Riigivõrgu seade, mille küljes on hulga seadmeid.

Ülevaade Eesti juur DNS serveritest ning .com ja .net koopiatest

Domeeninimede süsteem ehk DNS ulatab arvutikasutajatele abikäe. Tänu DNS serveritele ei pea inimesed pähe tuupima pikki IP-aadresse: RIA kodulehe külastamiseks ei pea kirjutama aadressi reale 141.101.90.17, vaid piisab, kui trükkida ria.ee. Numbrilised IP-aadressid on hea viis, kuidas masinad, arvutid ja muud seadmed omavahel suhtlevad. Kasutajal on palju raskem seesuguseid jadasid meelde jätta. Kui on soov Google’i esilehele jõuda, siis kirjutatakse „google.com“, mitte 2607:f8b0:4004:c06:0:0:0:69. DNS server on arvuti, mis suudab kokku viia masinatele meelt mööda IP-aadressi ja inimmõistusele lihtsama veebilehe aadressi.

Millised nimeserverid töötavad Eestis? Eesti on kasutusel D, E, F, I, J ja K root DNS serverid, lisaks ka .com ja .net domeenide koopiat hoidev b.gtld-servers.net. Loetletud nimeserveritest kõige värskem on kuu alguses lisandunud J root DNS ning Eesti esimesed .com ja .net koopiad.

Sideteenuse pakkujatele on need interneti alustaristut kindlustavad teenused kättesaadavad läbi Eesti internetisõlmpunkti RTIX-i. Riigi Infosüsteemi Ameti pakutav RTIX on riigi hallatav dubleeriv interneti sõlmpunkt, mis ühendab Eesti internetivõrgud. Selle eesmärk on tagada võrkude omavaheline liiklus ka siis, kui ühendus välisriikidega on mingil põhjusel häiritud. Samuti on RTIX vahendusel otse kättesaadavad kõik .ee tsooni koopiad. Lisandunud hüvedest saavad automaatselt osa sideteenuse pakkujad, kes on liitunud RTIX-ga ning kasutavad RTIX route servereid. 

Miks on oluline, et root DNS või .com ja .net asuvad sulle lähedal?

Root DNSi toimimine on ühtlasi ka interneti toimimise alustala, sest just see teenus hoiab nimekirja, kus asuvad erinevate üladomeenide tsoonide nimeserverid. Näiteks teab root DNS, et .ee nimede kohta tasub küsida .ee tsooni autoriteetsest viiest nimeserverist koos vastavate IP aadressidega: b.tld.ee, e.tld.ee, ee.aso.ee, ee.eenet.ee ja ns.tld.ee.

Mida lähemal on root DNS sinu nimesid lahendavale DNSile, seda kiiremini tuleb ka vastus ehk domeeninimi (www.ria.ee) teisendatakse IP-aadressiks või vastupidi. Selle tulemusena teab sinu arvuti rutem, kus teenus asub, ühendub sinna ning sulle avaneb teenus. Kuid lisaks kiirusele on veelgi olulisem nimede lahendamise tõepärasus. Mida lähemal asub vastus, seda väiksem on võimalus teekonnal vastust mõjutada ning seeläbi sinu internetiliiklust valesti suunata. See ei ole ainult mugavuse, vaid ka turvalisuse küsimus.

Domeenidest on .com ja .net kõige kasutatavamad domeenid ning selle teenuse olemasolu Eestis vähendab ründepinda kõige laiemalt. See ei ole üksnes teoreetiline oht. Siit saate lugeda hiljutist analüüsi, mis kirjeldab, kuidas Mehhiko WhatsAppi kasutajate päringuid manipuleeriti.

https://labs.ripe.net/author/qasim-lone/detecting-dns-root-manipulation/

Miks on oluline, et sinu nimesid lahendav DNS asub sulle lähedal?

Niisiis, nimesid lahendava DNSi jaoks on tähtis, et tema jaoks autoriteetsed allikad asuvad talle lähedal, et kiirendada nimelahendusi ja vähendada nimelahendustega manipuleerimist. Sama oluline on vahemaa, mis lahutab sind ja nimesid lahendavat DNSi.

Mida kaugemal asub sinu jaoks nimesid lahendav server, seda aeglasemalt tulevad vastused ja seda suurem on võimalus pahatahtlikult teenuse pakkuja nimel valesti vastata. Seeläbi on lihtsam suunata liiklust kuhugi, kuhu ta minema ei peaks. Tasub märkimist, et DNS nimelahenduse turvalisust tagav protokoll DNSSEC ei ole selle ründe objektiks, kuna valideerimine leiab aset, siis toimub nimelahendaja teenuse juures. See aga tähendab, et teekond nimelahendaja juurest sinuni on endiselt haavatav. Sellepärast tuleks eelistada neid nimesid lahendavaid teenuseid, mis asuvad sulle võimalikult lähedal või krüpteerida vastavad päringud.

CERT-EE pakub avalikku nimede lahendamise teenust, mis järgib nimede lahendamisel eri turva- ja privaatsusstandardeid. See teenus ei lahenda neid nimesid, mille taga asuvad õngitsus- või pahavara sisaldavad lehed.  CERT-EE teenust saab kasutadakrüpteeritult toetades nii DNS over HTTPS kui ka DNS over TLS protokolle. Globaalsetest teenusepakkujatest on Eesti internetisõlmpunktis RTIX olemas nii Cloudflare 1.1.1.1 kui ka Quad9 9.9.9.9. 

Hiljutine näide juhtumist Eestis, kus suure teenusepakkuja teenuse nimel vastati klientidele valesti. Nimetatud juhtum mõjutas suurt hulka nimelahendusi.

Mida pean tegema, et nimelahendused oleks võimalikult turvalised?

Kasutades CERT-EE nimeservereid ei ole vaja teha midagi, sest siis kasutad Eesti interneti sõlmpunkti RTIX teenust täiel määral. Ka RIA riigivõrgu kliendid ei pea tegema midagi, sest neile on teenusepakkuja poolt tagatud RTIXi teenuste hüved.

Kui sa ei kasuta CERT-EE nimeservereid ega ole riigivõrgu klient, siis küsi oma sideteenuse ja DNS teenuse pakkuja käest, kas ta on RTIX-il kohal ning kasutab RTIX-i route servereid. Ilma eelnevata ei ole võimalik operatiivselt osa saada hüvedest, mida Eesti internetiteenuse sõlmpunkt RTIX pakub.

RIA küberintsidentide käsitlemise osakond (CERT-EE)