Z hlediska doménového registrátora a správce domény jsou standardem dvě nejdůležitější technologie – protokol SSL a DNSSEC. První z nich nám poskytuje bezpečný přenos dat po síti, zatímco druhá definuje zabezpečený zdroj záznamů domény. I když protokol SSL už je tu s námi nějaký ten pátek, DNSSEC je relativně mladá technologie hojně nasazovaná teprve v posledních dvou letech. Není proto na škodu si připomenout, jaké dvě zdi dělí náš k lidný spánek od k ybernetických zločinců s cílem zneužít citlivé údaje.

SSL protokol

Naprostým dnešním standardem je protokol SSL (Secure Socket Layer), k terý šifruje k omunikaci mezi dvěma stranami (prohlížeč uživatele a server, dvojice serverů, poštovní k lient a server apod.) a brání uživatele proti odposlechu. Při odesílání citlivých dat má uživatel jistotu, že k omunikuje s tím, s k ým opravdu chtěl k omunikovat. SSL certifikáty zpravidla využívají on-line obchody, k teré přijímají objednávky a údaje platebních k aret, webové portály s administrací pro zabezpečení hesel a dat, projekty, k teré podléhají legislativním ustanovením vyžadujícím zabezpečené přenosy, apod. Důležitost SSL certifikátu dokládá i fakt, že jej používají i další protokoly, například poštovní SMTP, POP3 a IMAP.

SSL spojení funguje na principu asymetrické šifry. Každá z k omunikujících stran má dvojici šifrovacích k líčů – veřejný a soukromý. Veřejný k líč je nutné zveřejnit a zajistit jeho správné předání všem, k teří jej budou chtít použít. Pokud pomocí tohoto k líče k dokoliv zašifruje zprávu, je zajištěno, že ji bude moci rozšifrovat jen majitel použitého veřejného k líče odpovídajícím soukromým k líčem – webový server, server elektronické pošty. Adresy stránek zabezpečených pomocí SSL začínají výrazem https://. Prohlížeč také zabezpečené stránky označuje ikonkou zámku ve stavové liště. Moderní prohlížeče zobrazují ikonku zámku rovněž v řádku adresy a podbarvují tuto řádku různými barvami (zelená pro plně vyhovující, žlutá nebo oranžová pro částečně vyhovující, tj. například vyhovující certifikát, ale vydaný pro jinou doménu, červená pak pro nevyhovující certifikát). Standardní port pro k omunikaci přes HTTPS/SSL je 443, standardní port HTTP je 80.

Technologie DNSSEC

I k dyž je technologie DNSSEC aktivně nasazována pouze poslední dva roky, její vznik se datuje do roku 1999, k dy se objevuje její první verze, k terá však byla z hlediska své struktury v praxi nevyužitelná. Důvodem samotného vzniku DNSSEC bylo objevení bezpečnostní mezery v systému DNS, k terá umožňovala manipulaci s informacemi, respektive podvržení záznamu při k omunikaci s DNS serverem. RR záznam (resource record), o kterém běžně hovoříme jako o DNS záznamu, definuje, jak jsou překládána jména na IP adresy a obsahuje údaje o vlastníkovi, třídě, typu, TTL a datech. A právě tyto informace mohou být na cestě změněny útoky jako spoofing, cache poisoning nebo man-in-the-middle. Mezi základní RR typy totiž patří například A záznam (IPv4 adresa) nebo MX záznam (pošta) a jejich pozměněním či podvržením, tak může být uživatel odveden na jinou stránku nebo službu. Při zadání adresy do prohlížeče totiž dochází k  dotazování na DNS server „kdo je nejakadomena.cz?“ DNS server nám odpoví (pošle A záznam), že je to IP 10.10.10.10, nicméně v případě napadení je tato odpověď na cestě změněna a nám se dostane informace, že jde o IP 20.20.20.20, a dostáváme se tak na podvodnou stránku. Původní systém DNS totiž neobsahuje mechanismus, jak bezpečně ověřit, zda jsme dostali správnou IP adresu, a dokonce zda jde o odpověď od správného DNS serveru. K tomu slouží právě DNSSEC, k terý můžeme označit za digitální podpis domény postavený na asymetrickém k ryptování dat DNS serverů a který do typů RR zařadil DNSKEY a RRSIG. DNSKEY je veřejný k líč (záznam obsahuje označení k líče, typ protokolu, použitý algoritmus a veřejnou část k líče) jehož privátní částí jsou podepsány DNS záznamy a RRSIG, což je zjednodušeně samotný digitální podpis příslušného záznamu.

V praxi tak autoritativní DNS server (primární nebo sekundární DNS server, jejichž odpovědi jsou považovány za správné) vygeneruje nejdříve k líčový pár. Soukromým k líčem podepíše data ve své DNS zóně či doméně a veřejný odešle a zveřejní v nadřazené doméně. Celé ověřování je tak ale zároveň postaveno na nutnosti, aby všechny domény v hierarchii cesty/odpovědi svá data podepisovaly až na úroveň k ořenové domény – rekurzivní DNS servery ověřují podpisy, aby během cesty nemohly být informace pozměněny. Protože při dotazu na nejakadomena.cz obdržíme jak A záznam (10.10.10.10.), tak podpis (RRSIG), k dy o ověření, zda podpis (RRSIG) u A záznamu je skutečně pravý, ale žádáme právě nadřazenou doménu, požadavkem na zaslání veřejného k líče nejakadomena.cz. Zde se musíme spolehnout na podobný řetězec důvěry jako u certifikačních autorit. Vývoj v příštích pěti letech V následujících pěti letech bude pokračovat snaha o další zabezpečené systému DNS jak na úrovni certifikátů, tak zvýšení samotné bezpečnosti DNS serverů. Minulý rok například pracovní skupina DANE při IETF dokončila svůj protokol, k terý by měl přidáním nového typu DNS záznamu – TLSA – změnit práci s veřejnými k líči, k dy současný způsob staví všechny certifikační autority na stejnou úroveň. Zároveň by měl napomoci lepšímu chápání certifikátů samotných – víte, zda certifikát ověřuje pouze doménu, nebo jde i o ověření žadatele (majitele domény). Navíc k ontrola ze strany řady certifikačních autorit je v současnosti značně ledabylá – spokojí se v podstatě s údaji z výpisu whois. S DANE bude například možné stanovit, k terý certifikát (od k teré autority) je považovaný za pravý a v případě vydání podvodného certifikátu jinou autoritou tento identifikovat již na úrovni systému či k lientské aplikace a přístup zakázat.

Další možností je přímá ochrana DNS serverů řešeními, jako je například Radware WSD (Web Server Director). To stojí mezi sítí a řídicími DNS servery, k dy před DNS servery vytváří „maskovací zeď“ virtuálních IP adres se zdrojovou databází. Reálné IP adresy DNS serverů jsou před světem skryty, a navíc toto řešení může být několikaúrovňové. Tímto zrcadlením je možné efektivně rozložit zátěž na DNS server a čelit i DDoS útokům. Pro k ritické procesy budou stále více nasazovány systémy podobné projektu Bowman, k terý pro britské ministerstvo obrany dodává General Dynamics. Ten využívá řešení Incognito DNS Commander využívající DDNS k  aktualizaci údajů v reálném čase a tím zajištění spolehlivosti v rychle se měnícím prostředí zahrnujícím jak stacionární objekty, tak letadla, lodě, vozidla i IT prostředky jednotlivce. Systém dovoluje okamžitou správu záznamu v celé síti a tím zjednodušeně řečeno i okamžitou reakci na k ompromitaci některé části, k terou lze rychle izolovat a současně nahradit vytvořením nové virtuální struktury, aniž by došlo k e k ritickému výpadku ze systému.

Milan Leszkow
Autor je hlavní systémový administrátor Forpsi.cz.