle zástupce ISP, poskytovatele internetového obsahu nebo výrobce hardwaru také zástupce státu, konkrétně Ministerstva průmyslu a obchodu České republiky, kterého se na průběh zavádění IPv6 v rámci státní správy můžete zeptat.
Vilém Sládek
Další ocenění pro CZ.NIC
Snad mi laskaví čtenáři toho blogu odpustí, když si dovolím nás trochu pochválit. Po nedávném vyznamenání za projekt BIRD jsme totiž byli oceněni i za naši práci v oblasti DNSSEC. Než se ale dostanu k věci, dovolte mi trochu teorie. Nedávno proběhl finální výběr kandidátů pro funkci TCR (Trusted Community Representatives). Tito důvěryhodní zástupci komunity budou jednak dohlížet nad procesem podpisu kořenové zóny a jednak budou mít v držení kousky klíče, které bude možné použít pro obnovení provozu v případě kompletní havárie.
První funkce byla pojmenována Crypto Officer (CO); těch je sedm pro každou lokalitu, tedy celkem 14. Tito Crypto Officers (minimálně dva) se budou účastnit aktivace HSM (Hardware Security Module), ve kterém je uložena soukromá část KSK klíče. Každý Crypto Officer bude mít v držení klíč k trezoru, kde jsou uloženy přístupové údaje k HSM. Počáteční funkce CO bude pouze dočasná pro první inicializaci HSM modulu. Pokud se dotyčný ve funkci osvědčí, bude s velkou pravděpodobností zvolen pro celý další rok.
Druhá funkce byla nazvána Recovery Key Share Holders; těchto RKSH je přesně sedm. Tito lidé budou mít v držení část klíče, pomocí kterého bude možné obnovit zálohu HSM modulu v případě havárie. Každý RKSH dostane Smart Card – kartu, kterou uloží na bezpečné místo. V případě kompletní havárie HSM se budou muset sejít tito držitelé (pět ze sedmi) a společně obnovit chod HSM zařízení ze zálohy.
No a v čem je to ocenění pro nás? Jedním z těchto důvěryhodných zástupců komunity (konkrétně Recovery Key Share Holder) se stal Ondřej Surý, vedoucí laboratoří CZ.NIC. To je rozhodně skvělá zpráva a právě ono ocenění CZ.NICu i osobně Ondřeje za usilovnou práci na projektech spojených s DNSSECem.
Nyní už jen zbývá doufat, aby trochu opožděný podpis kořenové zóny dopadl dle plánu. Zástupce CZ.NICu bude rozhodně u toho.
Ondřej Filip
DNSSEC nechutná firewallu ESET Smart Security
Kolegové z provozního oddělení mě upozornili, že narazili na zajímavý problém. V případě, že je v programu ESET Smart Security zapnutý osobní firewall, nefunguje náš doplněk do prohlížeče Mozilla Firefox – DNSSEC Validátor. ESET Smart Security kontroluje obsah DNS zpráv a v případě podezřelého obsahu je taková DNS zpráva zablokována. Bohužel v tomto případě je firewall naprogramován příliš restriktivně a blokuje i naprosto korektní DNS zprávy, které obsahují DNSSEC informace.
Nicméně je velmi pozitivní, a chtěl bych to zdůraznit, že výrobce ESET Smart Security přistoupil k problému velmi zodpovědně a proaktivně; nechal si zaslat blokující komunikaci a v některé z dalších verzí bude tato chyba odstraněna. Kéž by se takto chovali všichni výrobci zařízení, která pracují s DNS.
Mezitím než bude blokování DNSSECu opraveno, můžete jako prozatímní opatření vložit IP adresy DNS serverů do konfigurační volby „Adresy vyloučené z aktivní ochrany IDS“ v editoru pravidel a zón.
Na závěr bych dodal, že při implementaci striktních kontrol libovolného protokolu je zapotřebí sledovat nejen nejběžnější chování tohoto protokolu, ale aktivně vyhledávat informace o možnostech protokolu a také sledovat aktuální vývoj (v případě protokolu DNS to znamená pracovní skupinu dnsext a dnsop organizace IETF).
Ondřej Surý
Všechno, co jste kdy chtěli vědět o doménách (ale báli jste se zeptat)
Na základě informací uvedených v registru domén lze vygenerovat spoustu zajímavých dat nejen o doménách samotných, jejich držitelích apod. Je možné poohlédnout se po tom, jaký obsah je na webových stránkách v příslušných doménách, kolik domén je připraveno na přechod na nový protokol IPv6 či jaké jsou tržní podíly serverového software. Tržní podíly webových serverů poskytujících domény .cz následují jako malá ochutnávka tzv. Domain Reportu, který jsme se rozhodli pravidelně připravovat.
Celý Domain Report s mnoha dalšími statistikami za minulý rok 2009 si můžete stáhnout ve formátu PDF: DOMAIN REPORT 2009 CZ [836 kB].
PT
Publikace podepsané kořenové zóny posunuta
Joe Abley včera informoval komunitu, že se změnily plány podpisu kořenové zóny. Poslední fáze, která obsahuje publikaci kořenové zóny podepsané reálným klíčem, byla posunuta z 1. července 2010 na 15. červenec 2010. Tyto dva týdny budou využity na další studium publikování DURZ (viz úvod) podepsané kořenové zóny.
Dalším naplánovaným krokem k podpisu kořenové zóny bude první ceremonie podpisu klíčů, která proběhne 16. června 2010 v USA ve městě Culpeper. Pro ty z vás, kdo stejně jako já netušíte, kde takový Culpeper leží, tak je to kousek od Washingtonu DC.
Ondřej Surý
Doménový prostor rozšířen o azbuku
Krátce po té, co byly zprovozněny první tři dotIDN domény, následuje i čtvrtá. A tentokrát jde o zástupce slovanského jazyka psaného latinkou. Jenom připomínám, že Rusové museli zvolit doménu .рф, jež v latinkovém přepisu znameńá .rf. Důvodem je jedno z úskalí IDN. Logická zkratka slova Rossija – Россия, nebo pouhý přepis současné .ru totiž vypadají stejně jako latinkové domény a to by jistě mátlo. Proto ono krásné písmenko F.
Některé domény jsou už funkční, podívejte se třeba na web nejvyššího představitele http://президент.рф.
Андрей Филипп
Výpadek v .de
Dnes byl cca od 13.30 do 14.50 hodin zaznamenán výpadek v německé TLD doméně .DE. Problematické se ukázaly pouze některé domény – fungovaly pouze ty od písmene A po písmeno F, všechny ostatní se jevily jako neexistující (upřesnění: problém byl někde mezi doménami facebook.de, která fungovala, a ford.de, která nefungovala). DENIC problém dočasně vyřešil publikováním zóny z dnešních 11 hodin, výpadek správce registru dále analyzuje. Budeme kolegům v Německu držet palce, aby vzniklý výpadek rychle vyřešili. Jak se dozvíme více, budeme vás informovat.
Aktualizace z 13. května 2010: DENIC upřesnil čas výpadku. Jmenné servery pro doménu .DE začaly od 12.30 dopoledne přibližně do 14.45 vracet pro zatím blíže neurčený počet doménových jmen odpověď o neexistenci doménového jména (NXDOMAIN). Následně byly chybné jmenné servery buď vypojeny z provozu nebo na nich byl publikován předchozí korektní zónový soubor. Normální chod jmenných serverů byl obnoven v 16.00 hodin.
Čas pro negativní cache je v doméně .DE nastavený na 7 200 sekund, což mohlo způsobit nedostupnost postižených domén přibližně až do 16.45.
Aktualizace z 17. května 2010: DENIC v pátek 14.5.2010 vydal tiskové prohlášení ohledně výpadku doménový jmen v doméně .de. Na části infrastruktury jmenných serverů selhalo finální kopírování zónového souboru a ten se nezkopíroval celý. Bohužel zároveň selhala i kontrola, která měla hlídat, zda-li toto kopírování proběhlo v pořádku. Rád bych na tomto místě také ocenil kolegy z DENICu za velmi otevřený přístup v komunikaci toho výpadku.
Ondřej Surý
P.S.: Díky petr_p za připomínku – chybku jsem opravil.
