Jak nastavit DNSSEC v PC

28. 8. 2013 | Jindřich Zechmeister

Technologie DNSSEC garantuje správnost DNS záznamů a jejich integritu (nezměnění) při cestě k uživateli. DNSSEC se v Česku používá pátý rok a i vy určitě máte nějakou CZ doménu podepsanou DNSSECem. Jak ale využívat DNSSEC z pohledu návštěvníka?

CZ doména je jedním z lídrů DNSSEC

Logo české domény CZPrvní doména podporující DNSSEC byla švédská doména SE a po jeho zavedení byla lídrem i v počtu podepsaných domén. Od začátku roku 2010 drželo prvenství v počtu podepsaných domén Česko a CZ doména. O prvenství CZ doménu připravila v srpnu minulého roku NL doména a letos na jaře brazilská doména BR odsunula Česko na třetí místo v počtu podepsaných domén. 

Česká doména CZ je v počtu podepsaných domén aktuálně třetí na světě. Podepsáno je 404 tisíc českých domén, což je celých 38 % všech existujících CZ domén. Vzhledem k celkovému počtu domén se jedná o nejvyšší podíl podpisu mezi všemi světovými doménami. Pro srovnání - generická doména COM má podepsano 260 tisíc domén a evropská doména EU má v současnosti podepsáno 172 tisíc domén.

Ze strany českých registrátorů je podpora DNSSECu vynikající a většina z nich, například regZone.cz, vám umožní domény zdarma podepsat.

Podpora DNSSECu u poskytovatelů internetu

Podle informací sdružení CZ NIC podporuje DNSSEC sedm významných poskytovatelů internetového připojení, mezi nimiž jsou společnosti Casablanca, ČD-Telematika nebo GTS Novera.

DNSSEC a internet pro domácnosti 

V případě poskytovatelů internetu pro domácnosti je situace horší a většina (zejména menších) českých poskytovatelů internetu pro domácnosti DNSSEC nepodporuje. Jejich DNS servery (resolvery), které zákazníci používají pro připojení k internetu, technologii DNSSEC nepoužívají, a záznamy nevalidují.

Výjimkou jsou síťě společností Télefonica (O2) a Vodafone, ve kterých je DNSSEC dostupný jak pro mobilní zařízení, tak pro ADSL. Firmy UPC a T-mobile dle veřejně dostupných informací podporu pro domácnosti připravují (v mobilní síti T-mobile DNSSEC funguje).

Pokud máte internetové připojení od poskytovatele nepodporujícího tuto technologii, nemůžete s jeho DNS servery výhod DNSSECu využít. Řešení je však překvapivě jednoduché - můžete využít jiné veřejné DNS servery (resolvery), které DNSSEC podporují.

Jak ověřit podporu DNSSEC ve své síti

Pokud si chcete ověřit, zdali poskytovatel vašeho internetu DNSSEC podporuje a zdali ho používáte, není nic jednoduššího, než navštívit stránky DNSSEC.CZ a zjistit skutečný stav. Na těchto stránkách provozovaných CZ NICem uvidíte vpravo ikonu zámečku, která je v případě podpory DNSSEC zelená a v opačném případě červená. 

test ochrany pomocí DNSSEC

Negativní výsledek Testu ochrany pomocí DNSSEC značí, že váš poskytovatel DNSSEC nepodporuje.

Pokud je zámek červený a DNSSEC "zapnutý" nemáte, postupujte dle našeho návodu. S jeho pomocí si DNSSEC nastavíte nezávisle na poskytovateli internetu a budete ho využívat.

Využijte otevřených DNS resolverů CZ.NIC

Logo správce CZ doménySdružení CZ.NIC je správcem české národní domény CZ a je znám svým aktivním přístupem k internetové bezpečnosti a dohledu nad bezpečností CZ zóny (všech českých domén). K udržení bezpečnosti českých domén a českého internetu slouží dva bezpečnostní týmy - národní CSIRT České republiky a CZ.NIC-CSIRT.

CZ.NIC a česká doména patří k světovým lídrům v nasazení a používání DNSSECu. Ve sdružení přímo pracují vývojáři, kteří tyto standardy vytváří a pomáhají zavádět.

Sdružení vám umožňuje využít jejich otevřených DNS serverů a zvýšit tak bezpečnost svého surfování s DNSSECem. Pravděpodobně změnou DNS serverů zaznamenáte i rychlejší načítání webových stránek, jelikož je výkon serverů vyšší, než serverů poskytovatele.

Změna DNS a zapnutí DNSSEC ve Windows

Logo systému WindowsV systému Windows je dialog změny DNS serverů stejný již od pradávna. Tento postup můžete použít i na starších verzích systému, než Windows 7, ze kterého byly pořízeny obrázky.

Otevřete si Centrum síťových připojení a sdílení (v Ovládacích panelech, nebo po kliknutí pravým tlačítkem na ikonu sítě na hlavním panelu).

Nastavení DNSSEC - Centrum síťových připojení

Klikněte na Připojení k místní síti. Zobrazí se detail připojení, ve kterém klikněte na vlastnosti.

Nastavení DNSSEC - Vlastnosti připojení

V dialogu Vlastnosti připojení označte protokol IP verze 4 a klikněte na Vlastnosti.

Nastavení DNSSEC - vlastnosti použitého protokolu

V následujícím okně uvidíte možnost zadání vlastních DNS serverů. Do pole pro IP adresu dvou DNS serverů uveďte IP adresy otevřených validujících resolverů CZ NICu:  217.31.204.130 a 193.29.206.206Používáte-li IPv6, můžete stejným způsobem nastavit DNS servery pro tento protokol: 2001:1488:800:400::130 a 2001:678:1::206

Po úpravě klikněte na OK a nově zadané DNS servery se začnou používat. Doporučuji ještě vymazat stávající cache (paměť) DNS systému zadáním příkazu ipconfig /flushdns do příkazové řádky (Start - spustit . cmd).

Změna DNS a zapnutí DNSSEC v Linuxu

Linuxových distribucí existuje velké množství a nastavení systému může vypadat odlišně; následující postup a jeho screenshoty platí pro distribuce založené na Debianu. Podobně však můžete postupovat při nastavení sítě jakékoliv distribuce.

Na hlavním panelu vaší distribuce by měla být přítomna ikona současného připojení. Klikněte na ni pravým tlačítkem a vyvolejte dialog úpravy připojení. 

Nastavení DNSSEC v linuxu - úprava připojení

V novém okně označte aktivní připojení a klikněte na Upravit.

Nastavení DNSSEC v linuxu - úprava připojení

Následně uvidíte detaily připojení. Klikněte na záložku IPv4 a v Metoda vyberte Pouze automatické adresy (DHCP) tak, aby bylo možné psát do pole Servery DNS. (K narušení přidělování IP adresy přes DHCP takto nedojde - nenastavujete statickou IP).

Nastavení DNSSEC v linuxu - nastavení IPv4

Do pole Servery DNS uveďte IP adresy oddělené čárkou: 217.31.204.130 a 193.29.206.206 Pokud používáte IPv6, můžete to stejné provést s IPv6 adresami, které jsou uvedeny výše.

Po úpravě klikněte na Uložit a nastavení je hotovo. Počítač se znovu připojí k síti s novými DNS severy.

Test funkčnosti DNSSECu

Nově nastavené DNS servery a funkčnost DNSSECu si můžete ověřit návštěvnou webu DNSSEC.CZ. Tam již uvidíte zelený zámeček, který symbolizuje fungující DNSSEC na vašem připojení.

úspěšný Test ochrany pomocí DNSSEC

Gratuluji, právě jste začali používat DNSSEC a surfujete bezpečně.

Chcete zabezpečit celou domácnost?

routerPokud chcete zabezpečit celou domácnost a všechny připojené počítače, doporučuji nastavit zmíněné DNS resolvery CZ NICu do vašeho routeru či ADSL modemu. Pokud bude zařízení "první v síti" a bude obsluhovat další počítače, budou se automaticky používat DNS servery nastavené v routeru.

Nastavení routerů je jednoduché, ale u každého výrobce vypadá trochu jinak; podívejte se proto do manuálu svého routeru, na jaké IP adrese je administrace zařízení a jak se do ní můžete přihlásit.

DNSSEC je zapnut, můžete začít bezpečně surfovat

Na závěr tohoto návodu vám přeji bezpečné a ničím nerušené surfování.

Nezapomeňte, že pokud vám nějaká stránka "nebude fungovat", může to být právě z důvodu neplatnosti DNSSEC záznamů. V dotazu na DNS server (resolver) váš systém uvádí, že očekává určení výsledku validace. V případě záporné validace DNS serveru se odpověď vrací s chybovým příznakem a ke klientovi (např. prohlížeč) se odpověď ani nedostane. Vy se na danou doménu nedostanete a ta se zdá být nedostupnou.

Zdroj:

  1. Tak už nejsme první. Blog sdružení CZ.NIC [online]. 9.8.2012. [cit. 2013-08-28]. Dostupné z: blog.nic.cz/2012/08/09/tak-uz-nejsme-prvni/
  2. DNSSEC delegations in the .nl zone. POWERDNS.COM BV. PowerDNS.COM [online]. [cit. 2013-08-28]. Dostupné z: https://xs.powerdns.com/dnssec-nl-graph/
  3. Mobilní operátoři nasazují DNSSEC. PETERKA, Jiří. Lupa.cz, server o českém Internetu. [online]. 12. 12. 2011. [cit. 2013-08-28]. Dostupné z: http://www.lupa.cz/clanky/mobilni-operatori-nasazuji-dnssec/

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz