Včera (chtěl jsem napsat dneska, ale to už jsem o nějakých 40 minut nestihl), přibyla v systému na sledování chyb, který provozuje Debian, nová chybka. Bohužel se nakonec ukázalo, že to nebyla ani chybka, ani chyba, ale přímo velechyba (vzor ryba :)).
Tudíž pozor – ve všech verzích Bind9 je chyba, která umožní útočníkovi pomocí speciálně vytvořené DNS zprávy (a kód na vytvoření takové zprávy byl rovnou přiložen v hlášení chyby) shodit váš DNS server. Tedy za předpokladu, že takový DNS server obsahuje alespoň jednu autoritativní doménu, která je útočníkovi známa.
Aktualizace: DNS serveru musí pro konkrétní zónu být master. A mimochodem do toho spadají i rekurzivní servery, které se řídí RFC1912 sekcí 4.1, a obsluhují zóny localhost, 0.0.127.in-addr.arpa, 255.in-addr.arpa a 0.in-addr.arpa.
Obrany jsou dvě, z toho jedna preventivní. První obranou je použít aktualizovanou verzi Bind9 (9.4.3-P3, 9.5.1-P3 nebo 9.6.1-P1). Druhou obranou, která je i prevencí, je neprovozovat DNS monokulturu. DNS je vcelku odolný protokol a tak mu většinou stačí, když běží alespoň jeden DNS server. Proto je obranou provozovat serverů více a používat různý DNS software. Pro autoritativní server je to například NSD. Tím zvýšíte pravděpodobnost, že podobný útok nepostihne všechny (což jsou u normálních doménových jmen většinou dva) autoritativní DNS servery, ale pouze jeden.
Podobná nebo jiná chyba se stejným způsobem může objevit u NSD, Bind9 může být pro změnu v pořádku. Jen je důležité nemít zranitelné všechny (oba) servery stejnou bezpečnostní chybou.
Ondřej Surý
První banka s DNSSEC
Technologie DNSSEC je tu především pro ty společnosti, které více než ostatní usilují o co největší internetovou bezpečnost. Informace na stránkách bank, médií a například úřadů mají natolik vysokou důležitost, která může svádět k jejich zneužití. Změnění bankovních indexů nebo významů novinových zpráv by mohlo vyvolat paniku, zmatek a řadu dalších negativních reakcí v celé společnosti.
V České republice už je řada společností, které si takovou hrozbu napadení uvědomují a dělají vše pro to, aby k němu nedošlo. Technologii DNSSEC zavedli jako první v Lidových novinách, poté se přidalo internetové knihkupectví Kosmas, společnost Internet Info provozující řadu informačních portálů, Vláda České republiky „podepsala“ doménu eu2009.cz a další.
Z výše uvedeného seznamu institucí operující s citlivými daty nám dosud chyběla banka, která by se chránila DNSSEC. Už ji máme. Do řady společností s zabezpečenými internetovými stránkami přibyla i Hypoteční banka. Radost ze zavedení máme určitě i my, na prvním místě je ale tato zpráva důležitá pro klienty této bankovní instituce. Ti totiž teď mají jistotu, že informace, které na stránkách www.hypotecnibanka.cz najdou, budou zaručeně a pouze od zaměstnanců této banky.
Vilém Sládek
Jak získat IPv6 adresu?
Jedním z nejaktuálnějších internetových témat je přechod na „nový“ protokol IPv6. Protože i CZ.NIC usiluje o to, aby se o tomto tématu mluvilo, zařadil do programu konferencí Internet a Technologie 08 a 09 bloky přednášek týkající se IPv6.
Na základě prezentace na konferenci Internet a Technologie 09 s názvem „Praktická implementace IPv6“ vznikl návod, který vás ve finále dovede k získání “nové” IPv6 adresy. Návod je určen především zákazníkům těch poskytovatelů Internetu (ISP), jimž stále chybí podpora internetového protokolu verze 6. Jednotlivé kroky společně se zajímavými odkazy a radami najdete pod názvem “IPv6 tunelovací mechanismy – instalace a nastavení” na stránkách Technické podpory.
Vilém Sládek
Dáme se brzy nejlevnější cestou?
Kolegové z registru domén ve Velké Británii nedávno vyvinuli a vypustili aplikaci Enumdroid pro telefony s operačním systémem Android. Enumdroid při každém vytočení čísla pošle dotaz do DNS na ENUM záznamy a pokud nějaké najde (což bohužel není zrovna častý případ), zobrazí možnosti jak volat přes internet. Uživatel si potom může vybrat cestu, kterou chce zvolit.
Enumdroid je velmi pěknou ukázkou a „propagací“ ENUM, ale je to zároveň i první krůček i k něčemu mnohem zajímavějšímu – ke směrování nejlevnější cestou (tzv. least cost routing). To by znamenalo, že telefon dokáže podle přednastavených pravidel vyhodnotit, která cesta je v daném okamžiku nejlevnější a rovnou touto cestou bude směrovat hovor. Představte si např. takováto pravidla:“Pokud je přihlášeno k WiFi a číslo je v ENUM, volej vždy přes internet.“, „Pokud je přihlášeno k WiFi , číslo není v ENUM a je to pevná linka, volej pomocí VoIP operátora“ a „Pokud není v dosahu WiFi a číslo je mobilní, volej přes GSM.“.
Soubor takovýchto pravidel by si mohl nadefinovat uživatel sám, ale pravděpodobněji by jej dostal přímo od některého z operátorů. Navíc pokud by taková aplikace uměla pracovat třeba s tím, že by počítala provolané minuty a dokázala tedy využívat volné minuty v rámci tarifů mobilních operátorů, dostali bychom se ještě dále na zcela jinou úroveň té nejlevnější cesty. Každopádně pokud by se toho někdo chtěl ujmout, zdrojový kód Enumdroid je k dispozici.
PT
Anycast, kam se podiváš… aktualizace
V jednom z předchozím příspěvků jsem psal o rozšiřování politiky RIPE iniciované CZ.NICem na přidělování anycast bloků pro TLD operátory.
Dneska mi přišel e-mail, který ve stručnosti říká, že změna politiky byla schválena a bude implementována během jednoho měsíce:
PDP Number: 2008-05
Anycasting Assignments for TLDs and Tier 0/1 ENUMDear Colleagues
Consensus has been reached, and the proposal described in 2008-05 has
been accepted by the RIPE community.The related RIPE policy documents have now been updated, published and can be found at:
IPv4 Address Allocation and Assignment Policies for the RIPE NCC Service Region:
http://www.ripe.net/ripe/docs/ripe-471.htmland
IPv6 Address Allocation and Assignment Policy:
http://www.ripe.net/ripe/docs/ripe-472.htmlThe proposal is now archived and can be found at:
http://www.ripe.net/ripe/policies/proposals/2008-05.html
The RIPE NCC will implement this new policy within one month.
Thank you for your input.
Regards
Ingrid Wijte
Policy Development Officer
RIPE NCC
Takže se můžete těšit na postupný přechod našich unicastových DNS serverů na anycastové, což bude znamenat zase o krok lepší dostupnost a odolnost proti výpadku.
Ondřej Surý
S Androidem přes internet
Přestože je platforma Android už nějakou dobu mezi námi a přístroje, které jej obsahují, se začínají objevovat jak houby po dešti, stále víceméně chybí možnost telefonovat přes internet. K dispozici jsou zatím jen dvě možnosti a ani jedna není optimální :( iSkoot je klient bohužel jen pro Skype a jediný existující klient pro SIP, který se jmenuje Sipdroid, je zatím ještě v 0.9 beta verzích. Samotná beta by ani nevadila, ale problém je, že se nedá připojit k SIP účtu na nejrozšířenější VoIP ústředně Asterisk (problém s autentifikací při přihlašování).
Vůbec zajímavá otázka je, proč není SIP klient přímo integrován v operačním systému Android, když Google, který jej vyvíjí, je ryze internetová firma. Nejpravděpodobnější bude zřejmě obava, že operátoři nebudou chtít prodávat telefony, které by takovou funkci obsahovaly a výrobci telefonů by taková zařízení neprodali. Tomu by nasvědčovalo i to, že verze Sipdroid dostupná přímo přes Market (systém distribuce aplikací podobný jako AppStore u Apple), má omezené vlastnosti (zejména chybí možnost volat přes internet přes EDGE/3G připojení) a pro plnou verzi musíte jít na sipdroid.org.
P.S. Naštěstí Android je založen na Linuxu, takže je doufejme jen otázkou času, kdy někdo SIP klient integruje přímo do systému.
PT
Google po IPv6
To, že konec IPv4 adres se blíž, jsme na našem .blogu již glosovali mnohokrát. Rozvoj nového protokolu IPv6 je jedním z naších velkých témat, proto jsme například požádali kolegy Suchého a Ohnesorga, aby z různých úhlů pohledů o tomto problému referovali na naší konferenci IT09. O to více nás potěší, pokud někdo další k tomuto tématu přispívá. A nedávnou se k této aktivitě připojil i takový gigant jako Google. Kvůli obavě o dostupnost svých služeb pro uživatele, kteří mají špatně nakonfigurované IPv6 sítě, sice své služby přímo po IPv6 nenabízí, ale umožňuje například po IPv6 přistoupit ke svému vyhledávači na adrese ipv6.google.com. Nicméně to není příliš praktické v případě, že cestujete se svým notebookem či PDA a střídáte různé sítě z nichž některé rozumí pouze IPv4. Proto Google zavedl, že ISP, který má korektně nakonfigurovanou síť, to může Googlu sdělit a Google pak pro jeho zákazníky přístup po IPv6 povolí. CZ.NIC jako provozovatel s plně duální infrastrukturou si věří a proto jsme o toto nastavení Google požádali. Mimochodem, právě účastníci IT09 této služby využili, aniž by si toho někdo z nich všiml. Návod, jak s Googlem v této věci komunikovat je zde. Doufejme, že se přidají i další významní poskytovatelé služeb. Pokud o nějakém takovém počinu víte, dejte nám vědět třeba v komentáři pod článkem.
Ondřej Filip
DNSSEC news
V úterý došlo k podpisu další domény nejvyšší úrovně pomocí technologie DNSSEC. A tentokrát nejde o žádného trpaslíka. Podepsána byla domena .org, která obsahuje téměř sedm miliónů registrovaných poddomén. Tímto se tedy počet uživatelů, kteří můžou chránit své domény, značně rozrostl. Správce .org použil modernější variantu NSEC3, více podrobností lze najít pod tímto odkazem.
Druhá, možná ještě zajímavější novinka, přichází z oblasti, nacházející se ještě o úroveň výše. ICANN, společně se NTIA, NIST (Národní institut pro standardy a technologii) a společností Verisign (mimo jiné registr domény .com, .net) vydali společné prohlášení, ve kterém oznamují, že budou spolupracovat na podpisu kořenové zóny. Nějaké prohlášení na téma DNSSEC v kořenové zóně bylo poměrně očekávatelné. Trochu zvláštní je, že do projektu je zapojena soukromá společnosti Verisign. Druhým, přijemnějším, překvapením je, že cílem projektu je podpis kořenové zóny do konce roku 2009! To je rychlost v této oblasti skutečně nevídaná. Nicméně prohlášení neobsahuje žádné další detaily a mluví o prozatímním přístupu, což zní poněkud mnohoznačně. Vypadá to, že nejpalčivější problém technologie DNSSEC bude odstraněn už brzy.
Třetí aktualita ze světa DNSSEC se týká našich sousedů. Správce druhé největší národní domény na světě, společnost DeNIC oznámila start testování DNSSEC pro doménu .de – DNSSEC testbed. V kontrastu s předchozími zprávami je harmonogram toho testování, který by měl skončit až na začátku roku 2011. Ale tento harmonogram byl tvořen před tím, než přisly ty zajímavé zprávy od společností PIR a ICANN. Je tedy možné, že Němci v testování DNSSEC ještě zařadí vyšší rychlostní stupeň.
Ondřej Filip
Zavedení DNSSEC pro domenu eu2009.se je na spadnutí a jedna informace navíc
Zástupci švédského národního registru jsou připraveni zavést DNSSEC pro doménu symbolizující předsednictví této země Radě EU. Tato zpráva přišla přibližně týden poté, co Česká republika ohlásila implementaci DNSSEC pro internetovou doménu eu2009.cz. Švédská „evropská“ doména by měla být podepsána od 1. července, tedy od doby, kdy Švédské království usedne na pomyslný evropský trůn.
Obě dvě země prosazují DNSSEC mezi uživateli národních domén .SE a .CZ. Švédsko je dokonce vůbec prvním státem světa, který zavedl DNSSEC pro svou národní doménu. Vedle tohoto státu a České republiky chrání DNSSEC v Evropě ještě národní doménu Bulharska (.bg).
Druhá část titulku této zprávy se týká ještě jedné zajímavé informace. Švédští správci tamního doménového registru zároveň řekli, že doména eu2009.se bude přístupná přes IPv6. Tato informace může být zajímavá zejména proto, že má šanci dostat se i k běžným uživatelům internetu. Ti totiž nemusí vůbec tušit, že může v blízké budoucnosti nastat s internetem velký problém a že nějaký protokol IPv6 vůbec existuje.
Vilém Sládek
Anycast, kde se podíváš…
Tak mi dnešní setkání address-policy-wg udělalo velkou radost. Těsně po minulé schůzce evropské internetové komunity v rámci RIPE jsme v CZ.NICu začali pracovat na rozšíření politiky přidělování IPv4 a IPv6 adres. Konkrétně pak sekci, která se týká přidělování speciálních bloků adres TLD registrátorům. Tyto adresy musí být využívány pro DNS anycast, což je technika, kdy je v síti na různých (většinou geograficky odlišných) místech více serverů, které obsluhují stejnou IP adresu. (Co je to anycast, se můžete dočíst detailně například v článku AS112 – projekt DNS anycast.) Navrhovaná změna mění počet přidělovaných IP bloků pro DNS anycast z jednoho na celkem čtyři bloky.
Následně jsme spojili své síly s Nominetem (anglický registr pro .UK), který původně navrhoval rozšíření této politiky o ENUM registry. Společně jsme pak vypracovali návrh, který byl ve čtvrté verzi představen na dnešním setkání pracovní skupiny Address Policy.
A proč ta radost? Protože všechny komentáře, které k tomuto dokumentu mělo publikum, byly veskrze pozitivní a doporučili schválení této změnu politiky přidělování IPv4 a IPv6 adres. Tudíž se po zapracování těchto úprav do relevantních dokumentů můžete těšit na změny v konfiguraci DNS serverů pro domény .cz a .0.2.4.e164.arpa. Dojde ke snížení počtu unicast serverů a navýšení počtu anycast serverů na finální čtyři, které byly předmětem navrhovaných změn v politice RIPE.
Ondřej Surý