11 октября 2018 ICANN собирается менять ключи DNS. Мы все умрём?

ДигиталМэн · September 19, 2018

Из-за подобных "реформ" очень многие сайты могут запросто отключится от DNS. В общем опять что-то глобальное и непонятное ожидается в интернете.

ipaddr.ru · September 19, 2018

Ну вы бы хоть немного разобрались в вопросе, прежде чем чушь писать.

alibek · September 19, 2018

Это нездоровый на голову человек пишет, по остальным темам видно.

Лучше просто игнорировать.

ДигиталМэн · September 19, 2018

Цитата

Решением специальной международной комиссии создана группа из шести человек, члены которой обладают полномочиями и специальными кодами для перезагрузки сети интернет.

Каждый член группы имеет фрагмент ключа, способного перезагрузить глобальную сеть после ее остановки, возможность которой предусмотрена новой системой безопасности DNSSEC – Domain Name System Security Extensions (Система безопасного расширения доменного имени), которая была запущена в текущем месяце, сообщает британская телерадиокорпорация BBC. Фрагменты ключа записаны на микросхемах, впечатанных в пластиковые карты.

DNSSEC создана на случай выключения мирового интернета в случае чрезвычайных обстоятельств – технологической катастрофы или крупной террористической атаки на телекоммуникационные объекты. Шесть избранных комиссией специалистов, собравшись вместе, смогут вновь запустить глобальную сеть.

Британским журналистам стало известно имя одного из обладателей фрагмента ключа. Это некий Пол Кейн, проживающий в английском городе Бат и преподающий в местном университете.

"Ключом для перезагрузки интернета", поясняет в этой связи Вебпланета, СМИ в данном случае объявили так называемый "ключ подписи ключа" (Key Signing Key, KSK), который является важным элементом криптографической системы DNSSEC. По сути это ключ корневой зоны, фундамент, обеспечивающий достоверность и целостность данных DNS.

ICANN полтора месяца назад провела торжественную церемонию генерации KSK. После генерации KSK был хитрым образом разделен на части, которые были записаны на специальные карты и розданы нескольким доверенным представителям. В случае если KSK каким-то непостижимым образом потеряется, его всегда можно восстановить: для этого достаточно будет собраться любым пяти доверенным представителям с фрагментами корневого ключа.

Что касается системы DNSSEC, то она пока еще только начинает накладываться на существующую инфраструктуру, поэтому в ближайшее время вряд ли случится что-то действительно страшное. Кроме того, по задумке, KSK будет периодически меняться: ICANN говорит, что церемония генерации ключа будет проводиться четыре раза в год.

Это необходимо для снижения вероятности того, что какие-то тёмные силы смогут подобрать его брутфорсом. Соответственно, будет постоянно меняться и состав "специальной группы программистов".

straus · September 19, 2018

В этом тексте перемешаны правда и туфта.

И да, вы все умрёте.

Ivan_83 · September 19, 2018

Да всем пох, никто ключи не валидирует и не собирается.

A_Max · September 20, 2018

9 часов назад, Ivan_83 сказал:

Да всем пох, никто ключи не валидирует и не собирается.

Точнее те единицы которые валидируют (тем кто беспокоится за безопасность), спокойно добавят новый ключ без шума и пыли.

У основной массы новый ключ прилетит при обновлении системы.

Ну а непонятные индивидумы которые заморочены безопасностью, но при этом не следят за новостями в ИБ сами себе злобные буратины и гнать таких в шею.

ipaddr.ru · September 25, 2018

On 9/20/2018 at 8:26 PM, Ivan_83 said:

Да всем пох, никто ключи не валидирует и не собирается.

50% валидирующих резолверов в мире - это, конечно, никто.

Ivan_83 · September 25, 2018

В 20.09.2018 в 09:27, A_Max сказал:

Точнее те единицы которые валидируют (тем кто беспокоится за безопасность), спокойно добавят новый ключ без шума и пыли.

Нету там безопасности.

Эту проблему раздули вообще на ровном месте: типа если заслать 100500 невалидных ответов в секунду то можно поймать момент когда жертва запрашивала этот самый домен и наш левый ответ прилетит первее.

Ну ОК, правда можно.

Это легко митигируется вообще без крипты - просто переходим на резолвинг по TCP, оно дольше зато такой проблемы нет, как и максимальный размер пакета не ограничен.

В unbound это дополнительно даже в UDP можно митигировать включив рандомизацию регистра в запросе, правда не все днс сервера в ответ пихают текст из запроса и ответ может прилететь запросто в какомнить одном регистре. Ещё вроде у анбоунда есть какие то рейтлимитеры на предмет получения незапрошеных ответов, но я тут не копал глубоко, потому что считаю что как минимум этот вектор для целевой атаки, а я никому не нужен чтобы так стараться и профита с меня в случае успеха не будет.

Подмена на уровне сети (про случаи когда, скажем, провайдер заворачивает все DNS запросы себе) - так валидор тут не поможет, он просто будет выдавать ошибку как минимум для подменённых хостов. И вообще это давно вылечено с помощью долбаного TLS и SSH ключей хостов.

Вся тема с ключами ДНС мало того что раздута, она ещё и опоздала лет минимум на 20.

Сейчас это выглядит попыткой сохранить контроль на инетом, один из многих рычагов.

7 часов назад, ipaddr.ru сказал:

50% валидирующих резолверов в мире - это, конечно, никто.

Что случилось с марта по май?

В попсовом дистре поменяли дефолтный конфиг бинда/анбоунда?

Они поменяли методику чтобы щёки надувать?)

Я тебе сходу могу сказать что там не 50% а 0,0000005%.

Потому что к ним на рут сервера ходят не просто резолверы а резолверы-рекурсеры, которые как правило у всяких провайдеров стоят.

sol · September 25, 2018

Ну, не знаю, не знаю...

У меня резолверы ключики валидируют. Новый ключ приехал сам в каком-то из очередных обновлений. Руками ничего не делал.

st_re · September 25, 2018

Ну, судя по тому, что


dig @8.8.8.8 dnssec-failed.org a

не прокатывает, один из самых популярных ресловеров валидирует... :) Вот яндекс нет... 1.1.1.1 тоже да...

В центоси (и по всей видимости во всех Рхел) бинд идет с включенной по умолчанию в конфиге опцией dnssec-validation yes;. ubound тоже

Насколько мне рассказали наши виндовые коллеги, в свежих вин серверах DNS сервер идет с [x] напротив валидации DNSSec..

jffulcrum · September 25, 2018

4 часа назад, st_re сказал:

Насколько мне рассказали наши виндовые коллеги, в свежих вин серверах DNS сервер идет с [x] напротив валидации DNSSec..

И даже круче: в графическом интерфейсе нет опции выключить DNSSEC, только через консоль.

st_re · September 25, 2018

1 час назад, jffulcrum сказал:

И даже круче: в графическом интерфейсе нет опции выключить DNSSEC, только через консоль.

Эээ.. мне именно показали именно опцию и имено в графическом интерфейсе... Сам я лично имею счастье не заниматься виндами последние 7 лет вообще. (ну кроме домашнего ноута)

По тексту на крыжике было что да, вкл-выкл валидацию DNSSec.. дословно текст не помню, естественно

jffulcrum · September 25, 2018

@st_re В 2012 - да, есть галочка, по дефолту снята. В 2016 - галочки нет, по дефолту включено.

st_re · September 25, 2018

Ну может быть и 12 версия там у них.. спрошу при случае..

ipaddr.ru · September 26, 2018

On 25. 9. 2018 at 1:49 PM, Ivan_83 said:

Потому что к ним на рут сервера ходят не просто резолверы а резолверы-рекурсеры, которые как правило у всяких провайдеров стоят.

Нда, видно, кто-то не озаботился получить лицензию на обращение к рут-серверу.

dr Tr0jan · September 26, 2018

On 9/25/2018 at 10:46 PM, st_re said:

Насколько мне рассказали наши виндовые коллеги, в свежих вин серверах DNS сервер идет с [x] напротив валидации DNSSec..

Галочка то есть. Однако Trust points пустое, посему и не работает по умолчанию.

Windows Server 2012 R2

st_re · October 11, 2018

ну чё ? Кажется сегодня жахнем ? Очень в "удобное" для нас время, в 19.00 по Москве и еще позже в более восточных ЧП..

Но на самом деле у большинства то не жахнет, или все настроено и обновлено или нет проверок dnssec. Да и у остальных то не сразу, а по мере протухания ответов с NSами доменов первого уровня. Как раз гденить к выходным...

st_re · October 11, 2018

Ну вроде как жахнули.... https://mm.icann.org/pipermail/ksk-rollover/2018-October/000545.html

Из замеченных проблем, у меня дома из обоих кранов льет кипяток... Кажется в жеке что то забыли обновить.. Но врядли ДНС :)

Ivan_83 · October 11, 2018

Ещё мыло ру позавчера похерило все клиенты со старым протоколом: миранда, пижин и наверное какие то транспорты жабера, боты написанные во времена когда паша ещё только вк поднимал с братом и спамботы сдохли.

ipaddr.ru · October 12, 2018

DNSSEC - это не rocket science, правда?

AlKov · October 12, 2018

А ни у кого нет жалоб от абонентов пользователей андроидов и всевозможных "приставок" на андрюше?

На предмет недоступности ютуб и плей-маркет.

alibek · October 12, 2018

У наших электриков на подстанции авария, трансформатор сгорел.

Но мне кажется, что это не из-за DNS.

AlKov · October 12, 2018

4 часа назад, alibek сказал:

У наших электриков на подстанции авария, трансформатор сгорел.

Но мне кажется, что это не из-за DNS.

Ну да, как же это я позабыл, что андроид - это единственная ОС, которая НЕ использует DNS для доступа в Интернет..

Видимо, действительно, трансформатор сгорел..

ayf · October 15, 2018

Простите, джентльмены, а мы уже умерли?:)

Sign In

11 октября 2018 ICANN собирается менять ключи DNS. Мы все умрём?

Recommended Posts

ДигиталМэн

ipaddr.ru

alibek

ДигиталМэн

straus

Ivan_83

A_Max

ipaddr.ru

Ivan_83

sol

st_re

jffulcrum

st_re

jffulcrum

st_re

ipaddr.ru

dr Tr0jan

st_re

st_re

Ivan_83

ipaddr.ru

AlKov

alibek

AlKov

ayf

Join the conversation