Laboratoře CZ.NIC v minulých dnech zveřejnily úvodní verzi softwaru DNS Probe. Jde o výkonný nástroj k zaznamenávání transakcí DNS, který je vyvíjen v rámci projektu ADAM. Jeho úkolem je zachycovat DNS provoz na síťovém rozhraní (UDP i TCP), párovat DNS dotazy s příslušnými odpověďmi a exportovat konsolidované záznamy o každé jednotlivé DNS transakci, která se v síťovém provozu vyskytla. DNS Probe může být nasazena buď na stejném stroji společně s DNS serverem anebo na samostatném monitorovacím počítači, jemuž se předává přesná kopie provozu DNS serveru (např. pomocí zrcadlení portů na switchi).
ODVR – vypnutí ochrany Rebinding a úpravy DoH
DNS rebinding
Naše otevřené DNSSEC validující resolvery měly od začátku provozu (tedy i v době, kdy ještě běžely na DNS resolveru Unbound) nastavenu ochranu proti DNS Rebindingu. Toto nastavení jsme zachovali i při spuštění nového ODVR anycastu postaveného již na našem Knot Resolveru.
Evropská komise vydala zprávu DESI. Česká republika si polepšila, ale…
Od roku 2014 Evropská komise pravidelně sleduje a porovnává pokrok členských států EU v digitální oblasti v rámci tzv. Indexu digitální ekonomiky a společnosti (DESI). Dne 11. června 2020 Evropská komise vydala nejnovější zprávu DESI za rok 2020. Česká republika se umístila na 17. místě (vloni 18. místo), pozitivně byla hodnocena v kapitolách Lidský kapitál, Integrace digitálních technologií a Využívání internetových služeb. Naopak meziroční propad byl zaznamenán v kapitole Konektivita (z 19. na 24. místo) a Digitální veřejné služby (z 21. na 22. místo). Pojďme se na srovnání podívat blíže.
Nová verze Turris OS 5.0 je venku
Vydali jsme novou verzi Turris OS 5.0, která je založená na nejnovější verzi OpenWrt 19.07.3 a je určená pro všechny routery Turris. Co se týče „modrých“ routerů Turris 1.x, tak v tomto případě se aktuálně jedná o experimentální podporu (týká se zařízení s microSD kartou a se souborovým systémem Btrfs). V článku vám představíme, co je nového, včetně možnosti zvolit si migraci z operačního systému Turris OS 3.x. Zmíníme se také o překážkách, které nám bránily v dřívějším vydání a také přidáme, na co se můžete těšit do budoucna.
Průzkum: Jak nastavujete DNS resolvery?
DNS resolvery neustále přidávají nové funkce, aniž by odstraňovaly ty staré. Tento trend však nemůže pokračovat donekonečna, protože by se software nakonec zhroutil pod vlastní vahou. Které funkce jsou v praxi využívány a které je možné odebrat? Předkládáme předběžné výsledky průzkumu mezi správci DNS resolverů a také zveme čtenáře, aby se zapojili do průzkumu napříč výrobci, který běží do 30. června 2020.
Spouštíme DNS crawler
V rámci projektu ADAM (Advanced DNS Analytics and Measurements) uvádí Laboratoře CZ.NIC ve spolupráci s CSIRT.CZ do produkčního provozu nástroj DNS crawler. Naším záměrem je periodicky procházet všechny domény 2. úrovně pod TLD .cz, získávat o nich různá veřejně dostupná data a ta pak dále zpracovávat. I když to jeho jméno přímo nenapovídá, DNS crawler bude kromě sběru dat z DNS také komunikovat s webovým a e-mailovým serverem každé domény. Počítáme s pravidelnými běhy ve dvou periodách: většina datových položek se bude sbírat každý týden, pouze obsah hlavních webových stránek <doména>.cz nebo www.<doména>.cz se bude stahovat jen jednou měsíčně. Zvláštnímu dohledu budou navíc podrobeny nově zaregistrované domény, u nichž je větší pravděpodobnost výskytu nějakého problému – jejich data se budou po dobu prvních dvou týdnů jejich existence stahovat denně. Software i režim jeho použití jsou navrženy tak, aby dopady na provoz domén druhé úrovně a síťovou infrastrukturu obecně byly prakticky zanedbatelné. Získaná data budou využita ke třem hlavním účelům:
Mladí lidé chtějí srozumitelnější uživatelské podmínky
U příležitosti Dne bezpečnějšího internetu proběhlo v sídle Evropské komise setkání zástupců iniciativy „Better Internet for Kids“ (BIK) s globálními technologickými firmami. Českou republiku reprezentoval Matěj Bednář, student kvinty Gymnázia Ústí nad Orlicí, a spolu s dalšími pěti mladými ambasadory ze zemí EU zde přednesl svůj názor na uživatelské podmínky. Rád by se zasadil i o bezpečnější výchozí nastavení profilů na sociálních sítích.
NXNSAttack: aktualizujte své resolvery a zastavte nový druh útoku náhodnými dotazy
Tento článek popisuje NXNSAttack, nově objevenou zranitelnost protokolu DNS, která postihuje většinu rekurzivních DNS resolverů. Umožňuje provádět útok dotazováním na náhodné subdomény (random subdomain attack) pomocí delegačního mechanismu DNS, což vede k vysokému zesílení počtu paketů od útočníka směrem k oběti.
DNSSEC kořenové zóny v době koronavirové
Tento příspěvek píšu trochu smutně se dívaje přes Internet na ceremonii podepisování klíče v americkém městečku El Segundo poblíže Los Angeles. A proč jsem smutný? Začnu od začátku.
DNS stack už také v CESNETu
Jak jsme již několikrát avizovali, po masivních upgradech DNS anycastu pro .CZ doménu v posledních letech a vybudování 100GE DNS infrastruktury se nyní zaměřujeme spíše na cílené ladění provozu anycastu. Snažíme se tak například spouštět nové DNS stacky v místech zdrojů významného DNS provozu, a to jak v zahraničí, tak v České republice. Spuštění DNS stacku v síti CESNETu na začátku dubna budiž této naší činnosti důkazem.