A Debian projekt megkezdi a DNSSEC bevezetését

 ( trey | 2010. február 20., szombat - 17:20 )

A Debian projekt rendszeradminisztrátorai (Debian System Administrators - DSA) bejelentették, hogy hamarosan megkezdik a DNSSEC bevezetését kiválasztott Debian zónákban. A DNSSEC (DNS Security Extensions), ahogy a neve is mutatja, olyan bővítménycsomag a DNS számára, amely annak biztonságát hivatott növelni. Annak érdekében fejlesztették ki, hogy megvédje az Internetet bizonyos típusú támadásokkal (pl. cache poisoning) szemben.

A DNSSEC telepítése azt jelenti majd a megfelelően konfigurált kliensek (resolver) számára, hogy azok ellenőrizni tudják majd a DNS-től érkező adatok hitelességét. A bevezetésre fokozatosan kerül sor annak érdekében, hogy ellenőrizni tudják a lépéseket és probléma esetén ne egyszerre rontsanak el mindent.

A bevezetést az aláírt debian.net és debian.com zónák kiszolgálásával kezdik. Ha nem tapasztalnak problémát, akkor különböző reverse zónákkal, majd végül a debian.org zónával folytatják.

A részletek itt olvashatók.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Debianosok mindig valami értelmes dologgal állnak elő. Egykét piszkát (a mai napig nem tudtam megoldani, h a billentyűzetkiosztás normális legyen minden ékezetes karakter meglegyen konzolon)
leszámítva szerintem a legstabilabb disztró, következetes,konzekvens fejlesztéssel.

Biztonság szempontjából is elsőként van, az egyetlen ami bug nélkül kezeli, készíti és csatolja a titkosított (dmcrypt/LUKS) lemezeket. legalábbis azok közül amit eddig próbáltam (fedora, centos, ubuntu, opensuse,mandriva)

valahogy az fogalmazódott meg bennem, hogy a névfeloldásból származó információnak a megbízhatósága talán nem is annyira fontos mint a végpontok közti kommunikáció titkosítása, mert ugye ha a dns-t tovább biztosítják, akkor csak biztosabb lehetek benne, hogy az adott domain névhez az adott ip tartozik és esetleg nem tud közbeékelődni egy szerver hogy ezt az infót meghamisítsa.

viszont ettől függetlenül ip-t még fognak tudni hamisítani, vagy ha az isp szervere kompromittálódik, attól még kapcsolódhat a kliens a tudta nélkül másik szerverhez.

de ha tls / ssl kapcsolaton keresztül megy a kommunikáció a végpontok között, akkor ugye mindegy hogy megfelelő-e a dns infó. a digitális aláírás miatt kiderül hogy nem a megfelelő szerverrel kommunikál. a fenti cikkben linkelt DNSSEC leírásban említi is a szerző, hogy további problémát jelenthet a megnövekedő hálózati forgalom, illetve ha a publikus kulcsú titkosítással rendelkező megoldást használja valaki (ez lenne a dnssec ahogy írja), akkor az további plusz processzor erőforrást jelenthet nem csak szerver, hanem kliens részről is, amely pl. vékony klienseknél nem biztos hogy megengedhető.

lehet inkább a végpontok közti titkosításba kellene többet fejleszteni meg több biztonsági auditálást végezni (lásd. nemrég ugye a tls sebezhetőség).

de lehet hogy rosszul látom.

Én nem üzemeltetek szervert nem tudom mennyire nő a terhelés egy szervernél..

"de ha tls / ssl kapcsolaton keresztül megy a kommunikáció a végpontok között, akkor ugye mindegy hogy megfelelő-e a dns infó. a digitális aláírás miatt kiderül hogy nem a megfelelő szerverrel kommunikál."
Szerintem is az lenne a legjobb ha minden website https-es lenne... de nem így van, addig meg jó egy ilyen megoldás hogy a kliensek nagyobb biztonságban legyenek nem?
egyébként az ssl titkosítás az nem fogyaszt/ana annyi erőforrrást? mint dnssec?

szerintem is mindenképpen jobb ha valami biztonságosabb, csak olyan szempontból vizsgáltam a kérdést, hogy a durva tls hiba ellenében egy korrupt dns infó nagyságrendekkel kisebb tényező imho.

terhelés szempontjából én sem tudom mit jelenthet pluszban a hálózaton, meg kellene vizsgálni az adat méret különbségét. viszont a titkosítás miatt az a sejtésem hogy elképzelhető hogy jelenteni fog azért valamit, mert a sima protokollhoz képest ahol felolvassa az adatot és elküldi a szerver - ehhez képest minden egyes beeső kéréshez titkosítania kell minden egyes kiküldött csomagot. de igazad van, tls-nél is, és az még talán nagyobb mértékben jelent forgalmat és terhelést a kliensnél mint a dns lekérés.

"valahogy az fogalmazódott meg bennem, hogy a névfeloldásból származó információnak a megbízhatósága talán nem is annyira fontos mint a végpontok közti kommunikáció titkosítása, mert ugye ha a dns-t tovább biztosítják, akkor csak biztosabb lehetek benne, hogy az adott domain névhez az adott ip tartozik és esetleg nem tud közbeékelődni egy szerver hogy ezt az infót meghamisítsa."

A dnssec nem csak arra jo, hogy magat a dns valaszt ne hamisitsak, hanem arra is, hogy megbizhatoan megszerezd az adott hostnevhez tartozo certet, a sokat szidott x509 pki nelkul.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

idézet: "...hogy megbizhatoan megszerezd az adott hostnevhez tartozo certet..."

köszi hogy felhívtad erre a figyelmet, a linkelt leírásben erről nem írtak - a wiki-s bejegyzést kellett volna elolvasnom ezzel kapcsolatban.

"...While protecting IP addresses is the immediate concern for many users, DNSSEC can protect other information such as general-purpose cryptographic certificates stored in CERT records in the DNS. RFC 4398 describes how to distribute these certificates, including those for email, making it possible to use DNSSEC as a worldwide public key infrastructure for email."

így már kicsit más fényben tűnik fel a dolog.

"a digitális aláírás miatt kiderül hogy nem a megfelelő szerverrel kommunikál."

hogy' derul ki hogy melyik megbizhatonak jelolt hitelesitesszolgaltato altal alairt kulcs a valodi?
teszem azt valaki el akarja teriteni valamelyik bank titkositott oldalat, egy masik hitelesitesszolgaltatonal alairjak neki ugyanarra a szerverre a kulcsokat. a bongeszo mindkettot megbizhatonak tartja, hogy' fog kiderulni hogy nem a megfelelo szerverrel kommunikal?

ezek szerint nekem is aláírnak egy kulcsot bármikor és kapok cert-et bármely bank domain-jéhez? nem hiszem

másrészt ha egy már meglévő tls-es oldallal kommunikál a gépünk egy ideje, akkor az a kulcs tárolva lesz a gépen - az ujjlenyomatot a bankok meg tegyék közzé publikus forrásokon keresztül (nekem special az tetszene, ha nem csak számok formájában, hanem mint pl. ssh-nál a visualkey alapján, ha úgyis megjelenne, így könnyebb lenne azonosítani)

de értem mit akarsz mondani, már látom hogy dnssec ebben is nagy segítség lehet

ezek szerint nekem is aláírnak egy kulcsot bármikor és kapok cert-et bármely bank domain-jéhez? nem hiszem

pedig az a durva, hogy de. konkrétan én be is bizonyítottam, ráadásul pont egy banknak... elég ha hozzáférsz akár csak a levelező szerverükhöz, akár a dns szerverükhöz (vagy még az se kell, csak sikeres poisoning) és már hitelesíteni is tudod magad, mint domain tulajdonos.

nyilván "extended validation" esetén nem ennyire egyszerű, de sima, hitelesített ssl certet lehet szerezni és az egy sikeres támadáshoz már bőven elég.

Vicces, h ket honapja - ugyan mas eset kapcsan - de pont ugyanez jutott eszembe. Kb. loszart se er a jelenlegi PKI infrastruktura.

---
pontscho / fresh!mindworkz

A jelenlegi formájában nem azt hitelesítik, hogy te vagy a valódi domain owner, hanem hogy a domain az irányításod alatt van-e... ;)

Es mivel az azonositasi lehetosegeik mocskosul korlatozva vannak, az sem nyujtana semmilyen biztonsagot ha a kerelmezot azonositanak...

---
pontscho / fresh!mindworkz

Igazából egyes CA-k, komolyabb certjeihez megkövetelik a közjegyző által hitelesített dokumentumokat (pl. Netlock Class A), de egy támadó számára irreveláns, mert egyik ügyfél se nézi meg minden egyes alkalommal, hogy ki a pontos kiállítója a tanúsítványnak, milyen besorolású a cert és kinek a nevére szól.

Az EV-s certek annyiból jobbak, hogy az újabb böngészőknél megjelenik zölden kiemelve, hogy kinek a nevéhez fűződik és a CA által végzett hitelesítés is komolyabb, de szerintem 100 látogatóból 99 úgyse veszi észre, ha nem zöld a címsor és az itthoni kiadók nem is tudnak ilyen tanúsítványt kiadni (ahol EV-s cert van hazai weboldalaknál, azt mind külföldi CA adta ki [leginkább VeriSign] és rohadt sokat kellett perkálniuk érte...).

Mondjuk azt is megnézném azért, hogy a közjegyzői dokumentumokat mennyire vizsgálják át a hazai CA-k, hogyan állapítják meg, hogy valódiak... Van nekik vajon erre külön felfogadott szakértőjük? ;)

Ez a kerdes valojaban irrelevans abbol a tekintetben, h par hivatalos papir (utlevel, szemelyi) felmutatasa utan kapsz par tizezerert olyan certet ami szemely azonositasara alkalmas. Ma mar kapsz a feketepiacon olyan papirokat amik meg a nyilvantartasba is felvisznek, igy valodinak minosulnek. Gondolom ebbol mind a ketten sejtjuk, h ugyan hivatalosan csak levelezesre hasznalhatsz, de attol meg lehet vele trukkozni... es ott nem lesz komoly papir ellenorzes. Az egeszet csak az hatarozza meg, h milyen keret all a tamado rendelkezesere, ha ilyesmire van szuksege. Kb. ennyit er a mostani PKI. :)

Es igen. Mivel 100-bol 99 user szarik arra ami a certben szerepel, es siman leokezza az untrusted certet is, igy meg ezt sem kell megkockaztatni. :)

---
pontscho / fresh!mindworkz

De itt arról van szó, hogy a non-EV cert is hiteles, tehát nem kell leokézni semmit, csak annyi a különbség, hogy nem lesz zöld a címsor, hanem kék (mint pl. a gmail-nél, mert ott se EV cert van ;)

Pardon.

---
pontscho / fresh!mindworkz

érdekes amit írsz, elgondolkodtató hogy mennyi kiskaput kell bezárni egy egyszerűnek tűnő feladathoz

Maskepp fogalmazva az emberi lelemenyesseg hatartalan :)

"ezek szerint nekem is aláírnak egy kulcsot bármikor és kapok cert-et bármely bank domain-jéhez? nem hiszem"

ezt nem tudhatom de latom volt mar aki tesztelte :)

de mas modszerrel is meg lehet oldani, pl.:
- eredeti szerverrol valo certtel, ekkor semmi kulonbseget nem fogsz tapasztalni.
- bongeszo sebezhetosegen keresztul egy uj hitelesitesszolgaltato a tobbi kozott fel sem tunik, es maris magadnak irhatod ala.
- stb.!

tudom, nehezsegi fokot, megvalosithatosagot es hatastanulmanyt nem irtam ezekrol sem, es lehet hogy csak a fantaziam...

"másrészt ha egy már meglévő tls-es oldallal kommunikál a gépünk egy ideje, akkor az a kulcs tárolva lesz a gépen"

mi tortenik ha a bank certje lejar es ujat vesz akar masik alairotol? jelez valamit a bongeszo hogy megvaltozott? vagy mivel megbizhatonak latja semmit nem fogsz eszrevenni a valtozasbol?
nekem pl. fogalmam sincs hogy a netbankomnak ki az alairoja es ha ez valtozna eszrevennem-e. es ha eszrevennem mi lenne a teendo? felhivnam a bankot hogy valtozott-e? diktaljak be az ujjlenyomatot? pedig en paranoias vagyok, kepzeld el aki nem az! :)

"az ujjlenyomatot a bankok meg tegyék közzé publikus forrásokon keresztül"

pl. DNSSEC-en keresztul? :)

oke ertem hogy erted.