tak já vás vítám na přednášce snadné nasazení den všechno D
menu se tam včerá k pracuju laboratořích to jako právě na vývoji D nesrovnatelné
a poslední vlastně dobu veškeré své úsilí nějak soustředilo na ten D nese
to co se to se stane neska dozvíte tak
předpokládám že všichni máte nějaký znalostí o fungování D dneska a přesto bych na začátek
rychlosti se snažil nějak rychle shrnout
a jako by věcí které je nutné které jsou nutné pro pochopení dovedeme se kolo
pak bych rád řekl
předveden nesek pro často se zajímá
ukázal bych asi prakticky na nějaký skutečných datech jak se můžete vyzkoušet jak vypadají ty
záznamy s tam nesystémovou de nebo ty záznamy které zavádí de nesek
třeba té kořenové zóně české země a podobně
pak bych chtěl nějak shrnout jakéhosi výhody ten den asi přináší a co naopak to
přináší za komplikace
a nakonec bych ukázal nějaké přístupy té vlastně se používají při konfiguraci těch server v
dnešní době
a pak která úplně jako třešničko nad tou ukážu ukázku to projdeme si na čtyři
jako sestra na slide nesek desek tam zkusím nastínit vlastně kam se to chceme znát
budeme snažit budoucnosti
směrovat
a tak ten seznam DNS jako takový
jako všichni znáte do mining systém
je velmi starý a ta první R céčko kterém jak popisuje vyšlo v listopadu devatenáct
osumdesát sedum
a
vlastně
který by se ještě na tu bezpečnost novej tolik nemyslelo
je to
identická distribuovaná
databáze lepší asi říkat že to je systém ale na sto
dá se to přirovnat databázi
a
té hierarchie vlastně s nějaká doménová jména která tvoří ten doménový strom
a každý jako by každý ten uzel
toho vyleze kořen doménu jménem nějakým typem záznamu a pak nějakými daty která jsou jako
by s tím záznamem spojena
no a celý ten systém je tvořen hlavně autoritativní nesedali které se vlastně jako by
od shora dolů který hierarchy
předávají to autoritu
dobrý že jako by ten systém je pořád přestože tak starý taky klíčový protože ať
vlastně začínáte jakoukoliv komunikace na tomto ne tak devadesáti pěti procentech případu
dycky ten první dotaz měřena ten M S M
a tady nějak jako my naznačená kerejch já si vypadá ta tečka tady nahoře
dělám ještě to ukážu tady
tak ta představuje nějakou kořenovou zónu
pak deleguje jakoby části toho stromu na jiné autoritativní servery tady může být pro každou
tlumenou doménový tak třeba pro českou doménovou se stará C Z nech takže ste kořenové
zóny jako neudělá delegace
nasedej C Z jako
pro právě ten apex tečka C Z
a stejně tak to může být na úrovni organizací třeba ve u téčko má vlastní
nenese a autoritativní a stejně tak ta každá fakulta může mít vlastní
vlastně ten server
ať proč teda pošlete nenese
kde nesek jako takový zase průměrech céčka a široké dva tisíce pět
a hlavní ten důvod je ochrana proti D ne skupinku
ukážu za chvíli na obrázku ale znamená vpodstatě to že zajišťuje
autentizaci těch dat které s toho D neseru získáváme a zajišťuje jich integritu nemáte nic
společnýho
nějakou
tam řika config jeden člověk
jako šifrování že prostě ten provoz je pořád vidět ale já jako užil uživatel nebo
jako by mám jistotu že ty data která získávám s toho D neseru mi nikdo
nepo nula že opravdu patří do tý zóny
funguje to na principu asymetrické kryptografie
tady kryptografie s veřejným klíčem to asi víte funguje prostě existuje nějaký pár klíčů soukromý
veřejný klíč
tak v soukromí soukromý klíč i ve vlastnictví stránského té domény nebo toho tohoto stromu
té domény
a
veřejný klíč zveřejněných té zóně
a já jako by každý ten záznam z té zóně který chce zabezpečit se digitálně
podepíše vytvořit tam proto speciální záznam
a vlastně na základě toho že já jsem schopný nebo já jsme schopni na základě
toho popisovat veřejného klíče ověřit že ten že ten záznam vopravdu podepsán
touto autoritou
M D nesek zároveň je tím že vlastně umožňuje tohlecto je předpokladem i pro použití
nějakých jiných technologií
jako řádek AIM
chceš je
což pomáhá colspan span filtrům rozlišování toho jestli příchozím elest na to jestli můžete nastavit
že třeba váš mail server bude hlavičky nějakých ve všech odchozích správa podepisovat nějakým digitálním
klíčem R T do té zóny pak si vložíte obdiv toho klíče a task vám
filtr na té příchozí straně pak může říct ano ten tento i neodešel z
domény která jako by patří nebo zase routery patříte doméně že to není prostě piliny
to samý kdy který se používá nějaké vkládání třeba certifikačních autorit jenom pro vaší doménu
dej se do toho jeden systému DNS pak vkládat třeba otisky klíčů pro se zarážkou
tak
ale samozřejmě toto spoléhá na to že je tam kde nesek že ten den S
že ten se funguje že prostě máte
kryptografický zabezpečené ty záznamy
ten jde nestoupej jsem si vypůjčil obrazu stránky nenese C Z asi toto spousta zásadní
viděla
v podstatě tam jsou renata levé straně
to je klient který se chce podívat na nějakou webovou stránku loterie to stránka bereme
stránka C Z
a ten první dotaz tedy směřuje na D ne server
ty zelené šipky to je vlastně to jak v běžném provozu ta komunikace vypadá
ten server patrně nebude vědět kde je stránka C Z tak se zeptá nějakých globálních
server na internetu prostě získáte odpověď
dá svých se prokeše a vrátí tomu klientovi který se pak na tu stránku připojí
pokud ale tady do toho procesu někde zasáhne nějaký záškodník
který po zenitem packet nebo asi vytvoří vlastní a jakobiho tam už jako odpověď
tak by se mohlo stát že
ten D neseme pak vrátí špatnou odpověď a vnutí vlastně toho klienta se připojit na
jiný server který jaký může být jako by vlastnictví který plzně patří tomu útočníkovi
no a todleto je právě to ten hlavní důvod
vlastně pro se ten den deset zavádí aby se tadydle tedlecten
já jsem problém asi eliminoval
teďka si bych ukázal která jak se to prakticky realizuje
ten den se zavádí
několik nových typů záznamů
D N S D hezký toho si můžu ukázat
ne vysype vidět nebo snášely či
často přečíst
výborně
tak může ukázat třeba pokud vás byla zajímalo třeba jaké klíče nebo otisky veřejných klíčů
se používají české
zóně
tak se na to můžete dotázat doporučuju příkazem kdy nebo kanady
tady k je kopie brigu kterou která pro vlastně máme přeloženou tomu našemu D nesedl
tak já to tady pro účely propagace budu používat
na ten character vlastně
asi tak strašně znáte dyž takhle napíšu velkou
tak jenom vrátí odpovědi vlastně píšou se to paketu na sem se ptát se přišlo
zpátky k odpovědi a tak
ale umožňuje právě i zeptat se konkrétního seru takže já se můžu zeptat
nějakého nej sedum české doméně třeba a výsledek C Z
nám záznam
bylo se ty provo
vlastně pro ten pro tu doménu C Z
tak a tadydle odpovědi tady vlastně na začátku
je vidět jako by se součástí do paketu
co ho ten otázka kdo to sem se ptal na záznam ty bude dinas jaký
typu nebo třídy internet ten note je to C Z a přišli T odpovědi jako
by dva záznamy
takže jakoby na klíče ty sou vypsaný tadydle
tenhlecten dallas ten první D S je hezký tady je
každý den D S T sebou nese několik informací to první rosomáky flagy to druhý
je dvou nenese ku vždycky predikáte prostě číslo protokolu
a to další té algoritmus kterej který je použit
právě který by když používá a tam a ten zbytek ten zakódované jako by šedesát
čtyři tak to je právě ten veřejný klíč
todlec ten protokol de se bude asi znamenat tady by se používá
ressel jedná s hašovacím algoritmem s dvě stě padesát šest nosatý
takže sou tady dva ten co má diletanty flagy nastaví na dvě stě padesát šest
tak to je to je klíč který se krát používat podepisování ti záznamu
a ten druhý klíč který má dvě stě padesát sedum tak to je speciální klíč
kterému se říká tíseň T adrese nepoužívá pro podepisování běžný záznam ale používá se pro
podepisování ostatních klíčů
ten mechanizmus tam používá pro to
že jako byly můžete pak častěji rotovat i ty klíče a nemusíte do nadřazené zóny
jakoby propagovat tu informaci o tom že jste změnili klíče prostě v nadřazený zeleně máte
řešení že používám téma ten klíč pro podepisování klíčů a jasně klíče můžu pro cokoli
klíčů chci prostě že může měnit třeba každý týden nebo jak chci
N
takže todleto vlastně
jako by
ty nebo teď irský záznamy se používají na to že publiku já ty klíče jako
by směrem dolů fidelity o ty kořenový zóny
jejíž
ať ale je potřeba zabezpečí to že vlastně
na z nemůžete zveřejnit klíče řeknu těma podepisuju protože nikdo by nevěřil že ten že
ten klíč zveřejnění je pravý takže existuje druhý typ záznamu této D S
a znamená to byl když inside R a to je právě něco se vkládá jako
budete nadřazené zóny a co obsahuje otisk toho klíče který se pak už a T
na tý zóně
zase může ukázat na kořenové zóně
když se když se nějaký kořenový ho serveru
zeptám nad záznam pro doménu C Z
tak tady na ty ance sečen
se oblíbená jeden záznam ten záznam tady na tom prvním místě se bude jak něco
čemu se říká kytek
to je jenom tak jednoduchý hash based dat těho klíče používá se to jenom pro
jako by rychlý vyhledání těch klíčů pokud třeba ten s klíčů
zase tady je ten algoritmus který by měl sedět s algoritmem toho klíče pro ty
pro který je to spočítáno
tadleta dvojka té zase hašovací funkce která je použita pro výpočet
toho hashe toho samotného klíče tohle už samotný hash
na to že
vlastně
potom se tam zas na tom se dostat
to jsem stanovené protože další tyto záznamové error si
cože záznam který se právě používá na vytvoření který nese ten podpis těch jednotlivých záznam
takže
kdy se zeptám
na co
některé ze
a přidá semle tu ligu parametr
todle bychom
bylo ste se
tak vlastně říkám že mě zajímá autentizovaná kovy nebo autorizovaná odpověď na to na ten
můj dotaz nechce ze tam se zeptat třeba na záznam typu a
špatná se dostat jo se z
tak teď víte že ste odpovědi toho roletový
že kromě toho že tady ten jako by ta odpověď kterou bysme očekávali I P
adresa server unix C Z
tak se tady objevil ještě záznam si
tedy má stejný stejnou stejný název toto stejné to doménové jméno
a vlastně tady led tajdle dál pak s vypadne se ty data říká že takhle
to áčko říká že vlastně podepisuje všechny záznamy typu a proto protonech C Z
tady říká to je zase použity algoritmus kreslení
jo algoritmus pak tadleta dvojka říká že vlastně to méno že s že jsou to
poslední dva delay byly
těm jednotlivým částem stýkali byly to tam else několika řádu
pak je tady originální T L to tam je zase kůli rezolu který ten výsledek
můžou někde na tyršova to pak budou jako by vracet je odpovědi synem T L
je tady část nios jeden podpis vyprší takle podpis vyprší šestnáctýho listopadu
a
byl vytvořen
byl vytvořen druhýho listopadu dneska
osum hodin ano skoro
no se tady napsáno kterým klíčem bylo se mnou podepsáno a prošel se nestane samotný
popis
a právě tyhlety agresivity nasedá zabezpečit cokoliv takže se tím zabezpečujou i
i tady D S záznamy
kromě toho ale my potřebujeme vědět že vlastně
nikdo jenom nezavedlo ten paket ale mužova nový paket který říká že záznam existuje
takže P proto se ještě musí potvrzovat jakoby negativní odpověděl provede neseru a k tomu
slouží resek případně novější je v sekci
transmit docela používá taky kořenová zóna
zastaví můžeme něčem demonstroval
my se tady zeptám
kořenový ho serveru nebo ne jednoho s kořenových serverů na to
aby nevrátil záznam ačkoli pro doménu
tak to vlastně nevrátí vůbec nic
já jsem se všem života je prázdná tady napsáno prázdná status trénink domény
když řeknu že chci že to štěstí můžeme se k
tak ušli povinně co bude
a zase ten se bude nula nic domén ale přeci autority tady přibyly nějaký záznamy
leží pět ale ten záznam
protože je ten N ste vlastně funguje tak že ste zóně se všechny všechna budeme
ramenatého jsou se seřadí abecedně nebo v nějakém kaneckém pořadí
a
pak se pro každou jakoby dvojici vtom řetězu vytvoří N se k záznam který říká
že který jsme se jako kdo vycítit tím záznam tématem záznamem se třeba říká že
za záznamem Ú existuje jediný za ty existuje další záznam který je i
to znamená že mezi zazdi a máme to byste to že mezi záznamem Ú a
jiné niny záznam
takže pokud jsem se ptal na F který jako by to vtom kaneckém pořadí patří
mezi u a S T a dostal jsem televizi záznam tak já jsem si můžu
být jistý že
že tam ten záznam není ste zóně
pak ještě ten ze záznam nese tadydle typy které vlastně jsou k tomu druhému takže
já jsem se nedozvěděl jakoby navíc ještě tam že pro Ú tam i systém deset
a si a N si záznam
tak sekci
to je vlastně akorát variace
na jako vy ta samá problematika
když se na to podíváte tak jasný že todle má jednu slabinu to tu že
jako když se budu chytře ptáte dokáže získat celý obsah ty zóny
přestože jsou tvořeny informace tak jako by někomu se to nemusí líbit a proto právě
vznikla varianta si tři
kterou třea používá česká doména
že dyž se zase zeptám
český domény
na
M se k připadám
tak tedy
tak
ten si připadám je vlastně speciální
záznam který té zóně
by měl být jednou a specifikuje parametry který které se používají
rozlišování těch mém které pak vystupují těch Z záznamech nebo transakci záznamy
tady bylo pro českou domu doménu právě aktuálním si připadám záznamy pana pole
ty data této ta jedna nula deset a pak tady nějakej binární dvou
vlastně cokoliv nějaký náhodný na tady ten levý
ta jednička určuje se to tady algoritmu lidí podporování je s a jedna
ta nula to sou flagy ta nás nemusí zajímat tady C P říká že se
bude dělat deset jakoby dodatečných prací
toho výpočtu to vše a tohle jakoby sůl která se
pardon která se připojuje k tomu doménové jméno
takže vy se tady pak zeptám na nějaký záznam který určitě nebude existovat třeba
něco takovýho
tak zase T S recepci
de nám nic vrátíme tajný zlomení ale místo už nějakých srozumitelných anson záznamu se tady
objeví spoustu N se při záznamu
T L se tohlecto kde na levé straně a tak nějak i hash tečka C
Z
a na pravé straně zase nějaký zas nějaký hash to tady znova ty parametry které
byly spočítaný pro výpočet eště
a jinak je to jinak je to vlastně odpovídá tomu
to moje si připadám tomu jsou věci připadám
rozdíl S tom teda že tam a ten se křičej který jistý zóně
se
že se program nebo pro každé to doménové jméno se spočítat natrhneš adrese příčin se
sestaví a škole tydlety hashe bezestavové se pro ty samotné domény takže já když pak
dostanou odpovědi nějaký asi tři záznam tak já můžu říct
nebo já jsem že spočítat jdeš toho záznam na který sem se ptal a pak
můžu se losně dozvědět jestli to leží jak mezi nějaký maiman umenšovat prostě to není
se Z seřazených tam abecedním pořadí a pokud nejsme schopni zpětně sto ještě spočítat romanovým
na tři bysme schopný mít nebyly tak nemůžeme získat vlastně obsah té zóny
tím že teda ten se při je podstatně komplikovanější protože tím že sem zeptat takové
na konkrétní věci a nemůžu se zeptat jestli tam ty konkrétním si tři záznamy existují
tak se musí dělat dyž nějaké dodatečné důkazy třeba že na s tím existuje nějaký
velká dat
a
a tak je to vocenil T céčko jitrocel složitý
takže to sem ukázal
a zkusím ty pokročit kousek dál
výhody a nevýhody
vypadá to že převažují nevýhody
ale asi ne
no tadyhleta bezpečno samozřejmě
cože vás je cílem toho nenese ku
výčet zóny sme si řekli dráže může být nevýhoda
je to řešitelné
problémem může být kořen důvěry protože jako by ten
takže navázaná to byla podepsaná nikdy roce vatičce deset a je to vlastně jediný místo
které musím důvěřovat aby ten nenese fungovalo takže pokud jakoby by se tam ty soukromé
klíče dostali do rukou někomu nebo volanému tak celý byla bezpečnostní koncept padá a padá
všechno co na tom závisí takže pokuď bych vykládal přát je srážky fingerprint je toto
D neska tak musím taky nedá věřit a tak
samozřejmě musí podporovat váš rezolventu systému seš v linuxu to zatím nepodporuje
nebo to musí podporovat třeba nejbližší den server který vám vlastně přes dvacet a nastaví
váš poskytovatel internetu
a pak zase že musíte důvěřovat poskytovatelé toho spojení mezi vámi a tím poskytovatele
na seřeže tak třeba že se nainstalujete k sobě k sobě na počítač nějaký resolver
přání bank nastavíte si už validovat a nastavíte si atace result konf že ne server
sto dvacet sedum nula jedna deset jo
další nevýhodou
nebo neřikám tak první nevýhodou
může být veliko zóny protože fazóna bobtná jenom kvůli těm podpisu a pak bobtná kvůli
těm S N záznamu a podpisu memset záznam
do toho plyne to že vlastně
třeba i na
malý na malý dotaz nezryl může generovat velkou odpověď
což nahrávám bych dalším útokům protože systém DNS běží hlavně na protokolu D P a
tam je velmi snadné podvrhnout trojky adresu
takže když
jako by zahodíte nějaký server malými dotazy s tou hodnotou hi P adresou tak můžete
jako by
viola daleko větší urobme nějakou jinou C třeba nebo na nějakých jeden konkrétní
cíl
no a na dalším na další poměrně komplikovanou věcí je správa klíčů dá se to
sem jako nevýhodu
je to spíš takové nutné zlo protože ty klíče se musí nějak generovat musí se
nějak rotovat
ty D záznamy se musí jak publikovat
takže se musí nějak přidá do té do té nadřazené domény a myslím že na
to ještě nejste žádný standard se nějaké návrhy
ale vlastně záleží na tom kdo vlastně vlastníte nadřazenou zónu dnešní
tak a teď jakým způsobem jakým způsobem setra nasadit
je několik vlastně možností uplně venuší je vyšito zónu před podepíše té nějakým nástrojem
a pak i dáte to bude ne server uvedený ten Í bude rovnou poskytovat podepsanou
další možností je použít nějaký D na server který umí dělat todleto podepsání jako přímo
tom procesu kdy načítat zónu takže udáte jako by ne podepsanou zadáte mu klíče a
vlastně nebohý o více jako by pro účely to podepsaný nemusíte starat
a pak existuje ještě způsob kdy vlastně máte vytvořený nějaký automaticky podepisování ale když v
rámci toho server je to nějakým odděleném procesu
tečky každý ke každé z těchto vlastně možností bych něco řekla možná je ukázal
to rušení podepisování je samozřejmě ne vyšší
je to asi první řešení které vzniklo a
napsal jsem tady že teda plukovníkem advanced což asi bude pravda
na k tomu dodává několik byly
touhy základního byl to asi desek keygen která se používá pro vygenerování klíče
klíčů
ty klíče sobě nesou nějaká meta data ohledně
toho kdy se mají publikovat zóně kdy se mají kdy se mají začít s nima
podepisovat by se má s nima přestat podepisovat by se s nima má neboli se
mají slezeme zase odstranit
všechno je to jako by v metadatech tou klíče
a na nastavování těchto metra se používá dodnes access time
a pak je tam nástroj genesis X N zlom kterému přinutíte klíče předhodí tenzorového a
neklidné podepsanou zón
ta konfigurace u toho bandu by vypadala uplně jednoduše prostě mu předá T
podepsanou zónám tom on to oni začne jako by
oni vystaví
to tady no nějak ukázat
shodou okolností
pro okolnosti byte má nainstalovány
todle nějaká minimální konfiguraci kterou sem tady myslel
tohodletoho svazy nemusíme všímat na zajímá vlastně akorát nastaví těch zóny tady jediná zóna které
nastavená jako autoritativní
a
vlastně ten před i za ve se nachází souboru na balkón
ještě ukážu
jak vypadá to zóna
vona vypadá nějak takové
s nějaká testovací
a
teď bych jako bych teď zejtra prořítil a tím postupem
co si vytvořit klíče a podepsat ozonová přetřást ale trvání
není to zas tak složité
a můžeme říct
nastartovat trvání
systém běží
tady už vyzkoušet
že vyzkoušet že to nějak jako funguje
na co se tady že chci odpověď zabezpečenou přišla ve zpátky nezabezpečená pově
a toto je něco je takže tenzory běží ale to za na není podepsaná
abych ji podepsal
tak jsem se vygenerovat ty klíče na to udělám třeba tejdle tadydle
tady máte za ten zónových souborech se tady vedle vytvořil adresář klíčem
a přes den asi se týden
vyklíčená generuju
teď tady udělán todle stav toho rychlejší nevím jestli praxi nebezpeční to použít
N na příkaz úplně jednoduchý stačí napsat název domény ano první vygeneruje klíč
který tento případě bude klíč pro podepisování záznamů seznam zone sáňky
pokud bych chtěl či druhý klíč který bude svůj použit právě pro podepisování těch klíčů
tenký sáním T tak tady předám ještě parametr
jako fleka vysoké jako písemným T
tak to vygenerovalo druhý klíč který já jsem trošku větší
aby se bit uděláno to adresáře které vznikly čtyři soubory co to dycky dvojice
tečka T a teďka projevit poměrně
nešťastnými názvy bych řek
to káčko ta musí být na začátku vždycky na to bájných nenačte a ty názvy
domény pakety algoritmu a pak je kitech který se používá pro to jako by snadné
vyhledání těch klíčů prvním že listové dva klíče který mají stejně týpek ale jako by
jinýho psa
ty soubory dyž jaký to sou vlastně záznamy které se tam vkládají přímo do té
domény
je to deset je tedy jsem o kterém jsem mluvil
ráda takové
i věc soubory
vypadají takle dobrého s jenom popsán jaký algoritmus byl použit jsou tady ty jednotlivé komponenty
toho klíče todle zrovna desá klíč takže sou tady ty prvočísla jsou lidé exponenty koeficienty
kdo to zná tak si chápe
a tady sou právě ty meta data recently standardně vygeneruje v S parametrů tak zase
hned publikuje zóně adres začne používat podepisování
tak teď se vrátím sem zpět a pozor na to podepisování že jich musím připravit
do té známe se musí vložit právě ty veřejné klíče
dá se to udělal s nějak inteligentně já to udělám tak
já mě teda dodal takle dva vyzkoušeny
takže takle jednoduše prostě přidaný přidána kód nakonec toho zónový soubor ty klíče jsou tam
a teď když od adresy se k senzoru velké K Í
to je jako by cesta k adresáři s těmi s tím klíče i zámky oko
tak autorita to podepíše vedle nevyplyne souborech zamkl kousání
která obsahuje už zónu podepsanou
takže vlastně dyž tetina tohle jsem bude
když už to tady nebo elitu ten soubor nám tady strany
zavolám arnolde celého
a tady nikde sem měl ta
ten dotaz tím K D dělá zeptám se ta kuš to tady vrátí zabezpečenou odpověď
takže todle je ten starý historický způso
další ze způsobuje to zónu podepsat R automatické podepisování
nýtováním do bitově parodie nese a umí to náš nový toho
todle zase ta ukázka té zase ukázka pro byte
no ze starýho to procesor R akorát ten krok s tima podepsáním té zóny
co se musí změnit konfiguraci tak Y z nějakého důvodu vyžaduje aby pro tu zónu
byl zaplý dyna D nezprostí dynamicky aby ty můžu změnit ozónu za běhu
to se dá placatej ta napíšete tady přidáte to aby pole silou k o
a pak stačí přidat tyhlety dvě direktivy jaký direct tady se vše adresář kapsy aha
tedy klíče a pak den asi se k router nesek
maintain nebo alou kudrnaté tu volbu allow
tak on to zónu jakoby nebude standardně podepisovat a podepíše jenom vy zavoláte rvete co
sem
čtrnáct to maintain tak on se bude snažit i podepisovat podle právě těch aktuálních časových
údajů ste chtít klíčích jsi vygenerujete nové klíče pak zavoláte bessemer necelou to sem si
to přednáška zase jako by ten proces podepisování té zóny řídí za vás takže
todle jako o krok o krok blíž k nějakému pohodlnějšímu řešení
bohužel to většinou nestačí a správci si na to píšou různé skripty každý má vlastní
naši danou případně ještě něčem horšího pak vznikají takovýhle vstupy že
daleko lepší asi varianta je nebo přístup který mě měl jsem jestli narozeni lepší je
přístup který používá a budeme se
open the nesek
není D ne server je to služba která se pouze stará generování klíčů a stará
se o podepisování
vypisování toho zónového souboru
a vyžaduje jako by ke své práci s nějaký den server abys deset ozónovou richterovy
sto
funguje to tak že bučíte ne podepsanou zón ze souboru
nebo si dokáže vytáhnout vytáhnu z nějakého jiného serveru přes cifer
a zase ukládá do souboru a umí říct o to jako by potom podepsání říct
nebo spustit vlastní příkaz takže dokáže prostě zavolat D ne server říct úrovni se to
zónu protože jsem znova přechod znova podepsal
je to poměrně robustní řešení protože to stojí vlastně vedle toho R neseru pokud je
vtom procesu podepisování byla chyba
nebo pokud by
a třeba ta chyba mohla zkusili patové D neseru do tak proto se tady stane
může před of tak jako služeb
démon který běží vedle
akvárko vladana kráse tohodletoho řešení je to že je to nepodporuje jeden
je dynamický aby ty co se dá počáteční když je takže si vytvoříte
jako by skrytý master server
na které máte ne podepsanou zónu a povolíte na něm nebo všechny jakoby aby ty
dynamický budete směrována P server
pak si nastavíte takže ten úplně nesejde světozor si vycucne s toho s toho sto
odlesky diskrétního autoritativního serveru
podepíší uloží do novýho soubor zavolá druhý server který vše ty ruše jakoby veřejně přístupný
a do školy pro jako by vystavujete veřejnou zón
problém celýho tohodle řešení je to že ten proces nejse tom skok opakuje přes všechny
ty komponenty je
o malý
tady ještě ten opener jestli se vyznáte zajímavý že asi má smysl tady déčko rozebrat
V
ten úplně nesek pracuje s něčím čemu se říká ovoce zkratce zkratkou K s
je to T M si když polici rozsáhlým pole si
je to vlastně konfiguraci my si řeknete že chcete já nevím chci používat pro svou
pro svojí doménou N sekci chci používat hash nějaké délky a chci aby se měnil
každých sto dní
chci aby podpisy se měnily každých třicet dní nebo pro popisoval podepisovat si klíče
a pak je tam komponenta nebo démon který rissanen for se
který vlastně přečte tu politiku a vygeneruje kdyby generuje klíče stará sou ty klíče a
generuje sto nějakou databázi klíčů
tu databázi klíčů pak používat nová komponenta které se říká se jde
která vlastně dycky se ty klíče změní tak jenom vezme ty naprosto vstupů třeš může
být a zóna podepíše jí řekne ne neseru teď může znova načíst znova naší zónu
já to ještě ukážu tady na tom taky tři sta let asi
A konfigurace je poměrně jednoduchá
a ten úplně nesek jako takový tady na jenom a
no tři konfigurační soubory ukážu tenleten kolmý kontextem L který vlastně konfigurace
jinak kde sou ty klíče tento jsem jako je trošku
podle mě polem to zbytečně pracnou
době zapisuje a ale pro jaký automatické zpracování zase může být dobré
definují se tam vlastně repozitáře suše dvacet jsou jako by umístění děl může naší daty
klíče si vyberou plně nesešel tou cestou že podporuje pouze nějaké jsem K jako ve
sigkill ten modul
přes rozhraní aplikace s jedenáct
to je nějaký softwarový tam na to když si koupíte nějaký bezpečnostní token tak to
můžete dostat jako by knihovnu která todle se rozhraní má
a pak jako by můžete snadno přistupovat k těm klíčů na to zařízení můžete se
generovat tak
pokud nemá ten hardvér vy modul tak spolu s nebo způsob den D nesek je
vyvíjen ještě knihovnách krásné sem H jsem hrál si musíte rusové rozhraní ale dělá kovy
softwarové s ostrovy s je to softwarový token takže ty klíče můžete mi jako nikde
na disku nějaký sqldatabase
pak tady u sem nastavil ty nějaký logování nastavuje se jak má běžet enforces ani
nede tady na konci je vlastně co se má přes pustit
pustit za příkaz regule z dojde k tomu k tomu podepsání tak tadydle drilu nějaké
zóny přespání
pak je tady právě definice ty politiky této cast vsunul
těch politika může být definováno několik tady politika diff o
to je politika právě pro ty podpisy tady politika pro ty
negativní odpovědi
tady na napsáno že se má mít ten posun každý sto dní že se má
použít i pět iterací toho sign algoritmu a že ta
a ta suma vejde délky osum
politika pro klíče
prostě
docela kolonizovala staví
a pak se tady nakonfigurují jenom zóny a teda zaplo krát zónový tam oko
jako sloupce prostě používá soubor
arrow projdeme se kam se západkou
a výstupem jít do uveden S X jeden zablokován
tak pak ten úplně nese k mání jakoby konzolová nástroje které se je použit pro
ovládání
ne se to D S kontrol
nesouvisí to ve žádnou politickou stranou
má to někdy příkazů když tady napište adres kontrol časem tak pracujete s tím s
těmi repozitáře mi těmi těch klíčů takže když tedy dám hásem moje
tak víte že tam žádné klíče neni
K jesenný T list example komise může vypíše všechny klíče které jsou použity
zmenšit presso použity pro podepsání trezorek zamkl kombi tam není žádný
tady v tom adresáři
úplně nenese
může ukazuje ty tady vlastně existuje krát a nepodeps a názorné to pořád ta samá
za nastoupili signálu od začátku
tam adresáři sem nic není
a když byste která
nastartoval ten enforce je ten server
D S for S T
D S T jsou to opravdu jako dvě služby a se to nemusí vyžehlíno stejný
stroj
se stalo loby se objevilo něco
tady hlídám ty zase find
takže tady obě do
fajn tak zamkl kongo byl se tady podepsaná zóna
takže mě něco se stalo na pozadí a když tady ty znova pustím ty příkazy
s timhle semka a jsem list
tak uvidíte že tady vlastně vtom repozitář vysoká jsem se objevil nějaké dva klíče
dyž pustím ten sem T list proto zónu tak vidím že starobyle dva klíče ten
jeden
jaký se nikdy v ní rezoluce nějaký superstar nějaký platnosti
jako ty nástroje jako okolo s osou papi
ta
no a teď se konečně dostáváme
tomu filtru
jak lze Z až nakonec se nepotřebu na to moc času protože rozjet to D
nesek sklad je teď opravdu velmi jednoduché
odmítáš první betaverze která vyšla pondělí
ostatně skládku si všimněte že
kde pracujeme
a umí
automatické podepsání o tom
přímá kostom procesu toho serveru s těmi klíči které vygeneruje ten den asi týden
a
já to zase může ukázat
asi je jediný co tam stačí přidat co tydlety dvě konfiguračního při
R zastaven trvání
a nastartuj okno
že dyž se teď tady zeptám systém tam potom
v aute nějaký jiný
ní
paměťový
jo tyto neodpovídá tance tosta
jo
teď jsem se zeptat zase do tak zase odpověděl ne zabezpečeně
když zavolám no zone status tak se tedy dozvím že tam je naše na jiná
z analýzám dokonce seriálem jedna
teď vlastně
se může ukázat
no
a jsou ty zónové soubory
že tady je to že to adresář klíče už tam trošku rychle strusce to viděli
vygeneruj si klíš pro číselníky
vygeneruj si obličení klíč
sou tady
je tedy trošku po prvním oprávnění
jistotu
zde mnoho přečíst
otevře si konfigura to hodnota
todle vlastně taková hodně minimální konfigurace a jediný co sem teda přidal jsou ty dvě
konfigurační opřeny dnes osek jinej no on
dodnes ose týden kydy
E
ta
když tady zavolám natvrdo
tak mi drátěnou K D dawson status
takže tady bizony objevil že tam je nějaký automat indie nese a byly příště může
podepsání
a
když se zeptám přes
tady
tak už tam zase podepsanou to je
takže přestože jsem teda nevěděl že jedna se stack size má ten parametr mínus S
který tam asi přidá ty
ty klíče jako přímo do té zametli veřejné otisky
tak na to dělá implicitně děláte přímo vtom procesu
no a co se vlastně čeho chceme dosáhnou do budoucnosti
chtěli bysme vytvořit nějakou komprese schopnou alternativu k tomu uvedeme s jakou
chtěl bych se rozměr B nezávisí na těch na nástrojích hotel vysoce
chtěli bysme podporovat automatickou správu klíčů právě na základě politiky něco jako má ten na
obr nenese k tenká s
a určitě bysme chtěli podporovat
vyklíčená nějakých těch barberovi zařízení
přesto rozhraní aplikace si daná
no a úplně ideální by bylo revise nás to podařilo udělat knihovnu jako by se
novou knihovnu
pokud by se třeba někomu nelíbilo protože nejspíš pro na tím směrem že to podepisování
bude probíhat rovnostem server a pokud by někdo chtěl jako by co to podepisování mi
zvlášť jako H R nesek tak obě nemusí to knihovnu použita jisticí rozhraní všechny formáty
když mi fungovaly
a prostě tak
takže todleto sou dlouhodobé cíle
napsal jsem je verzi na pět
třeba to bude dřív
no a to je asi všechno co sem chtěl říct
takže pokud sice prej se zeptat nebo pokud máte nějaké zkušenosti s praxe které se
vracejí s něčím sem tady řek
tak si to radoslav ano
ano
jak je to tak zopakuje otázkou
otázka zněla jesli tomu podepisování knotu dochází automaticky nebo jestli k němu dochází na požadavek
klienta
dochází k nim automaticky při nebo přibližně hodinou před vypršením prvního toho klíče je tam
nějaké jakoby interval dopředu ale dojde k pře podepsání těch nejstarších
záznam
sekci
nebo
je takle se
uvažovali jsme na tím a L
před jako by
především
se snažíme
ne každý kompromis mezi jakoby výkonem a mezi velikostí té zóny čase náběhu prostě
uvažovali se vrátím
v současné době není dobré založen ale v současné době se tak záznamy generují přitom
podepisování
ze tři to umí s tím že teda když je T zóně ne podepsané se
připadám tak se rovnou generujem se k tři resek tři nebo vy výměna tichem si
připadám
by měla být
určitě řízneš jedna pět jedna čtyři jedna možná že ještě dost vyvezena čtyři sem s
tím
s tím dělat nějaký náhodný
probíhá to
ano pozadí jo persóna když se na načítání souboru a my to máme jaký žurnál
kde vlastně poznamenaný poslední seriový číslo který známe
pak vlastně na ten a ten zónový soubor se aplikují ty změny které sou tom
žurnálu ještě nejsou zapsané na tom disku pokud je potřeba zkusit tohoto pře podepsání se
že vlastně vždycky když se vzít a zóna vždycky se kontrola všechny podpisy
protože asi dyž tam souboru budu editovat tak mě napadne celostranickém ten podpis když s
ním jenom třeba
ty adresu tam záznamu vždycky se to celý jako při podepíše zase se to vložit
do žurnálu se zvýšeném server číslem
pokud to budu chtít zase jako by byla jít do toho souboru na disku zavolá
praco flash objeví se to tam můžu velikost toho to
jako by cokoliv týlní
je takle je to s tou žurnál ty tam kde to žurnál vašimi změny se
díváme na tom zónou
žurnále na disku
osladil
tak ještě nějaké dotazy
K
jak lze informaci ne
jsme rádi řádek konkurenci
my sme za tři měsíce napsali nebo za dva měsíce
na co něco takového straně ta na stejné úrovni jako Y
a ještě zhruba nějaký dotaz na
záleží na odvaze vyvezete používat
tak
sou ty verze co dáváme do stabilní určitě někde běží produkční prostředí
otázka je i na i některé server je české za nejsem běží nakopl
kdo to ještě používá matku
dále
že
dánska domén a tak dále taky používají produkci
jako pokud budou dostanou stejné zónové soubory tak asi
a pokud je pokud jakoby nepoběží zároveň tak by to mělo být pokud prostě
vlastně jo
no todlecto bude fungovat pokud
no trója nemůžu protože
ten moment toho pro psaní bude jinej součástí to popisu že jo sou je timestamp
kdy byl vytvořen A ten podpis
a třeba k kratce nastaví k tomu timestamp u kde jako ten podpis vyprší hašování
do té mají tam přidává nějaký jitter jako plus mínus
platnosti něco
a
takže ty popisy bylinné a pak třeba pro algoritmy jako odessa podepisovat cítíš ne nesmí
nepoužívá ale tak tam ten popis vždycky ne protože tam záleží nějaký tomu náhodně vygenerovaným
čísla
S používá při tom profesor no
čistě teoreticky
čistě teoretické zas měli
S jako asi je možné to
no mě teoreticky by mělo být možné prostě břity podpisy na více serverech ty podpisy
vy ten trezor milovali dva vždycky stejně
pokud se je někde něco rozbije
jak by asi mělo stačit vyřadit ty špatné záznamy
to je ten se brno
já nevím jestli to dokážu jako kvalifikovaní rozhodnout
asi tak asi dalším je to přidat očistí řešení když všechny ty servery vracení peněz
ty no to je
jestli to není někde nějaký vracečku napsaný
a Y jako čistě teoreticky tím validaci vím ohlasy stačit že se to podepíše
na všech jsem zvlášť
no podepisování nebo
na výkonu nenaseru by se to jako by na odpovědi by se to nemělo projevy
protože pokud jste předtím používal jako staticky pod nebo přes nějak ručně podepsanou zónu toupper
server poskytuje tak teď se nezmění nic jinýho nešel než doba toho startu protože přitom
statusem si zkontrolujte podpisy
už se to zóna změnila
českou zónou jsme zkoušeli podepsat nějakou starší a trvalo to na nějaký neuplynuly hardvéru sedum
minut
to
a máte
ne všechno se nepře podepisuje pokud se změnila změnil obsah T zóny zase tak se
spočítali kontrolu ženy popisy jestli jako jsou platné uzlu kladné tak se nemění
jenom ta jedna za ně
ta která se Q změnil
pokud se nezměnil seriál zóny
tak ten server prostě na sebe rychle pokuď však věta přepočítaní
no
jako pokud se přilepšenou dutý zóny zjistí že se to zóna změnila což neděláme podle
toho seriálu až za čas že kontroluje podle timestamp toho souboru
tak vlastně dojde k přepočtu kolik verifikaci pěchoty se tam sou špatný se vyhodí vytvoří
se nový
no tak eště nikdo se něco chce zeptat
no a na
no
jako
máme jako do standardně ty pro pokud vím tak ty aplikace prostě používají pět hostname
a tydlety volání která si které sou sto dvacet tak měl někdo C
ta výšková verze vlastně se použila value co to nepodporuje
takže jako by se tam jako prostřední právě vkládané ne server který tu který jsou
jako rezolventa tohoto verifikace kalibrování takže pokud je tam jako by dal kolik podvržená tak
muset zarazí jako by
třetiny se dostane do toho torzo
systémového
pokud vím tak
windows sedum třeba tu to taky nepodporují je potřeba mít jako by dané server nepodporuje
někde na cestě
windows osum nevina líbí jezdí sem si žádnou bude třeba stejně jako na kolenou
takže
asi standardně to nepodporují a eště něco s se ptal jsem zapomněla jo podpora ubrousek
podpora brouse standardně není
našem našich laboratořích vzniká nebo zniká number šíření do prohlížeče kreslené den asi validátor a
bratr toho rozšíření jet else a hledáte vezmete nevzala do prohlížeče a pak na liště
bude sítě zelená ikonka neurčená ikonka
todleto restaurace pro byla pořádku a ta operace jako by probíhá mimo ten systému vylezou
to určitě
no
to sem řady ze nepochopil otázkou
zase se to
todlecto se řeší na úrovni toho S X tři
vysycháte strany obrázku je máte zóně domény které se podepsané kreslena podepsané
jo to se právě řeší třeba na úrovni
umí řešit naše necek tři který dokáže jakoby stala si příčinou vyjmout je domény které
nejsou podepsané jakoby dokáže rozlišovat sigkill delegace sigkill delegace
ta delegace je to že ste zorně z té ten B S D za nebo
N S záznam který generuje který jakoby část toho stromu deleguje nativní jiný serve
pojem se při se dá říká se tomu optal a právě ten to políčko ztichli
boot když a nastaví na jedničku tak právě tydlecty domény které nejsou bezpečně realizované
tak i soustava jazyk příčinu vyjmuté takže ne není potřeba podepisovat jako
ale u se kus takovýho samotnýho to nejde
no
dobře
tak ještě nějaké dotazy
nikdy jsem zeptat
tak jsem případě ještě no děkuju že ste přišli sem já sem tady nebo sám
pokuď budete nějaký další dotazy velice Z atribut napište je na to není mail nebo
pokuď nebo můžete napsat na knot pomlčka DNS zavináč vás tečkami tečka C Z
a příde nám to všem kdo s tím nevěděla N
nebo máme mailing koleje
a na si ty práva vlasy důlku
jsou jedná zkontaktovat je spousta
řešeno jako