Site categories All
#dns
Розпорядження НЦУ № 179/963 від 06.03.2023 про внесення змін до Розпорядження НЦУ № 67/850 від 30.01.2023

НКЕК доводить до відома постачальників електронних комунікаційних мереж та/або послуг Розпорядження Національного центру оперативно-технічного управління мережами телекомунікацій (НЦУ) від 06.03.2023 № 179/963 про внесення змін до Розпорядження НЦУ № 67/850 від 30.01.2023.

Розпорядження НЦУ додається 179_06032023.zip

Постачальникам електронних комунікаційних мереж та/або послуг:
- до 21.03.2023 здійснити реєстрацію в системі фільтрації фішингових доменів та забезпечити подальше здійснення фільтрації фішингових доменів на рекурсивних DNS-серверах згідно з Регламентом роботи системи фільтрації фішингових доменів (додається);
- про реєстрацію в системі фільтрації фішингових доменів та початок здійснення фільтрації фішингових доменів згідно з Регламентом повідомити на електронну адресу оперативного чергового НЦУ - ncu@cip.gov.ua

Дивно нагадує, та все ж. Що таке рекурсивні DSN-сервери?
dsn.png
В самому плані є цікаві статті, що стосуються провайдерів.
Україна створить необхідні умови для забезпечення стримування агресивних дій у кіберпросторі проти України шляхом застосування економічних, дипломатичних, розвідувальних заходів, а також залучення потенціалу приватного сектору. З цією метою необхідно:

30. Створити технологічні можливості підключення постачальниками електронних комунікаційних мереж та/або послуг технічних засобів для здійснення оперативно-розшукових, контррозвідувальних та розвідувальних заходів.

Служба безпеки України, розвідувальні органи України, Адміністрація Державної служби спеціального зв'язку та захисту інформації України, Національна комісія, що здійснює державне регулювання у сфері зв'язку та інформатизації
Перше півріччя 2024 року
38. Забезпечити постійний моніторинг національних електронних комунікаційних мереж та інформаційних ресурсів, аналіз вторгнень щодо цих мереж і ресурсів, а також виявлення в режимі реального часу аномалій їх функціонування.

Національний координаційний центр кібербезпеки, суб'єкти, які безпосередньо здійснюють у межах своєї компетенції заходи із забезпечення кібербезпеки
Постійно
Це що? СОРМ?

 
54. Створити національний сервіс доменних імен (DNS).

Кабінет Міністрів України, Національний координаційний
центр кібербезпеки

Перше півріччя 2023 року
Це буде теж цікаво. Національний сервіс...

Текст плану: d598ce1ec4f3ef9f5815e5fe6bb36fa1_1643737498.doc
Доступен релиз кэшируюшего DNS-сервера PowerDNS Recursor 4.6, отвечающего за рекурсивное преобразование имён. PowerDNS Recursor построен на одной кодовой базе с PowerDNS Authoritative Server, но рекурсивный и авторитетный DNS-серверы PowerDNS развиваются в рамках разных циклов разработки и выпускаются в форме отдельных продуктов. Код проекта распространяется под лицензией GPLv2.

Сервер предоставляет средства для удалённого сбора статистики, поддерживает мгновенный перезапуск, имеет встроенный движок для подключения обработчиков на языке Lua, полноценно поддерживает DNSSEC, DNS64, RPZ (Response Policy Zones), позволяет подключать чёрные списки. Имеется возможность записи результатов резолвинга в виде файлов зон BIND. Для обеспечения высокой производительности применяются современные механизмы мультиплексирования соединений во FreeBSD, Linux и Solaris (kqueue, epoll, /dev/poll), а также высокопроизводительный парсер DNS-пакетов, способный обрабатывать десятки тысяч параллельных запроcов.
iotop почав видавати цікаві дані: 
IO завантажений на 99% процесом [kworker/u16:0+flush-8:112]
Після пошуків варіантів проблеми, виявилось, що knot-resolver має персистентний кеш на жорсткому диску.
Звукозаписывающая компания Sony Music добилась в окружном суде Гамбурга (Германия) предписания о блокировке пиратских сайтов на уровне проекта Quad9, предоставляющего бесплатный доступ к публично доступному DNS-резолверу "9.9.9.9", а также сервисам "DNS over HTTPS" ("dns.quad9.net/dns-query/") и "DNS over TLS" ("dns.quad9.net"). Суд вынес решение о блокировке доменных имён, уличённых в распространении музыкального контента, нарушающего авторские права, несмотря на отсутствия явной связи некоммерческой организации Quad9 с блокируемым сервисом. В качестве основания для блокировки указано то, что разрешение имён пиратских сайтов через DNS способствует нарушению авторских прав Sony.

Решение о блокировке на стороне стороннего публичного сервиса DNS вынесено впервые и воспринимается как попытку медиаиндустрии перенести связанные с отстаиванием соблюдения авторских прав риски и затраты на третьих лиц. Quad9 лишь предоставляет один из публичных DNS-резолверов, который не связан с обработкой нелицензионных материалов и не имеет отношения к системам, распространяющим подобный контент. При этом сами доменные имена и информация, которую обрабатывает Quad9, не являются объектом нарушения авторских прав Sony Music. Со своей стороны Sony Music указывает на то, что Quad9 предоставляет в своём продукте блокировку ресурсов, распространяющих вредоносное ПО и уличённых в фишинге, т.е. продвигает блокировку проблемных сайтов как один из атрибутов сервиса.
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.31 и 9.16.15, а также находящейся в разработке экспериментальной ветки 9.17.12. В новых выпусках устранены три уязвимости, одна из которых (CVE-2021-25216) приводит к переполнению буфера. На 32-разрядных системах уязвимость может быть эксплуатирована для удалённого выполнения кода злоумышленника через отправку специально оформленного запроса GSS-TSIG. На 64-системах проблема ограничивается крахом процесса named.

Проблема проявляется только при включении механизма GSS-TSIG, активируемого при помощи настроек tkey-gssapi-keytab и tkey-gssapi-credential. GSS-TSIG отключён в конфигурации по умолчанию и обычно применяется в смешанных окружениях, в которых BIND сочетается с контроллерами домена Active Directory, или при интеграции с Samba.

Уязвимость вызвана ошибкой в реализации механизма SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism), применяемого в GSSAPI для согласования используемых клиентом и сервером методов защиты. GSSAPI используется в качестве высокоуровневого протокола для защищённого обмена ключами при помощи расширения GSS-TSIG, применяемого в процессе проверки подлинности динамических обновлений DNS-зон.
Разработчики DNS-сервера BIND сообщили о добавлении в экспериментальную ветку 9.17 реализации серверной поддержки технологий "DNS поверх HTTPS" (DoH, DNS over HTTPS) и DNS поверх TLS (DoT, DNS over TLS), а также механизма XFR-over-TLS для безопасной передачи содержимого DNS-зон между серверами. DoH доступен для тестирования в выпуске 9.17.10, а поддержка DoT присутствует начиная с выпуска 9.17.7. После стабилизации поддержка DoT и DoH будет бэкпортирована в стабильную ветку 9.16.

Реализация протокола HTTP/2, используемого в DoH, основана на применении библиотеки nghttp2, которая включена в число сборочных зависимостей (в дальнейшем библиотеку планируется перевести в число необязательных зависимостей). Поддерживаются как шифрованные (TLS), так и незашифрованные соединения по HTTP/2. При соответствующих настройках один процесс named теперь может обслуживать не только традиционные DNS-запросы, но и запросы, отправленные с использованием DoH (DNS-over-HTTPS) и DoT (DNS-over-TLS). Поддержка HTTPS на стороне клиента (dig) пока не реализована. Поддержка XFR-over-TLS доступна как для входящих, так и для исходящих запросов.
В пакете Dnsmasq, объединяющем кэширующий DNS-резолвер и сервер DHCP, выявлено 7 уязвимостей, которым присвоено кодовое имя DNSpooq. Проблемы позволяют осуществить атаки по подстановке фиктивных данных в кэш DNS или вызвать переполнение буфера, потенциально способное привести к удалённому выполнению кода атакующего. Уязвимости устранены в сегодняшнем обновлении Dnsmasq 2.83. В качестве обходных путей защиты рекомендуется отключить DNSSEC и кэширование запросов при помощи опций командной строки "--dnssec" и "--cache-size=0" или настроек "dnssec" (нужно закомментировать) и "cache-size=0" в файле конфигурации dnsmasq.conf.
Доступны обновления авторитетного (authoritative) DNS-сервера PowerDNS Authoritative Server 4.3.1, 4.2.3 и 4.1.14, в которых устранены четыре уязвимости, две из которых потенциально могут привести к удалённому выполнению кода атакующего.
Опубликован релиз KnotDNS 3.0.0, высокопроизводительного авторитативного DNS сервера (рекурсор выполнен в виде отдельного приложения), поддерживающего все современные возможности DNS. Проект разрабатывается чешским реестром имен CZ.NIC, написан на языке Си и распространяется под лицензией GPLv3.

KnotDNS отличается ориентацией на высокую производительность обработки запросов, для чего применяется многопоточная, и по большей части неблокирующая реализация, хорошо масштабируемая на SMP-системах. Предоставляются такие возможности, как добавление и удаление зон на лету, передача зон между серверами, DDNS (динамические обновления), NSID (RFC 5001), расширения EDNS0 и DNSSEC (включая NSEC3), ограничения интенсивности ответов (RRL).
Опубликованы корректирующие обновления стабильных веток DNS-сервера BIND 9.11.22 и 9.16.6, а также находящейся в разработке экспериментальной ветки 9.17.4. В новых выпусках устранено 5 уязвимостей. Наиболее опасная уязвимость (CVE-2020-8620) позволяет удалённо вызвать отказ в обслуживании через отправку определённого набора пакетов на TCP-порт, на котором принимает соединения BIND. Отправка на TCP-порт аномально больших запросов AXFR, может привести к тому, что обслуживающая TCP-соединение библиотека libuv передаст серверу размер, приводящий к срабатыванию проверки assertion и завершению процесса.
Стоит сейчас bind, собранный опциями --prefix=/opt/bind --with-tuning=large --enable-threads --with-openssl --with-libtool. Потребовалось вынести DNS сервер, т.к. нагрузка получилась на нем немаленькая. Обратил внимание на Knot. Но есть нюанс - разные адреса для разных сетей должны отдаваться. Что из этого получится - посмотрим.
После 11 месяцев разработки консорциум ISC представил первый стабильный релиз новой значительной ветки DNS-сервера BIND 9.16. Поддержка ветки 9.16 будет осуществляться в течение трёх лет до 2 квартала 2023 года в рамках расширенного цикла сопровождения. Обновления для прошлой LTS-ветки 9.11 продолжат выпускаться до декабря 2021 года. Поддержка ветки 9.14 прекратится через три месяца.
После более года разработки консорциум ISC представил первый стабильный релиз новой значительной ветки DNS-сервера BIND 9.14. Поддержка ветки 9.14 будет осуществляться до 2 квартала 2020 года в рамках штатного цикла сопровождения. В следующем году будет сформирован LTS релиз 9.16, который будет поддерживаться три года. Обновления для прошлой LTS-ветки 9.11 продолжат выпускаться до декабря 2021 года. Поддержка ветки 9.12 прекратиться в июне.

BIND 9.14.0 стал первым стабильный выпуском, сформированным в рамках новой схемы нумерации версий. Нечётные номера релизов теперь присваиваются экспериментальным веткам, в которых развивается функциональность для будущих стабильных веток, имеющих чётный номер выпуска. Формирование отдельных альфа- и бета-веток прекращено. Таким образом, ветка BIND 9.13 была экспериментальной и на её базе сформирован стабильный релиз BIND 9.14.