Перейти к содержимому
Калькуляторы

11 октября 2018 ICANN собирается менять ключи DNS. Мы все умрём?

Из-за подобных "реформ" очень многие сайты могут запросто отключится от DNS. В общем опять что-то глобальное и непонятное ожидается в интернете.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вы бы хоть немного разобрались в вопросе, прежде чем чушь писать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это нездоровый на голову человек пишет, по остальным темам видно.

Лучше просто игнорировать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата

 

Решением специальной международной комиссии создана группа из шести человек, члены которой обладают полномочиями и специальными кодами для перезагрузки сети интернет.

Каждый член группы имеет фрагмент ключа, способного перезагрузить глобальную сеть после ее остановки, возможность которой предусмотрена новой системой безопасности DNSSEC – Domain Name System Security Extensions (Система безопасного расширения доменного имени), которая была запущена в текущем месяце, сообщает британская телерадиокорпорация BBC. Фрагменты ключа записаны на микросхемах, впечатанных в пластиковые карты.

DNSSEC создана на случай выключения мирового интернета в случае чрезвычайных обстоятельств – технологической катастрофы или крупной террористической атаки на телекоммуникационные объекты. Шесть избранных комиссией специалистов, собравшись вместе, смогут вновь запустить глобальную сеть.

Британским журналистам стало известно имя одного из обладателей фрагмента ключа. Это некий Пол Кейн, проживающий в английском городе Бат и преподающий в местном университете.

"Ключом для перезагрузки интернета", поясняет в этой связи Вебпланета, СМИ в данном случае объявили так называемый "ключ подписи ключа" (Key Signing Key, KSK), который является важным элементом криптографической системы DNSSEC. По сути это ключ корневой зоны, фундамент, обеспечивающий достоверность и целостность данных DNS.

ICANN полтора месяца назад провела торжественную церемонию генерации KSK. После генерации KSK был хитрым образом разделен на части, которые были записаны на специальные карты и розданы нескольким доверенным представителям. В случае если KSK каким-то непостижимым образом потеряется, его всегда можно восстановить: для этого достаточно будет собраться любым пяти доверенным представителям с фрагментами корневого ключа.

Что касается системы DNSSEC, то она пока еще только начинает накладываться на существующую инфраструктуру, поэтому в ближайшее время вряд ли случится что-то действительно страшное. Кроме того, по задумке, KSK будет периодически меняться: ICANN говорит, что церемония генерации ключа будет проводиться четыре раза в год.

Это необходимо для снижения вероятности того, что какие-то тёмные силы смогут подобрать его брутфорсом. Соответственно, будет постоянно меняться и состав "специальной группы программистов".

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В этом тексте перемешаны правда и туфта.

И да, вы все умрёте.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да всем пох, никто ключи не валидирует и не собирается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, Ivan_83 сказал:

Да всем пох, никто ключи не валидирует и не собирается.

Точнее те единицы которые валидируют (тем кто беспокоится за безопасность), спокойно добавят новый ключ без шума и пыли.

У основной массы новый ключ прилетит при обновлении системы.

Ну а непонятные индивидумы которые заморочены безопасностью, но при этом не следят за новостями в ИБ сами себе злобные буратины и гнать таких в шею.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 9/20/2018 at 8:26 PM, Ivan_83 said:

Да всем пох, никто ключи не валидирует и не собирается.

50% валидирующих резолверов в мире - это, конечно, никто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 20.09.2018 в 09:27, A_Max сказал:

Точнее те единицы которые валидируют (тем кто беспокоится за безопасность), спокойно добавят новый ключ без шума и пыли.

Нету там безопасности.

Эту проблему раздули вообще на ровном месте: типа если заслать 100500 невалидных ответов в секунду то можно поймать момент когда жертва запрашивала этот самый домен и наш левый ответ прилетит первее.

Ну ОК, правда можно.

 

Это легко митигируется вообще без крипты - просто переходим на резолвинг по TCP, оно дольше зато такой проблемы нет, как и максимальный размер пакета не ограничен.

В unbound это дополнительно даже в UDP можно митигировать включив рандомизацию регистра в запросе, правда не все днс сервера в ответ пихают текст из запроса и ответ может прилететь запросто в какомнить одном регистре. Ещё вроде у анбоунда есть какие то рейтлимитеры на предмет получения незапрошеных ответов, но я тут не копал глубоко, потому что считаю что как минимум этот вектор для целевой атаки, а я никому не нужен чтобы так стараться и профита с меня в случае успеха не будет.

 

Подмена на уровне сети (про случаи когда, скажем, провайдер заворачивает все DNS запросы себе) - так валидор тут не поможет, он просто будет выдавать ошибку как минимум для подменённых хостов. И вообще это давно вылечено с помощью долбаного TLS и SSH ключей хостов.

 

Вся тема с ключами ДНС мало того что раздута, она ещё и опоздала лет минимум на 20.

Сейчас это выглядит попыткой сохранить контроль на инетом, один из многих рычагов.

 

7 часов назад, ipaddr.ru сказал:

50% валидирующих резолверов в мире - это, конечно, никто.

Что случилось с марта по май?

В попсовом дистре поменяли дефолтный конфиг бинда/анбоунда?

Они поменяли методику чтобы щёки надувать?)

Я тебе сходу могу сказать что там не 50% а 0,0000005%.

Потому что к ним на рут сервера ходят не просто резолверы а резолверы-рекурсеры, которые как правило у всяких провайдеров стоят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну, не знаю, не знаю...

У меня резолверы ключики валидируют. Новый ключ приехал сам в каком-то из очередных обновлений. Руками ничего не делал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну, судя по тому, что 


dig @8.8.8.8 dnssec-failed.org a

 

не прокатывает, один из самых популярных ресловеров валидирует... :) Вот яндекс нет... 1.1.1.1 тоже да...

 

В центоси (и по всей видимости во всех Рхел) бинд идет с включенной по умолчанию в конфиге опцией dnssec-validation yes;. ubound тоже

 

Насколько мне рассказали наши виндовые коллеги, в свежих вин серверах DNS сервер идет с [x] напротив валидации DNSSec.. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, st_re сказал:

Насколько мне рассказали наши виндовые коллеги, в свежих вин серверах DNS сервер идет с [x] напротив валидации DNSSec.. 

И даже круче: в графическом интерфейсе нет опции выключить DNSSEC, только через консоль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, jffulcrum сказал:

И даже круче: в графическом интерфейсе нет опции выключить DNSSEC, только через консоль.

Эээ.. мне именно показали именно опцию и имено в графическом интерфейсе... Сам я лично имею счастье не заниматься виндами последние 7 лет вообще. (ну кроме домашнего ноута)

 

По тексту на крыжике было что да, вкл-выкл валидацию DNSSec.. дословно текст не помню, естественно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@st_re В 2012 - да, есть галочка, по дефолту снята. В 2016 - галочки нет, по дефолту включено.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну может быть и 12 версия там у них.. спрошу при случае..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 25. 9. 2018 at 1:49 PM, Ivan_83 said:

Потому что к ним на рут сервера ходят не просто резолверы а резолверы-рекурсеры, которые как правило у всяких провайдеров стоят.

Нда, видно, кто-то не озаботился получить лицензию на обращение к рут-серверу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

On 9/25/2018 at 10:46 PM, st_re said:

Насколько мне рассказали наши виндовые коллеги, в свежих вин серверах DNS сервер идет с [x] напротив валидации DNSSec.. 

Галочка то есть. Однако Trust points пустое, посему и не работает по умолчанию.

Windows Server 2012 R2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну чё ? Кажется сегодня жахнем ? Очень в "удобное" для нас время, в 19.00 по Москве и еще позже в более восточных ЧП..  

Но на самом деле у большинства то не жахнет, или все настроено и обновлено или нет проверок dnssec. Да и у остальных то не сразу, а по мере протухания ответов с NSами доменов первого уровня. Как раз гденить к выходным...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вроде как жахнули.... https://mm.icann.org/pipermail/ksk-rollover/2018-October/000545.html

 

Из замеченных проблем, у меня дома из обоих кранов льет кипяток... Кажется в жеке что то забыли обновить.. Но врядли ДНС :)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ещё мыло ру позавчера похерило все клиенты со старым протоколом: миранда, пижин и наверное какие то транспорты жабера, боты написанные во времена когда паша ещё только вк поднимал с братом и спамботы сдохли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А ни у кого нет жалоб от абонентов пользователей андроидов и всевозможных "приставок" на андрюше?

На предмет недоступности ютуб и плей-маркет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У наших электриков на подстанции авария, трансформатор сгорел.

Но мне кажется, что это не из-за DNS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, alibek сказал:

У наших электриков на подстанции авария, трансформатор сгорел.

Но мне кажется, что это не из-за DNS.

Ну да, как же это я позабыл, что андроид - это единственная ОС, которая НЕ использует DNS для доступа в Интернет..

Видимо, действительно, трансформатор сгорел..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.