12 Сентябрь 2019
Свой DNS-over-HTTPS сервер на базе веб-сервера H2O
Различные аспекты эксплуатации DNS уже неоднократно затрагивались автором в ряде статей опубликованных в рамках блога. При этом, основной акцент всегда делался на повышение безопасности этого ключевого для всего Интернет сервиса.
До последнего времени, несмотря на очевидность уязвимости DNS трафика, который, до сих пор, по большей части, передаётся в открытом виде, для злонамеренных действий со стороны провайдеров, стремящихся повысить своих доходы за счёт встраивания рекламы в контент, государственных силовых органов и цензуры, а также просто преступников, процесс усиления его защиты, несмотря на наличие различных технологий, таких как DNSSEC/DANE, DNScrypt, DNS-over-TLS и DNS-over-HTTPS, буксовал. И если серверные решения, в некоторые из них существуют уже довольно долгое время, широко известны и доступны, то поддержка их со стороны клиентского программного обеспечения оставляет желать много лучшего.
К счастью, ситуация меняется. В частности, разработчики популярного браузера Firefox заявили о планах по включению по умолчанию режима поддержки режима DNS-over-HTTPS (DoH) в ближайшее время. Это должно помочь защитить DNS трафик пользователя WWW от вышеупомянутых угроз, однако потенциально способно вызвать новые.
Читать далее6 Сентябрь 2018
Обновление ключа корневой зоны DNS
В конце августа 2018 года ICANN выпустила напоминание о запланированном на октябрь текущего года обновлении ключа подписей Key Sigining Key (KSK) корневой зоны DNS который является ключевым звеном в цепочке доверия DNSSEC.
Впервые корневая зона "." была подписана в 2010 году и с тех пор ключи цифровой подписи не обновлялись ввиду ряда объективных причин, начиная с отсутствия разработанной безопасной процедуры этого обновления и заканчивая неизвестными побочными эффектами, которые могут возникнуть в процессе транзита. Ввиду того, что автор уже довольно подробно останавливался на вопросах механизмов функционирования DNSSEC, а также вопросах практического внедрения этого механизма, далее будут затронуты лишь практические аспекты грядущего обновления.
Читать далее30 Март 2018
Переезжаем на wildcard сертификаты Let's Encrypt
Let's encrypt за относительно короткий промежуток времени стал самым популярным в мире центром сертификации (CA) по выпуску TLS-сертификатов. Причиной тому является, во-первых, бесплатность получения сертификата для любого желающего и, во-вторых, удобный механизм его выпуска и продления, когда благодаря множеству способов и программных средств данный процесс можно легко автоматизировать.
Сегодня Let's Encrypt занимает свыше 2/3 общего объёма видимых в Интернет TLS-сертификатов и доля его растёт.
Однако, до недавнего времени эта динамика несколько сдерживалась отсутствием возможности получить т.н. wildcard-сертификат, то есть такой, который покрывает все поддомены в рамках существующего домена более высокого уровня. Несмотря на то, что стандартный механизм Let's Encrypt позволяет иметь в одном сертификате до 200 различных доменов через расширени TLS SNI, это далеко не всегда удобно, ведь для каждого нового домена приходилось включать его в состав уже имеющегося сертификата или выпускать новый.
Ситуация изменилась в марте 2018 года, когда был официально запущен новый протокол и API к нему ACMEv2, одним из ключевых новшеств которого стало появление возможности выпуска wildcard-сертификатов.
Читать далее25 Март 2018
Безопасность и защита DNS трафика
Служба DNS или Domain Name System является базовым сервисом сети Интернет, а также иных сетей работающих на базе семейства протоколов TCP/IP, и используется для получение соответствия имени узла в сети соответствующему ему цифровому адресу.
Несмотря на столь простое описание DNS является, пожалуй, самой сложной по своей структуре и набору взаимодействий сетевой службой от надёжной работы которой зависит надёжная работа всех и вся.
Автор уже затрагивал вопросы функционирования DNS в цикле статей в разрезе наиболее современных и актуальных практических вопросов внедрения DNSSEC. Напомню, что DNSSEC обеспечивает удостоверение записей DNS при помощи цифровых подписей, чем защищает их от возможной подмены. Однако, при этом, все данные всегда передаются в открытом виде и никак не защищены от просмотра в процессе транзита и, при отсутствии цифровой подписи, при желании с лёгкостью могут быть модифицированы в тех или иных целях — от криминальных до цензурных.
Данная статья посвещена практическим способам защиты DNS трафика.
Читать далее5 Февраль 2018
Открываем исходящий SMTP трафик по IPv6 на DigitalOcean
Хостинг-провайдер DigitalOcean пользуется большой популярностью среди размещающих свои ресурсы и сервисы в сети Интернет. Не буду перечислять его преимущества, которые и так достаточно широко известны. Остановлюсь лишь на одном из недостатков, который может стать неприятной неожиданностью для впервые использующих ресурсы DigitalOcean, а именно невозможности использовать представляемые IPv6 адреса для исходящего почтового трафика. Для IPv6 заблокированы на выход порты 25, 465 и 587. При этом входящий трафик для IPv6 равно как и SMTP-трафик в обеих направлениях для IPv4 открыт.
Сам хостинг объясняет это тем, что не имеет возможности предоставлять для каждого сервера отдельную IPv6 подсеть /64 как того требует RFC и, по этой причине осуществляет блокировку исходящего почтового трафика в качестве превентивных мер по защите репутации IPv6 блока, который совместно могут использовать большое количество пользователей.
В качестве возможного решения автор предлагает использовать возможности туннелирования IPv6 адресов внутри IPv4 трафика обепечив, таким образом, использование выделенной подсети на удалённом хосте. Благодаря этому может быть обеспечен обход блокировок исходящего SMTP-трафика и возможность полноценной в этом плане работы на серверах DigitalOcean. Кроме того, получение полного набора адресов IPv6 /64 сети, вместо всего лишь /128 которая предоставляются хостингом, может быть полезно и для других размещаемых сетевых сервисов.
Читать далее25 Октябрь 2017
Домен kostikov.co подписан с использованием технологии DNSSEC
Title: Домен kostikov.co подписан с использованием технологии DNSSEC Content: Вчера домен kostikov.co на котором размещается это блог был наконец-то подписан с использованием технологии DNSSEC. Напомню, что ранее автор уже довольно подробно останавливался на особеностях и практическом применении DNSSEC в цикле статей. Однако, в отличии от обычного здесь разбора примеров на основе реального конфигурирования домена kostikov.co в случае с DNSSEC приходилось отходить от этой традиции. Причиной этому было отсутствие возможности передачи отпечатка ключа для домена первого уровня .co регистратору домена — компании Namecheap через панель управления.
Действительно, согласно официально опубликованной статье "Nameservers and TLDs supported/unsupported by DNSSEC" в базе знаний Namecheap домен .co пока не числится в списке поддерживающих DNSSEC у данного регистратора. Однако, не далее как вчера поддержка известила, что имеется возможность ручного добавления необходимой для включения этой технологии информации в DNS-зону в ручном режиме.
Читать далее