ODVR

Co jsou to CZ.NIC ODVR?

CZ.NIC ODVR jsou Otevřené DNSSEC Validující Resolvery, které jsou volně k využití místo standardních DNS resolverů, nabízených Vaším poskytovatelem připojení.

Co je to DNS?

Systém DNS (Domain Name System) funguje jako telefonní seznam pro internetové IP adresy. Umožňuje přiřadit k číselné IP adrese určitý symbolický název, tzv. doménové jméno, které si uživatelé snadno zapamatují a dokáží jej bez obtíží napsat např. do webového prohlížeče (vím, že česká firma se jmenuje XY, do vyhledávače zadám www.XY.cz). Prohlížeč se podobně jako telefon podívá do "seznamu", najde správný záznam a automaticky se připojí na IP adresu, odpovídající doménovému jménu a stránku uživateli zobrazí.

Více informací naleznete na stránce O doménách a DNS.

Co je to DNSSEC?

DNSSEC je rozšíření systému doménových jmen (DNS), které zvyšuje jeho bezpečnost. DNSSEC poskytuje uživatelům jistotu, že informace, které z DNS získal, byly poskytnuty správným zdrojem, jsou úplné a jejich integrita nebyla při přenosu narušena. DNSSEC zajistí důvěryhodnost údajů, získaných z DNS.

Více informací naleznete na stránce Jak funguje DNSSEC?.

Jak zapnout CZ.NIC resolvery?

V konfiguraci síťového připojení nakonfigurujte resolvery s IP adresami 217.31.204.130 a 193.29.206.206, pokud vaše síťové připojení funguje i přes protokol IPv6 můžete použít i IPv6 adresy 2001:1488:800:400::130 a 2001:678:1::206.

Microsoft Windows XP

Je zapotřebí změnit nastavení u konkrétního síťového připojení.

  1. Otevřete Ovládací panely
  2. Klikněte na Připojení k síti a Internetu a pak na Síťová připojení.
  3. Vyberte připojení, pro které chcete nakonfigurovat CZ.NIC resolvery. Pro změnu připojení pomocí kabelu (Ethernet) klikněte pravým tlačítkem na Připojení k místní síti a vyberte Vlastnosti. Pro změnu bezdrátového připojení klikněte pravým tlačítkem na Bezdrátové připojení k síti a vyberte Vlastnosti.
  4. Zvolte panel Obecné. Vyberte Protokol sítě internet (TCP/IP) v seznamu Toto připojení používá následující položky a klikněte na Vlastnosti.
  5. V záložce Obecné klikněte na tlačítko Upřesnit … a vyberte záložku DNS. Pokud jsou v nastavení vyplněny nějaké stávající DNS resolvery, opište si stávající nastavení pro případ, že byste je chtěli vrátit zpátky.
  6. Klikněte na OK.
  7. Vyberte Použít následující adresy serverů DNS.
  8. Do polí Upřednostňovaný server DNS a Náhradní server DNS napište IP adresy CZ.NIC resolverů: 217.31.204.130 a 193.29.206.206
  9. Restartujte spojení, které jste vybrali v kroku 3.
  10. Otestujte, zda-li Vám nové CZ.NIC resolvery fungují správně – otevřete stránku www.dnssec.cz a klíč na pravé straně musí být zelený. Pokud se Vám zobrazí červený rozbitý klíč, nastavení není správné.
  11. Opakujte předchozí kroky pro všechna síťová nastavení, pro která si přejete používat CZ.NIC Otevřené DNSSEC validující resolvery.

Mac OS X 10.5/10.6

  1. Z menu Apple (jablíčko) vyberte Předvolby systému [System Preferences] , pak klikněte na Síť [Network] .
  2. Pokud je ikonka zámku v levém dolním rohu zamknutá, tak na ni klikněte, abyste autorizovali změny. Bude nutné vložit Vaše heslo.
  3. Vyberte připojení, pro které chcete nastavit CZ.NIC resolvery, například: Pro změnu nastavení drátové sítě vyberte v seznamu Ethernet a klikněte na Upřesnit [Advanced]… Pro změnu nastavení bezdrátové sítě vyberte v seznamu Airport a klikněte na Upřesnit [Advanced]
  4. Vyberte žáložku DNS.
  5. Klikněte na tlačítko + a nahraďte stávající IP adresy IP adresami CZ.NIC resolverů: 217.31.204.130 a 193.29.206.206.
  6. Klikněte na tlačítko OK a následně na tlačítko Použít [Apply].
  7. Otestujte, zda-li Vám nové CZ.NIC resolvery fungují správně – otevřete stránku www.dnssec.cz a klíč na pravé straně musí být zelený. Pokud se Vám zobrazí červený rozbitý klíč, Nastavení není správné. V prohlížeči Safari může načítání nějakou dobu trvat.
  8. Opakujte předchozí kroky pro všechna síťová nastavení, pro která si přejete používat CZ.NIC Otevřené DNSSEC validující resolvery.

Linux (Network Manager)

Pokud Vaše Linuxová distribuce nepoužívá Network Manager, obraťte se na poskytovatele Vaší Linuxové distribuce pro instrukce, jak nakonfigurovat jiné DNS resolvery.

  1. Klikněte pravým tlačítkem na ikonu Network Managera a zvolte Edit connections…
  2. Vyberte síťové připojení, pro které chcete nastavit CZ.NIC resolvery, například: Pro drátové připojení vyberte panel Wired, vyberte ze seznamu Auto eth0 a klikněte na tlačítko Edit… Pro bezdrátové připojení vyberte panel Wireless, vyberte ze seznamu Auto a klikněte na tlačítko Edit…
  3. Vyberte panel IPv4 Settings a pokud máte v seznamu Method vybránu volbu Automatic (DHCP) , změňte ji na Automatic (DHCP) addresses only.
  4. Pokud máte zvolenu volbu Automatic (DHCP) addresses only nebo Manual, bude pole DNS servers otevřeno pro editaci. Pokud toto pole již obsahuje IP adresy, poznačte si je, pokud byste v budoucnu chtěli přestat používat CZ.NIC resolvery. Vyplňte do pole DNS servers IP adresy CZ.NIC resolverů: 217.31.204.130 a 193.29.206.206. Jednotlivé IP adresy oddělte čárkou.
  5. Klikněte na tlačítko Apply. Pro provedení změn bude možná nutné zadat Vaše heslo v závislosti na nastavení Vašeho systému.
  6. Klikněte na tlačítko Close.
  7. Otestujte, zda-li Vám nové CZ.NIC resolvery fungují správně – otevřete stránku www.dnssec.cz a klíč na pravé straně musí být zelený. Pokud se Vám zobrazí červený rozbitý klíč, nastavení není správné.
  8. Opakujte předchozí kroky pro všechna síťová nastavení, pro která chcete používat CZ.NIC Otevřené DNSSEC validující resolvery.

Co mi přinese používání CZ.NIC resolverů?

Většina poskytovatelů připojení (a DNS resolverů) neposkytuje DNSSEC validaci na svých serverech. Použitím CZ.NIC ODVR zajistíte, že Vaše DNS dotazy budou validovány pomocí technologie DNSSEC.

Budou všechny mé DNS dotazy zabezpečeny, pokud použiji CZ.NIC resolvery?

Nebudou. Důvody, proč všechny DNS dotazy nebudou zabezpečeny, jsou dva:

  1. Většina doménových jmen není podepsána pomocí technologie DNSSEC. Validace (a tedy kontrola zabezpečení) probíhá pouze u podepsaných doménových jmen.
  2. Většina aplikací (jako je například prohlížeč webových stránek) a stub resolver (součást operačního systému zodpovědná za dotazování do DNS) ve Vašem počítači nerozumí technologii DNSSEC. To znamená, že pokud nepoužijete specializovanou aplikaci, jako je například doplněk DNSSEC Validátor pro prohlížeč Firefox, tak nebudete vědět, zda-li je stránka zabezpečena či nikoliv.

Je používání CZ.NIC resolverů bezpečné?

To záleží na množství faktorů. Pokud váš stub resolver nepoužívá dostatečně náhodné zdrojové porty pro dotazování na CZ.NIC resolver, tak existuje teoretická možnost, že útočník napadne spojení mezi Vaším počítačem a CZ.NIC resolvery.

Jak jsou zabezpečeny mé osobní údaje?

CZ.NIC resolvery neshromažďují žádná osobní data, ani neuchovávají informace o stránkách, na které Váš počítač osobní údaje posílá.

Ale otevřené DNS resolvery jsou špatné…

U otevřených DNS resolverů, které nejsou pod kontrolou svého správce, hrozí nebezpečí, že budou zneužity pro distribuovaný útok typu DoS. Otevřené DNSSEC validující resolvery CZ.NIC jsou nakonfigurovány tak, aby bylo velmi těžké je zneužít pro DDoS útok na servery třetích stran. Jako dodatečná ochrana jsou servery monitorovány a kontrolní mechanismy upozorní na veškerou neobvyklou aktivitu; ta je následně vyhodnocena a v případě potřeby budou přijata dodatečná opatření.