Uudised, sündmused ja blogi

CENTRi Tech29: DNSi liiklus peitu

Peateemaks oli planeeritud lõpuks toimunud ICANNi DNSSECi võtme allkirjastmise võtme (KSK) vahetus esimest korda pärast 8 aasta pikkust DNSSECi ajalugu (võeti juurtsoonis kasutusele 16. juunil 2010). Aga rääkida polnud midagi, sest probleeme ei tekkinudki. Ilmselgelt hea ettevalmistuse tulemus - võtmevahetust lükati korduvalt ja pikalt edasi, et olla tulemuslikkuses kindel (projektiga alustati juba oktoobris 2016). Arutelu kerkis aga järgmiste sammude üle, näiteks kui tihti võtmeid nüüd vahetama hakata ja millal võiks planeerida võtme algoritmi vahetust. Oodatult siin ühtset arvamust ei kujunenud. Tugevamini jäi kõlama võtme vahetus kolme aasta tagant ja ettepanek alustada algoritmi vahetamise ettevalmistustega koheselt.

Selle asemel sai peateemaks DNS-liikluse krüpteerimine, võttes vaatluse alla kaks erinevat lahendust - DNS üle HTTP ehk DoH ja DNS üle TLSi ehk DoT. DoT on sarnasem tänasele DNSi lahendusele lisades TLS-põhise krüpteeringu ja on ka juba standardiseeritud (RFC7858). Küll aga on operatsioonisüsteemid ja teised tarkvaratootjad aeglased uute lahenduste juurutamisel ning osalt sellest ajendatuna kutsus töögrupp, eesotsas suuremate sirvikutootjatega, ellu konkureeriva projekti DoH. Kiirus, millega on tegutsetud on muljetavaldav. DoT on olnud ideena olemas ilmselt nii kaua kui on olnud olemas krütpeerimine, kuid töö sellega sai sisse uue hoo pärast Snowdeni avaldusi 2013 ning kõigest 5 aastaga jõuti standardini. DoH seevastu sai alguse märtsis 2017 ja on tänaseks standardiseerimise mõttes sama kaugel. See näitab sirvikutootjate huvi selle tehnoloogia vastu. Miks? DoH muudab kardinaalselt tänast DNSi süsteemi, muutes selle oluliselt tsentraliseeritumaks koondades kontrolli mõne üksiku suure tegija kätte. DoH puhul ütleb rakendus, kust otsitakse vastava domeeni IP-aadressi. Näiteks Mozilla on testinud oma Firefox sirvikutes DoHi koostöös Cloudflare'iga. Ükskõik mida te otsite, nimelahendus toimub alati Cloudflare'i nimeteenuse kaudu. Sellega tagatakse väidetavalt kiirem ja stabiilsem teenus. DoH puhul pole DNSSEC võimalik ja pole selge, kas ja kuidas seal vahemehe rünnetega tegeletakse. Murekoht on aga DNS kogukonna passiivsus eriti just DoH küsimuses. Oht on, et läbi selle koondubki kontroll nimelahenduse üle paari Ameerika teenusepakkuja kätte, mis lisaks võimaldab võimuorganitel rakendada tsensuuri ja kontrolli selle üle, mis kellele internetis kättesaadav on. Väga hea ettekanne sel teemal on leitav siit. 

Veel räägiti hello-dns projektist, mille eesmärk on aidata inimestel DNSist lihtsamini aru saada. DNSi kohta on täna umbes 200 RFCd ehk standardi dokumenti, kokku enam kui 2000 lehekülge teksti ja neid tekib kogu aeg juurde. Lisaks DNSi teadmise kättesaadavamaks ja lihtsamini läbi töötatavaks tegemisele on ka projektil varjatud eesmärk - püüda sisustada aega just neil inimestel, kes täna standardi dokumente vorbivad teha. Panustagu parem sellesse projekti, kui lisavad maailma veel ühe RFC.

Prantsuse register jagas teavet oma ponnistustest rakendada DNSi IoT maailmas. Valitud “relvaks” LoRaWAN (Long Range Wide Area Network). DNSi roll nende nägemuses on mitmekesine. Esmalt IoT seadmete kohta info leidmine. Igal seadmel on triip- või QR kood ning seda pildistades leitakse DNSi abil õige leht internetis, kust leiab konkreetse seadme info ja tarkvarauuendused. LoRaWANi standardis (1.1) on DNSil kaks ülesannet: üle õhu aktiveerimine (Over-the-Air Activation) ja rändlus (roaming). LoRaWAN võrk on üles ehitatud lüüside (gateway) põhiselt, kus igal seadmel on oma kodu lüüs, mille kaudu see ülejäänud võrguga suhtleb. Kui seade peaks sattuma mõne teise serveri teeninduspiirkonda, leiab see DNSi abil üles kodu lüüsi ja jääb vahendama liiklust IoT seadme ja seda teenindama määratud serveri vahel. IoT seadmete võrgutehnoloogiate maailmas käib samas omaette tihe rebimine erinevate lahenduste vahel, saab näha, mis jääb ja mis kaob.

Veel üks ettevõtmine, mis üritab “päästa” DNSi on järgmisel aastal 1. veebruaril toimuv DNS-lipu päev (DNS Flag Day). Sel päeval eemaldavad suurimad vabavaralise nimeserveri tarkvara tootjad ISC (BIND), PowerDNS, NLNetLabs (NSD), CZ.NIZ (Knot) oma tarkvarast EDNSi toe tagamiseks tehtud “häkid”, mis ei ole kaetud standardiga (EDNS extension (RFC 6891). Häkid on tingitud erineva serveri tarkvara EDNSi standardi mitte toetamisest. Erilahenduste eemaldamisega loodetakse saata teistele tarkvara tootjatele selge sõnum, et võrgu stabiilse ja kiire toimimise huvides on standardlahenduste toetamine oluline. Kui soovite testida oma veebiteenuse valmisolekut lipupäeva järgsele elule, siis saate teha seda siit.

Teepausi jutud juba, aga järgmises postituses!

Foto: imgflip.com