UP | HOME

DNSSEC a .hu alatt

Tartalomjegyzék

Bevezetés

A DNS üzenetek hamisítása ellen digitális aláírásokkal lehet védekezni. Ha egy DNS üzenetet digitális aláírással látunk el, akkor biztosak lehetünk abban, hogy az onnan származik, ahol az aláírás létrehozásához szükséges titkos kulcs rendelkezésre áll. A kulcsok autentikálására hitelesítési lánc szolgál: a DNS hierarchia felsőbb szintjein mindenütt digitális aláírással hitelesítik az alacsonyabb szinten használt kulcsot. Egy DNS rekord hitelességét tehát digitális aláírások egy hitelesítési láncával ellenőrizzük: pl. a www.kedvencbankom.hu rekordját egy olyan kulccsal hitelesíthetik, ami a kedvencbankom.hu domain gazdáinak a birtokában van, ezt a kulcsot olyan kulccsal, ami a .hu domain gazdáinak a birtokában, a .hu aláírásánál használt kulcsot pedig egy olyan kulccsal, ami a gyökér név szerver gazdáinak birtokában van. A gyökér névszerverhez tartozó nyilvános kulcsot pedig minden ellenőrző név szerver gazdáinak be kell konfigurálni.

A DNSSEC a DNS üzenetek digitális aláírására szolgáló technológia, mely sok tekintetben bonyolultabbá, emberi és technikai oldalon erőforrásigényesebbé teszi a DNS működését. Bár első kezdeményei még a kilencvenes évekre nyúlnak vissza, elterjedése 2008 után gyorsult fel igazán: egyre több DNS felső szintű domain (TLD) vezeti be. 2013. nyarán a felső szintű domainok kb. harmada vált a DNSSEC hierarchia részévé. A .hu TLD-nél 2011-ben kísérleti üzemben bevezettük a DNSSEC-et. Ez azt jelenti, hogy már 2011 óta lehet használni a valami.hu alakú DNS neveket DNSSEC-cel, feltéve, hogy az ellenőrző oldalon is és a valami.hu domain gazdáinak oldalán is megfelelően bekonfiguráltuk az eszközeinket.

Ez az írás 1 arra szolgál, hogy tájékoztatást adjon arról, hogyan van beállítva a .hu kísérleti DNSSEC szolgáltatás, és hogyan lehet ehhez kapcsolódni a .hu alatti domainok gazdáinak és azoknak akik ellenőrző névszervereket, végberendezéseket üzemeltetnek.

A regisztrációs rendszer és a DNSSEC bevezetése

DNSSEC checkbox

A regisztrátorok által használt regisztrációs rendszer is felkészült a DNSSEC delegálások fogadására. Ha egy .hu alatti domain-t a domain gazdája már DNSSEC-cel konfigurált, akkor a regisztrációs felületen (DRR) kérheti a domain DNSSEC-cel védett delegálását egy checkbox segítségével. A kísérleti fázisban ez nem fog változást eredményezni az éles .hu zónában, de a kísérleti, DNSSEC-cel működő .hu zóna ettől a művelettől összekapcsolódik a delegált zónával. Ilyenkor a domain ellenőrző procedúra (regcheck) nem csak az NS rekordokat, hanem a DNSKEY rekordokat is felolvassa, és – ha mindent rendben talál –, akkor bekerülnek a kísérleti .hu zónába nem csak az NS rekordok, hanem a DNSKEY rekordokból képzett DS rekordok is, és ezek hitelességét a .hu-hoz tarozó DNSSEC kulccsal történt aláírás igazolja. Ilyen módon tehát egy bizalmi láncszem kerül a DNSSEC-cel védett delegált zóna és a DNSSEC-cel védett .hu közé.2 A DNSSEC checkbox jelzi, hogy secure delegálást kérünk: ennek átállítása a delegálás módosítását jelenti, hasonló módon, mintha például egy NS rekordot módosítunk. Ha például kulcs cserét (key rollovert) hajtanak végre egy delegált zónában, akkor a DRR-ben újra domain módosítást kell kérni DNSSEC beállítással, hogy az új DS rekordok bekerüljenek a .hu zónába. 3

Tulajdonos email cím

A DRR-ben egy másik DNSSEC-hez kapcsolódó módosítás a domain-hoz tartozó tulajdonos email cím attribútum bevezetése. Ha ez az attribútum nem üres, akkor a regisztrációs rendszer minden domain módosításkor – például NS, DS rekord, vagy tulajdonos email cím attribútum – az itt megadott email címre levelet küld, melyben jelzi a változást. Ilyen módon a domain adatain végrehajtott egyes módosításokról a tulajdonos értesítést kap. Érzékeny domain-oknál ez különösen fontos lehet.

A kísérleti DNSSEC-cel védett zónák

A DNSSEC-cel védett, autoritatív .hu zónát és az alatta levő másodlagos közdomain-eket 4 elsődlegesen sechu2013.iszt.hu nevű gép szolgáltatja a 193.239.149.24 IPv4 és a 2001:738:4:4000::24 IPv6 címen. Az itt szolgáltatott zónák az éles párjukkal szinkronban óránként frissülnek, nagyobb részben megegyeznek a „közönséges” zónával, de a .hu-hoz, és a másodlagos közdomain-ekhez tartozó rekordok (SOA, NS stb.) és a DRR-ből bekerülő DNSSEC-cel védett delegált zónák DS rekordjai, valamint az aláírt rekordok intervallumait jelző NSEC3 rekordok DNSSEC aláírással vannak ellátva. A sechu2013.iszt.hu tehát a kísérleti üzemben résztvevő zónákat DNSSEC-cel védett módon, a többit DNSSEC nélkül szolgáltatja.

A .hu KSK (Key Signing Key) ellenőrzéshez szükséges, nyilvános része letölthető a deneb.iszt.hu/dnssec-hu címről indulva. A kulcs ID-je 13594. Ez a kulcs nincs bizalmi összeköttetésben a root KSK-val.

A sechu2013.iszt.hu DNS szerver építőelemei

A sechu2013.iszt.hu DNS szerver – éppen úgy, mint általában a DNSSEC-cel védett TLD-k – lényegében csupa szabad szoftveren alapul. Az építőelemek: ISC BIND, Opendnssec, SoftHSM, és néhány shell és perl szkript.

Hogyan vehetünk részt rekurzív névszerverrel?

Ha a DNS rekordok feloldásakor ellenőrizni akarjuk a DNSSEC digitális aláírásokat, akkor érdemes bekonfigurálnunk a gyökér zónánál használt nyilvános kulcsot, például unbound 5 rekurzív névszerver esetén ilyesféleképpen:

trust-anchor: ".   DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0="

Mivel a gyökér névszerverrel még nincs összeköttetésben a .hu DNSSEC konfiguráció, be kell konfigurálnunk a .hu ellenőrzésekor használatos kulcsot is:

trust-anchor:         "hu.     3600    IN      DNSKEY  257 3 8 AwEAAeCmSdMuTyo1wnEiyMWYMZgnPZzEs8Hif6MeRIJovUL8sC5pehDE/giHFrZfzES2WaElpkGPvSQzdJezNqGB1GuFxv5h+dRJZSDLYkuqGWZcllcLbgy/4FHFC8TR9Tt3FJIuPoD5Vjh4o9J/EDzcQCpbib77V0BAs2acuQC8OnbKDYqrquGM7N8rhKvUDtzjJXdE+ngUnZiUkcgirS7vHaC/gcRosxTJ2rB51Oe9jOdORe+8xI8L8aR8WwSXjy8gEVj/IOvL/a6T1emPpoaHToHQwt9OhKyVqU/SAkWjDCJGjevNDoUtEzW1w6+hw8JL1bPcqHkFYfuCcNbH2oMy9fM=" # ;{id = 13594 (ksk), size = 2048b}"

Meg kell adnunk, hogy a .hu nevek feloldásánál ne az éles névszervereket, hanem a kísérleti név szervert használja a rekurzor. Ennek eszköze az u.n. stub zóna:

stub-zone:
      name: "hu"
      stub-addr: 193.239.149.24
      stub-prime: no

Ettől kezdve ha egy domain név DNSSEC-cel védett, rekurzív névszerverünk csakis akkor oldja fel, ha sikerül autentikálnia is.

Hasonló módon kell eljárnunk, ha a másodlagos .hu alatti közdomaineket is DNSSEC-cel védett módon akarjuk elérni: domain-onként szükséges egy-egy újabb trust anchor és stub zóna felvétele. A trust anchor-okat a sechu2013.iszt.hu-tól kérdezhetjük, a stub zóna címének pedig itt is 193.239.149.24-et kell megadni.

Hogyan vehetünk részt egy domain-nal?

Ha egy domaint a kísérleti konfiguráció részévé akarunk tenni, be akarjuk oda kapcsolni, akkor először is installálni és konfigurálni kell a DNSSEC eszközöket, domain-unkat DNSSEC-cel védetté kell tenni. Manapság a legtöbb DNS szerver támogatja a DNSSEC-et. Ezek a DNS szerver szoftverek nyújtanak kulcs és aláírás kezeléséhez szükséges segédeszközöket is. Mindazonáltal érdemes megfontolni, hogy ne ezeket használjuk, hanem OpenDNSSEC-et. Az európai TLD-k (.se, .uk, .nl) vettek részt az OpenDNSSEC fejlesztésében. Az OpenDNSSEC a kulcsok és aláírások kezeléséhez könnyen kezelhető eszközt nyújt, ahol csak az eljárásrendet, a policy-t határozzuk meg, a kulcs generálások, cserék, aláírások mind automatikusan történnek, egyedül a KSK cseréjénél van szükség „kézi” beavatkozásra. A OpenDNSSEC együtt tud működni többféle DNS szerver szoftverrel (pl. Bind, NSD). Az OpenDNSSEC használatával majdnem olyan egyszerű a DNS rendszergazdák dolga, mint DNSSEC nélkül.

Kapcsoljuk össze a .hu zóna DNSSEC konfigurációját és a mienket

Miután a domain-unk már DNSSEC-cel védett, összekapcsolhatjuk a konfigurációját a .hu kísérleti konfigurációval. Ehhez a DRR-ben a domain-hoz tartozó felületen egy checkbox áll rendelkezésre, de ezt a kísérleti szakaszban még nem látják a regisztrátorok. Ezért a szokásos regsupport címre küldött email-ben lehet kérni a checkbox beállítását.

A DRR-ben indított domain módosítás szkript a DNS szervertől kinyeri az NS és a DNSKEY rekordot, ellenőriz és képezi a DS rekordot. Ha mindent rendben talál, a domain része lesz a DNSSEC-cel védett konfigurációnak: egy órán belül szolgáltatja a sechu2013.iszt.hu a DNSSEC delegálást. A domain gazdájának ilyenkor érdemes ellenőriznie, hogy valóban a helyes DS rekord került be, és a zónájában levő rekordok DNSSEC-cel validálhatók-e.

Hogyan vehetünk részt rezolverrel?

Ahhoz, hogy a DNSSEC előnyeit a végfelhasználó oldalán használhassuk, az internetbe kapcsolt végberendezés rezolver konfigurációjában egy DNSSEC-et használó rekurzív név szervert kell megadnunk. Ez lehet egy hálózati értelemben közel levő DNSSEC ellenőrzéssel konfigurált rekurzív DNS szerver. Problémát jelent azonban a rekurzív név szerver és végberendezés közti kommunikáció biztonsága: egy imposztor ugyanis itt is, az u.n. last mile szakaszon is hamisíthat DNS üzeneteket. Ennek a problémának az egyik megoldása, ha a lokális gépen futtatunk rekurzív név szervert, vagyis 127.0.0.1 IP címet adjuk meg rekurzív névszerverként. Persze ilyenkor a fent leírt módon kell konfigurálni a PC-nken a rekurzív név szervert. Kétségtelen, hogy ilyenkor a cache hatásfoka kisebb lesz, mintha egy nagy közös rekurzort használnánk. A gyakorlat azt mutatja, hogy nem érezhető lassulás a nevek feloldásában. Nem nehéz pl. unbound-ot telepíteni a manapság elterjedt operációs rendszerekre.

Levelezési lista

A .hu alatti DNSSEC használatával kapcsolatos eszmecserére létrehoztuk a dnssec-hu@iszt.hu levelezési listát. A levelezési listán helye van minden olyan levélnek, ami a .hu alatti DNSSEC szolgáltatással kapcsolatos, legyen az a kísérleti vagy az éles rendszer. A listára fel lehet iratkozni a https://iszt.hu/cgi-bin/mailman/listinfo/dnssec-hu címen.

Olvasnivaló



Ezen dokumentum pdf változata: http://deneb.iszt.hu/dnssec-hu/dnssec-hu-index.pdf

Lábjegyzet:

1 Ez az írás a 2013-as állapotot tükrözi, amikor már a regisztrációs rendszer (DRR) is felkészült a DNSSEC delegálások fogadására. A 2011-ben üzembe állított konfigurációról itt lehet olvasni: http://deneb.iszt.hu/dnssec-hu/dnssec-hu-index-2011.html

2 A regisztrátor munkatársak túlnyomó részének a DNSSEC még ismeretlen és szokatlan, ezért a kísérleti szakaszban a secure delegáláshoz tartozó checkbox még nincs a nyilvános DRR felületen, a DNSSEC checkbox beállítását a regisztrációs ügyekben használatos email címen (regsupport) lehet kérni.

3 Valójában egy KSK key rollovernél legalább két ilyen művelet szükséges.

4 A másodlagos közdomain-ek: 2000.hu agrar.hu bolt.hu casino.hu city.hu co.hu erotica.hu erotika.hu film.hu forum.hu games.hu hotel.hu info.hu ingatlan.hu jogasz.hu konyvelo.hu lakas.hu media.hu news.hu org.hu priv.hu reklam.hu sex.hu shop.hu sport.hu suli.hu szex.hu tm.hu tozsde.hu utazas.hu video.hu agrár.hu fórum.hu infó.hu jogász.hu könyvelő.hu lakás.hu média.hu reklám.hu tőzsde.hu utazás.hu videó.hu

5 http://unbound.net

Szerző: Pásztor Miklós

Validate XHTML 1.0