Jump to content
Калькуляторы

11 октября 2018 ICANN собирается менять ключи DNS. Мы все умрём?

Из-за подобных "реформ" очень многие сайты могут запросто отключится от DNS. В общем опять что-то глобальное и непонятное ожидается в интернете.

 

Share this post


Link to post
Share on other sites

Это нездоровый на голову человек пишет, по остальным темам видно.

Лучше просто игнорировать.

Share this post


Link to post
Share on other sites
Цитата

 

Решением специальной международной комиссии создана группа из шести человек, члены которой обладают полномочиями и специальными кодами для перезагрузки сети интернет.

Каждый член группы имеет фрагмент ключа, способного перезагрузить глобальную сеть после ее остановки, возможность которой предусмотрена новой системой безопасности DNSSEC – Domain Name System Security Extensions (Система безопасного расширения доменного имени), которая была запущена в текущем месяце, сообщает британская телерадиокорпорация BBC. Фрагменты ключа записаны на микросхемах, впечатанных в пластиковые карты.

DNSSEC создана на случай выключения мирового интернета в случае чрезвычайных обстоятельств – технологической катастрофы или крупной террористической атаки на телекоммуникационные объекты. Шесть избранных комиссией специалистов, собравшись вместе, смогут вновь запустить глобальную сеть.

Британским журналистам стало известно имя одного из обладателей фрагмента ключа. Это некий Пол Кейн, проживающий в английском городе Бат и преподающий в местном университете.

"Ключом для перезагрузки интернета", поясняет в этой связи Вебпланета, СМИ в данном случае объявили так называемый "ключ подписи ключа" (Key Signing Key, KSK), который является важным элементом криптографической системы DNSSEC. По сути это ключ корневой зоны, фундамент, обеспечивающий достоверность и целостность данных DNS.

ICANN полтора месяца назад провела торжественную церемонию генерации KSK. После генерации KSK был хитрым образом разделен на части, которые были записаны на специальные карты и розданы нескольким доверенным представителям. В случае если KSK каким-то непостижимым образом потеряется, его всегда можно восстановить: для этого достаточно будет собраться любым пяти доверенным представителям с фрагментами корневого ключа.

Что касается системы DNSSEC, то она пока еще только начинает накладываться на существующую инфраструктуру, поэтому в ближайшее время вряд ли случится что-то действительно страшное. Кроме того, по задумке, KSK будет периодически меняться: ICANN говорит, что церемония генерации ключа будет проводиться четыре раза в год.

Это необходимо для снижения вероятности того, что какие-то тёмные силы смогут подобрать его брутфорсом. Соответственно, будет постоянно меняться и состав "специальной группы программистов".

 

 

Share this post


Link to post
Share on other sites

В этом тексте перемешаны правда и туфта.

И да, вы все умрёте.

 

Share this post


Link to post
Share on other sites

Да всем пох, никто ключи не валидирует и не собирается.

Share this post


Link to post
Share on other sites
9 часов назад, Ivan_83 сказал:

Да всем пох, никто ключи не валидирует и не собирается.

Точнее те единицы которые валидируют (тем кто беспокоится за безопасность), спокойно добавят новый ключ без шума и пыли.

У основной массы новый ключ прилетит при обновлении системы.

Ну а непонятные индивидумы которые заморочены безопасностью, но при этом не следят за новостями в ИБ сами себе злобные буратины и гнать таких в шею.

Share this post


Link to post
Share on other sites
В 20.09.2018 в 09:27, A_Max сказал:

Точнее те единицы которые валидируют (тем кто беспокоится за безопасность), спокойно добавят новый ключ без шума и пыли.

Нету там безопасности.

Эту проблему раздули вообще на ровном месте: типа если заслать 100500 невалидных ответов в секунду то можно поймать момент когда жертва запрашивала этот самый домен и наш левый ответ прилетит первее.

Ну ОК, правда можно.

 

Это легко митигируется вообще без крипты - просто переходим на резолвинг по TCP, оно дольше зато такой проблемы нет, как и максимальный размер пакета не ограничен.

В unbound это дополнительно даже в UDP можно митигировать включив рандомизацию регистра в запросе, правда не все днс сервера в ответ пихают текст из запроса и ответ может прилететь запросто в какомнить одном регистре. Ещё вроде у анбоунда есть какие то рейтлимитеры на предмет получения незапрошеных ответов, но я тут не копал глубоко, потому что считаю что как минимум этот вектор для целевой атаки, а я никому не нужен чтобы так стараться и профита с меня в случае успеха не будет.

 

Подмена на уровне сети (про случаи когда, скажем, провайдер заворачивает все DNS запросы себе) - так валидор тут не поможет, он просто будет выдавать ошибку как минимум для подменённых хостов. И вообще это давно вылечено с помощью долбаного TLS и SSH ключей хостов.

 

Вся тема с ключами ДНС мало того что раздута, она ещё и опоздала лет минимум на 20.

Сейчас это выглядит попыткой сохранить контроль на инетом, один из многих рычагов.

 

7 часов назад, ipaddr.ru сказал:

50% валидирующих резолверов в мире - это, конечно, никто.

Что случилось с марта по май?

В попсовом дистре поменяли дефолтный конфиг бинда/анбоунда?

Они поменяли методику чтобы щёки надувать?)

Я тебе сходу могу сказать что там не 50% а 0,0000005%.

Потому что к ним на рут сервера ходят не просто резолверы а резолверы-рекурсеры, которые как правило у всяких провайдеров стоят.

Share this post


Link to post
Share on other sites

Ну, не знаю, не знаю...

У меня резолверы ключики валидируют. Новый ключ приехал сам в каком-то из очередных обновлений. Руками ничего не делал.

Share this post


Link to post
Share on other sites

Ну, судя по тому, что 


dig @8.8.8.8 dnssec-failed.org a

 

не прокатывает, один из самых популярных ресловеров валидирует... :) Вот яндекс нет... 1.1.1.1 тоже да...

 

В центоси (и по всей видимости во всех Рхел) бинд идет с включенной по умолчанию в конфиге опцией dnssec-validation yes;. ubound тоже

 

Насколько мне рассказали наши виндовые коллеги, в свежих вин серверах DNS сервер идет с [x] напротив валидации DNSSec.. 

Share this post


Link to post
Share on other sites
4 часа назад, st_re сказал:

Насколько мне рассказали наши виндовые коллеги, в свежих вин серверах DNS сервер идет с [x] напротив валидации DNSSec.. 

И даже круче: в графическом интерфейсе нет опции выключить DNSSEC, только через консоль.

Share this post


Link to post
Share on other sites
1 час назад, jffulcrum сказал:

И даже круче: в графическом интерфейсе нет опции выключить DNSSEC, только через консоль.

Эээ.. мне именно показали именно опцию и имено в графическом интерфейсе... Сам я лично имею счастье не заниматься виндами последние 7 лет вообще. (ну кроме домашнего ноута)

 

По тексту на крыжике было что да, вкл-выкл валидацию DNSSec.. дословно текст не помню, естественно

Share this post


Link to post
Share on other sites

Ну может быть и 12 версия там у них.. спрошу при случае..

Share this post


Link to post
Share on other sites
On 25. 9. 2018 at 1:49 PM, Ivan_83 said:

Потому что к ним на рут сервера ходят не просто резолверы а резолверы-рекурсеры, которые как правило у всяких провайдеров стоят.

Нда, видно, кто-то не озаботился получить лицензию на обращение к рут-серверу.

Share this post


Link to post
Share on other sites
On 9/25/2018 at 10:46 PM, st_re said:

Насколько мне рассказали наши виндовые коллеги, в свежих вин серверах DNS сервер идет с [x] напротив валидации DNSSec.. 

Галочка то есть. Однако Trust points пустое, посему и не работает по умолчанию.

Windows Server 2012 R2

Share this post


Link to post
Share on other sites

ну чё ? Кажется сегодня жахнем ? Очень в "удобное" для нас время, в 19.00 по Москве и еще позже в более восточных ЧП..  

Но на самом деле у большинства то не жахнет, или все настроено и обновлено или нет проверок dnssec. Да и у остальных то не сразу, а по мере протухания ответов с NSами доменов первого уровня. Как раз гденить к выходным...

Share this post


Link to post
Share on other sites

Ну вроде как жахнули.... https://mm.icann.org/pipermail/ksk-rollover/2018-October/000545.html

 

Из замеченных проблем, у меня дома из обоих кранов льет кипяток... Кажется в жеке что то забыли обновить.. Но врядли ДНС :)

 

Share this post


Link to post
Share on other sites

Ещё мыло ру позавчера похерило все клиенты со старым протоколом: миранда, пижин и наверное какие то транспорты жабера, боты написанные во времена когда паша ещё только вк поднимал с братом и спамботы сдохли.

Share this post


Link to post
Share on other sites

А ни у кого нет жалоб от абонентов пользователей андроидов и всевозможных "приставок" на андрюше?

На предмет недоступности ютуб и плей-маркет.

Share this post


Link to post
Share on other sites

У наших электриков на подстанции авария, трансформатор сгорел.

Но мне кажется, что это не из-за DNS.

Share this post


Link to post
Share on other sites
4 часа назад, alibek сказал:

У наших электриков на подстанции авария, трансформатор сгорел.

Но мне кажется, что это не из-за DNS.

Ну да, как же это я позабыл, что андроид - это единственная ОС, которая НЕ использует DNS для доступа в Интернет..

Видимо, действительно, трансформатор сгорел..

Share this post


Link to post
Share on other sites

Простите, джентльмены, а мы уже умерли?:)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now