DNS

Bezpečné DNS pro koncové uživatele...

  1. Co je to DNS

  2. Co je to DNSSEC a proč používat DNSSEC

  3. Co je to DNS-over-TLS a proč ho používat

  4. Jak nastavit PC pro použití resolveru s DNSSEC a DNS-over-TLS

  5. Jak otestovat, že vše funguje

Co je to DNS?

DNS (Domain Name System) je systém pro překlad doménových jmen na IP adresy. Doménové jméno je lidsky čitelná adresa pro webové stránky, např. www.google.com. Nicméně, aby byla webová stránka viditelná a přístupná přes internet, potřebuje být spojena s unikátní IP adresou (např. 1.2.3.4), která ji identifikuje a umožňuje směrování dat.

DNS funguje jako rozcestník mezi doménovými jmény a IP adresami. Když uživatel zadá doménové jméno do webového prohlížeče, prohlížeč se obrátí na DNS server, aby zjistil odpovídající IP adresu. DNS server pak poskytne tuto informaci zpět prohlížeči a umožní mu navázat spojení s webovou stránkou.

Celý systém DNS je rozdělen do hierarchických doménových jmen, kde každý úroveň odpovídá konkrétní části jména. Například "google.com" je doména druhé úrovně, kde "google" je subdoména a ".com" je doména nejvyšší úrovně. Každá úroveň je spravována samostatnou autoritou a DNS serverem.

DNS (Domain Name System) je kritickou součástí fungování internetu. Bez DNS by bylo pro uživatele velmi obtížné používat internet, protože by museli pamatovat si IP adresy jednotlivých serverů a webových stránek, které chtějí navštívit.

DNS funguje jako "telefonní seznam" internetu, který mapuje názvy domén na IP adresy, které jsou pro počítače a sítě zpracovatelné. Když uživatel zadá název domény do svého prohlížeče, DNS přeloží tento název na odpovídající IP adresu, aby bylo možné navázat spojení s webovým serverem a zobrazit požadovanou webovou stránku.

Pokud by DNS selhal, uživatelé by museli zadávat IP adresy přímo, což by bylo nesmírně obtížné a nepraktické, zejména proto, že webové stránky a další internetové služby mohou mít různé IP adresy v závislosti na umístění a konfiguraci.

Z tohoto důvodu je DNS klíčovou součástí internetové infrastruktury a jeho fungování je nezbytné pro správné fungování internetu.

Co je DNSSEC validující Resolver?

DNSSEC (Domain Name System Security Extensions) validující resolver (překladač) je speciální typ DNS resolveru, který provádí ověřování digitálního podpisu DNS záznamů pro zabezpečení přenosu dat pomocí DNS protokolu.

V podstatě DNSSEC validující resolver kontroluje, zda jsou DNS záznamy, které jsou vraceny jako odpověď na dotaz uživatele, platné a nepodvržené. Toho dosáhne ověřováním digitálního podpisu DNS záznamů pomocí hierarchického řetězce klíčů a certifikátů.

Když DNSSEC validující resolver obdrží odpověď na dotaz, provádí několik kroků k ověření platnosti DNS záznamů. Nejprve ověřuje, zda byly záznamy podepsány digitálním podpisem, a zda byl použit správný klíč pro podepsání. Poté se dotáže na nadřazený DNS server, aby ověřil, zda je podepisující klíč platný a zda má oprávnění podepisovat danou doménu. Pokud je digitální podpis platný a ověření úspěšné, DNSSEC validující resolver vrací platné záznamy uživateli.

Výhodou DNSSEC validujících resolverů je, že poskytují vyšší úroveň zabezpečení proti různým útokům na DNS, jako jsou DNS cache poisoning, DNS spoofing a další. Proto je doporučeno používat DNSSEC validující resolver pro zajištění bezpečnosti a integritě DNS provozu.

Proč je důležité používat DNSSEC?

DNSSEC (DNS Security Extensions) je rozšíření protokolu DNS, které poskytuje bezpečnostní mechanismy pro ověření, že DNS odpovědi jsou platné a nepodvržené. Používání DNSSEC je důležité z několika důvodů:

  1. Ochrana před podvrženými DNS odpověďmi: Bez DNSSEC je velmi snadné podvrhnout DNS odpovědi a přesměrovat uživatele na falešné webové stránky. DNSSEC poskytuje mechanismy pro ověření, že DNS odpovědi jsou skutečně od autorizovaných zdrojů a nebyly změněny.

  2. Ochrana před útoky typu "man-in-the-middle": Útok typu "man-in-the-middle" je, kdy útočník mezi uživatelem a webovým serverem vkládá sebe jako "prostředníka" a přeposílá provoz mezi nimi. Tímto způsobem může útočník sledovat a modifikovat provoz, včetně DNS dotazů a odpovědí. Použití DNSSEC v kombinaci s jinými bezpečnostními mechanismy (např. HTTPS) může zabránit útokům typu "man-in-the-middle".

  3. Zajištění důvěry v DNS odpovědi: Použití DNSSEC poskytuje uživatelům důvěru, že DNS odpovědi jsou skutečně od autorizovaných zdrojů a nebyly změněny. To je zvláště důležité v případě kritických aplikací a služeb, jako jsou bankovní webové stránky nebo webové stránky pro správu osobních údajů.

  4. Zajištění důvěry v globální DNS hierarchii: DNSSEC také pomáhá zabezpečit globální DNS hierarchii tím, že zaručuje, že DNS odpovědi jsou skutečně od autorizovaných zdrojů a nebyly změněny. To pomáhá zabránit útokům na globální DNS infrastrukturu a zachovat integritu celého systému.

Celkově je použití DNSSEC důležité pro zajištění bezpečnosti a integrity DNS provozu a pro ochranu uživatelů před podvodnými a nebezpečnými internetovými aktivitami.

Co je to DNS-over-TLS (DoT)?

DNS-over-TLS (DoT) je bezpečný a šifrovaný způsob, jak provádět dotazy DNS pomocí protokolu Transport Layer Security (TLS). TLS je protokol pro zabezpečenou komunikaci na internetu a je široce používán pro zabezpečení přenosu dat v aplikacích, jako jsou webové prohlížeče, emailové klienty a další.

DoT zajišťuje, že DNS dotazy a odpovědi jsou šifrovány pomocí TLS protokolu, což zvyšuje bezpečnost a soukromí komunikace DNS. DoT také zajišťuje, že přenos dat DNS je chráněn před různými typy útoků, jako jsou útoky typu "man-in-the-middle" a podvržení DNS odpovědí.

Když uživatel používá DoT, jeho DNS dotazy jsou šifrovány a odeslány na DoT server, který je konfigurován pro poskytování DNS služeb prostřednictvím TLS. Pokud DoT server obdrží dotaz, rozšifruje ho a přepošle jej na správný DNS server. Poté, co DNS server vrátí odpověď, DoT server ji opět šifruje a odesílá zpět uživateli.

DoT se stává stále populárnějším řešením pro zabezpečení DNS provozu a ochranu soukromí uživatelů. V mnoha operačních systémech a prohlížečích lze nastavit DoT jako preferovaný způsob komunikace s DNS servery.

Proč je důležité používat DNS-over-TLS?

DNS-over-TLS (DoT) je protokol pro šifrování DNS provozu mezi klienty a DNS servery, které poskytují podporu pro tento protokol. Použití DoT má několik důležitých výhod:

  1. Ochrana před odposlechy: DoT šifruje DNS provoz mezi klientem a serverem, což zabraňuje útočníkům v odposlechu DNS dotazů a odpovědí. To je důležité pro ochranu soukromí a zabraňuje útočníkům v získání citlivých informací, jako jsou hesla nebo bankovní údaje.

  2. Ochrana před podvrženými DNS odpověďmi: DoT zajišťuje, že DNS odpovědi jsou doručeny přes šifrované spojení a jsou ověřitelné pomocí DNSSEC. To zabraňuje útočníkům v podvržení DNS odpovědí a přesměrování uživatelů na falešné webové stránky nebo jiné nebezpečné webové stránky.

  3. Ochrana před útoky typu "man-in-the-middle": DoT zajišťuje, že DNS provoz neprochází přes útočníkovu proxy a že komunikace probíhá přímo mezi klientem a DNS serverem. To zabraňuje útokům typu "man-in-the-middle", kdy útočník vkládá sebe jako "prostředníka" a přeposílá provoz mezi klientem a serverem.

  4. Zajištění důvěry v DNS odpovědi: Použití DoT poskytuje uživatelům důvěru, že DNS odpovědi jsou skutečně od autorizovaných zdrojů a nebyly změněny. To je zvláště důležité v případě kritických aplikací a služeb, jako jsou bankovní webové stránky nebo webové stránky pro správu osobních údajů.

Celkově je použití DoT důležité pro zajištění bezpečnosti a integrity DNS provozu a pro ochranu uživatelů před podvodnými a nebezpečnými internetovými aktivitami.

Jak mám nastavit PC pro použití DNS-over-TLS?

Nastavení DNS-over-TLS (DoT) na počítači závisí na operačním systému, který používáte. Zde je postup pro několik běžných operačních systémů:

Pro Windows 10:

  1. Otevřete Nastavení a klikněte na síť a internet.

  2. Klikněte na "Změnit adaptérové možnosti".

  3. Klikněte pravým tlačítkem myši na připojení, které chcete upravit, a vyberte "Vlastnosti".

  4. Vyberte "Internet Protocol verze 4 (TCP/IPv4)" nebo "Internet Protocol verze 6 (TCP/IPv6)" a klikněte na "Vlastnosti".

  5. Klikněte na tlačítko "Pokročilé" a přepněte na kartu "DNS".

  6. Vyberte možnost "Přidat" a zadejte IP adresu serveru DoT, který chcete použít. Můžete použít například 1.1.1.1 nebo 9.9.9.9, které nabízejí podporu pro DoT.

  7. Opakujte kroky 5 a 6 pro každou IP adresu serveru DoT, kterou chcete použít.

  8. Potvrďte změny kliknutím na tlačítko "OK".

Pro MacOS:

  1. Otevřete Systémové předvolby a klikněte na "Síť".

  2. Vyberte připojení, které chcete upravit, a klikněte na tlačítko "Pokročilé".

  3. Přepněte na kartu "DNS".

  4. Klikněte na tlačítko "+" a zadejte IP adresu serveru DoT, který chcete použít. Můžete použít například 1.1.1.1 nebo 9.9.9.9, které nabízejí podporu pro DoT.

  5. Opakujte krok 4 pro každou IP adresu serveru DoT, kterou chcete použít.

  6. Potvrďte změny kliknutím na tlačítko "OK".

Pro Linux:

  1. Otevřete terminál a přihlaste se jako správce.

  2. Zadejte příkaz "sudo nano /etc/systemd/resolved.conf" a stiskněte Enter.

  3. Přidejte následující řádky do souboru a změňte IP adresy na ty, které chcete použít: [Resolve] DNS=1.1.1.1 DNS=9.9.9.9 DNSOverTLS=yes

  4. Uložte soubor stisknutím klávesové zkratky Ctrl + X, následované stisknutím klávesy Y pro potvrzení změn.

  5. Restartujte

Jak otestovat, zda používám DNSSEC a DoT?

Online

https://dnscheck.tools/

Pomocí rozšíření do webových prohlížečů

Mozilla / Firefox - https://addons.mozilla.org/cs/firefox/search/?q=DNSSEC

Google / Chrome - https://chrome.google.com/webstore/search/DNSSEC?hl=cs

V OS Microsoft Windows

pomocí nástroje DNS Benchmark - ke stažení zde https://cdn.finaltek.net/ft/app/DNSBench.exe

  • 0 brukere syntes dette svaret var til hjelp
Var dette svaret til hjelp?

Relaterte artikler

Kolik mohu dostat IP adres?

Mohu mít k serveru více než 1 IPv4 adresu? Ano, avšak maximální počet IPv4 adres k vyhrazenému...

Linux - parametry kernelu

Linux Kernel Boot Parameters

Linux firewall - iptables

Iptables iptables -[ADC] chain rule-specification [options] iptables -I chain [rulenum]...

Linux firewall - fail2ban

Fail2ban   Nástroj na blokování útočníků automaticky...

Linux kernel

Sysctl   zapnuti ochrany kernelu (execshield) kernel.exec-shield=1...