ImplementaceDNSSECdos´ıt’ovéhoprotokoluVerseImplementationofDNSSECtoVersenetworkprotocol ZdenˇekPerutka BAKALÁˇRSKÁPRÁCE

(1)

Technick´ a univerzita v Liberci

Fakulta mechatroniky, informatiky a mezioborov´ ych studi´ı

BAKAL ´ A ˇ RSK ´ A PR ´ ACE

Zdenˇek Perutka

Implementace DNSSEC do s´ıt’ov´ eho protokolu Verse

Implementation of DNSSEC to Verse network protocol

Ustav Nov´´ ych technologi´ı a aplikované informatiky Vedouc´ı bakaláˇrské práce: Ing. Jiˇr´ı Hn´ıdek

Studijn´ı program: Informaˇcn´ı technologie Studijn´ı obor: Informaˇcn´ı technologie

(2)

Zad´an´ı

(3)

Podˇekov´an´ı

Na tomto m´ıstˇe bych chtˇel podˇekovat zejména své rodinˇe a pˇrátel˚um za podporu, sestˇre ˇSárce za trpˇelivou pomoc s pravopisem. Velký d´ık patˇr´ı také vedouc´ımu práce, Ing.

Jiˇr´ımu Hn´ıdkovi, za konzultace a uˇziteˇcn´e rady pˇri ˇreˇsen´ı zad´an´ı.

Kontakt

E-mail: zdnek.perutka@tul.cz

(4)

Prohl´ aˇ sen´ı

Byl jsem seznámen s t´ım, ˇze na mou bakaláˇrskou práci se plnˇe vztahuje zákon ˇc. 121/2000 o právu autorském, zejména § 60 (ˇskoln´ı d´ılo).

Beru na vˇedom´ı, ˇze Technická univerzita v Liberci (TUL) nezasahuje do mých au- torských práv uˇzit´ım mé bakaláˇrské práce pro vnitˇrn´ı potˇrebu TUL.

Uˇziji-li bakaláˇrskou práci nebo poskytnu-li licenci k jej´ımu vyuˇzit´ı, jsem si vˇedom povinnosti informovat o této skuteˇcnosti TUL; v tomto pˇr´ıpadˇe má TUL právo ode mne poˇzadovat úhradu náklad˚u, které vynaloˇzila na vytvoˇren´ı d´ıla, aˇz do jejich skuteˇcné výˇse.

Bakaláˇrskou práci jsem vypracoval samostatnˇe s pouˇzit´ım uvedené literatury a na základˇe konzultac´ı s vedouc´ım bakaláˇrské práce a konzultantem.

Datum

Podpis

(5)

Anotace

Tato bakaláˇrská práce se zabývá rozˇs´ıˇren´ım s´ıt’ového protokolu Verse, zabývaj´ıc´ım se real-timovým sd´ılen´ım dat, o podporu DNSSEC (zabezpeˇceným DNS). Toto rozˇs´ıˇren´ı Verse protokolu je d˚uleˇzité pro zvýˇsen´ı bezpeˇcnosti Verse protokolu.

V úvodu práce je struˇcnˇe popsána podstata fungován´ı DNSSEC. Následnˇe je pˇredloˇzen struˇcný pˇrehled knihoven umoˇzˇnuj´ıc´ıch DNSSEC a výbˇer nejvhodnˇejˇs´ı knihovny pro implementaci do knihovny implementuj´ıc´ı protokol Verse.

Jedn´ım z hlavn´ıch úˇcel˚u práce bylo vytvoˇren´ı dostateˇcnˇe komplexn´ı callback funkce, která by byla schopna pˇredávat programátorovi Verse klienta bezpeˇcnostn´ı informace o DNSSEC a certifikátech. Bylo tedy nutné aby funkce byla dostateˇcnˇe univerzáln´ı.

Práce se také zabývá vhodným rozˇs´ıˇren´ım Verse API, tak aby bylo moˇzné nové funkce pouˇz´ıvat.

Funkˇcnost a správnost rozˇs´ıˇreného Verse protokolu je v závˇereˇcné ˇcásti práce vy- zkouˇsena na vzorové aplikaci, která byla novˇe rozˇs´ıˇrena za úˇcelem testován´ı nových funkc´ı. Jelikoˇz se DNSSEC zat´ım v praxi pˇr´ıliˇs nepouˇz´ıvá a nen´ı mnoho

”podepsan´ych“

domén, bylo testován´ı provedeno pˇripojen´ım pouze ke dvˇema podepsaným doménám.

Kl´ıˇcov´a slova: DNSSEC, callback funkce, API, ldns, Verse protokol

(6)

Annotation

The thesis is focused on extension of Verse network protocol which is used for real- time data sharing. The extension should base on including a support for DNSSEC (secured DNS) which is very important in context of security enhancement.

Introduction of the thesis briefly describes the nature of the DNSSEC. Latter a brief overview of libraries which enable DNSSEC is offered following by a selection of the best library to be used for implementation into the Verse protocol library.

One of the main purposes of the study was to create a callback function complex enough which would be able to submit security information about DNSSEC and cer- tificates to a programmer of Verse client, keeping in mind that the function has to be sufficiently universal. The propriate extension of Verse API is also included so that it would be possible to use the new functions.

Functionality of the extended Verse protocol was checked on a sample application in the final parts of the thesis. A sample application already written was also extended in order to test new functions. Testing was proceeded by connecting to two signed and one unsigned domains.

Key words: DNSSEC, callback function, API, ldns, Verse protocol

(7)

Obsah

Prohl´aˇsen´ı 4

Anotace 5

Annotation 6

Seznam symbol˚u a zkratek 9

1 Uvod´ 10

1.1 Verse protokol . . . 10

1.2 DNSSEC . . . 10

1.2.1 Princip DNS . . . 11

1.2.2 Princip DNSSEC . . . 12

1.3 Linuxové nástroje pro práci s DNS . . . 13

1.4 Linuxov´e konfiguraˇcn´ı sooubory . . . 13

2 Knihovny umoˇzˇnuj´ıc´ı DNSSEC 14 2.1 LIBEPP-NICBR . . . 14

2.2 Libsresolv . . . 14

2.3 DNSruby . . . 14

2.4 DNSjava . . . 14

2.5 DNSpython . . . 15

2.6 DNSSEC Toolkit . . . 15

2.7 Net::DNS::SEC . . . 15

2.8 Ldns . . . 16

3 Realizace 17 3.1 API . . . 17

3.2 Callback funkce . . . 17

3.3 Certifik´aty . . . 18

(8)

3.5 Struktura pro ukl´ad´an´ı callback funkc´ı . . . 19

3.6 Registraˇcn´ı funkce . . . 20

3.7 Faleˇsn´y pˇr´ıkaz . . . 21

3.8 Ovˇeˇren´ı DNS z´aznamu . . . 22

3.9 Ovˇeˇren´ı TLS certifik´atu . . . 23

3.10 Rozˇs´ıˇren´ı Verse API . . . 24

3.11 Vzorov´a aplikace . . . 25

4 Testován´ı 27 4.1 Podepsané domény . . . 27

4.2 Neexistuj´ıc´ı dom´ena . . . 28

4.3 Nepodepsan´a dom´ena . . . 28

4.4 Lok´aln´ı test pˇripojen´ı . . . 29

4.5 Nedostatky, moˇzn´a budouc´ı vylepˇsen´ı . . . 32

5 Z´avˇer 33

Reference 34

Pˇr´ıloha A - Ukázky zdrojových kód˚u 39

Pˇr´ıloha B - Informace k pˇriloˇzen´emu CD 43

(9)

Seznam symbol˚ u a zkratek

AD Authenticated Data

API Application Programming Interface BSD Berkeley Software Distribution DNS Domain Name System

DNSSEC Domain Name System Security Extension EPP Extensible Provisioning Protocol

ID jedineˇcn´y identifik´ator IP Internet Protocol

IPv4 Internet Protocol version 4 IPv6 Internet Protocol version 6 NSEC Next Secure

NSEC3 Next Secure 3 RA Recursion Available RD Recursion Desired RR Resource Record SVN Subversion TC Truncated

TCP Transmission Control Protocol TLS Transport Layer Security TSIG Transaction Signature TTL Time To Live

UDP User Datagram Protocol

(10)

1 Uvod ´

Uvodem bude struˇ´ cnˇe pops´an Verse protokol a vysvˇetlena podstata pr´ace DNSSEC.

Dále budou vysvˇetleny i dalˇs´ı pojmy, týkaj´ıc´ı se práce na rozˇs´ıˇren´ı Verse protokolu.

1.1 Verse protokol

Verse je s´ıt’ový protokol typu klient-server. Je urˇcen pro real-timové sd´ılen´ı dat mezi grafickými aplikacemi.

P˚uvodn´ı Verse protokol byl vyv´ıjen Uni-Verse konsorciem v rámci 6. rámcového programu Evropské unie. Do konsorcia patˇrilo nˇekolik významných univerzit a výzkumných instituc´ı jako KTH, Fraunhoufer Institut, Helsinky University of Technology, Interactive Institute a Blender Foundation. Verse protokol byl od poˇcátku navrhován pro efektivn´ı real-timové sd´ılen´ı dat, pˇredevˇs´ım mezi grafickými aplikacemi a mˇel ambici stát se univerzáln´ım protokolem pro komunikaci mezi grafickými aplikacemi. Po ukonˇcen´ı fi- nancován´ı od Evropské unie vývoj protokolu ustal a ten se bohuˇzel z mnoha d˚uvod˚u nakonec nerozˇs´ıˇril [1].

V souˇcasné dobˇe vyv´ıj´ı Ing. Jiˇr´ı Hn´ıdek novou verzi Verse protokolu, která má být robustnˇejˇs´ı a pˇredevˇs´ım snadnˇeji implementovatelná do souˇcasných i budouc´ıch aplikac´ı.

Protokol je implementov´an v jazyce C.

1.2 DNSSEC

DNSSEC [2] je bezpeˇcnostn´ım rozˇs´ıˇren´ım protokolu DNS [3], pouˇz´ıvaného pro pˇreklad doménových jmen na IP [4] adresy. DNSSEC zajiˇst’uje, ˇze informace o IP adrese nebyla podvrˇzena, tedy ˇze nebyla poskytnuta jiná IP adresa, neˇz je skuteˇcná adresa serveru. Pˇri návrhu DNSSEC byl kladen maximáln´ı d˚uraz na zpˇetnou kompati- bilitu, protoˇze d´ıky tomu jsou aplikace implementuj´ıc´ı DNSSEC schopny komunikovat s aplikacemi pouˇz´ıvaj´ıc´ı pouze p˚uvodn´ı DNS.

(11)

1.2.1 Princip DNS

Jedná se o hierarchický systém. Poˇc´ıtaˇc má nastavenu IP adresu DNS serveru, re- sovleru, který provozuje typicky poskytovatel internetu. Pokud je zadáno doménové jméno nˇejakého serveru (napˇr. www.tul.cz), se kterým má být komunikováno, poˇc´ıtaˇc poˇsle dotaz na resolver. T´ım je zahájeno rekurzivn´ı dotazován´ı. DNS server se spoj´ı s koˇrenovým (root) serverem, který sice informaci o konkrétn´ıch jménech nemá, ale jako odpovˇed’ poˇsle IP adresu DNS serveru pro doménu cz. Který odeˇsle IP adresu name serveru tul.cz a ten uˇz odeˇsle IP adresu webového serveru www.tul.cz. Tuto informaci pak DNS server pˇrepoˇsle poˇc´ıtaˇci, ze kterého byl odeslán dotaz.

Pˇredevˇs´ım bˇehem komunikace mezi resolverem a jednotliv´ymi name servery, vznik´a ˇsance na podvrˇzen´ı DNS informace [5].

DNS servery si nalezené IP adresy ukládaj´ı do cache, tak aby pˇri opˇetovném dotazu na stejnou doménu nebylo nutné znovu se rekurzivnˇe dotazovat. Tazateli je pak odeslán záznam uloˇzený v lokáln´ı cache serveru. To je moˇzné d´ıky poli TTL, které znaˇc´ı jak dlouho je moˇzné DNS záznam pouˇz´ıvat. Pole TTL je obsaˇzeno v kaˇzdém záznamu [6]. Ovˇsem pokud je v hlaviˇcce dotazu nastaven pˇr´ıznak RD, znamená to, ˇze tazatel poˇzaduje rekurzivn´ı doptáván´ı. Server pak do odpovˇedi nastav´ı pˇr´ıznak RA znaˇc´ıc´ı, ˇze je ochotný rekurzivn´ı doptáván´ı provést a provede jej [7].

Stejným zp˚usobem jako server cachuje DNS záznamy i poˇc´ıtaˇc, ze kterého je pos´ılán dotaz. V Linuxu je moˇzné cache vyprázdnit restartován´ım démona Nscd, staraj´ıc´ıho se o správu DNS cache. Staˇc´ı zadat /etc/init.d/nscd restart.

Komunikace DNS prob´ıhá skrz port 53 transportn´ıch protokol˚u UDP [8] a TCP [9]. D´ıky jednoduchosti protokolu UDP je bˇeˇzný dotaz pos´ılán pomoc´ı tohoto protokolu stejnˇe jako odpovˇed’. Pokud je odpovˇed’ delˇs´ı neˇz 512 Byt˚u, odeˇsle se pouze ˇcásteˇcná odpovˇed’ s pˇr´ıznakem TC v hlaviˇcce. Tento pˇr´ıznak signalizuje, ˇze se nejedná o kompletn´ı odpovˇed’. V pˇr´ıpadˇe ˇze tazatel potˇrebuje celou odpovˇed’, poˇsle stejný dotaz tentokrát skrze TCP protokol a je mu pomoc´ı stejného protokolu poslána kompletn´ı odpovˇed’ [10].

(12)

1.2.2 Princip DNSSEC

DNSSEC vyuˇz´ıvá digitáln´ı podpis [11], který je v dneˇsn´ı dobˇe bˇeˇzným prostˇredkem pro ovˇeˇren´ı autenticity informac´ı. Pro doménu, která má být podepsána, je vygenerován privátn´ı a k nˇemu náleˇz´ıc´ı veˇrejný kl´ıˇc, funguje zde tedy princip asymetrické ˇsifry, kdy data zaˇsifrovaná privátn´ım kl´ıˇcem lze deˇsifrovat veˇrejným kl´ıˇcem. Privátn´ı kl´ıˇc je nutné drˇzet v tajnosti a jsou j´ım podepisovány DNS informace. Zat´ımco pomoc´ı veˇrejné kl´ıˇce je ovˇeˇrována pravost tˇechto podpis˚u. Veˇrejný kl´ıˇc je nahrán do zónového souboru nadˇrazené domény [12].

Veˇrejné kl´ıˇce jsou pak podepisovány stejným zp˚usobem. Tedy v nadˇrazené doménˇe je opˇet vygenerován privátn´ı a veˇrejný kl´ıˇc. Privátn´ım kl´ıˇcem jsou podepsány veˇrejné kl´ıˇce zóny a veˇrejný kl´ıˇc, který je opˇet uloˇzen o úroveˇn výˇs a slouˇz´ı k ovˇeˇren´ı pravosti podpisu.

Takto se postupuje aˇz ke koˇrenovému serveru. V praxi by tak mˇelo staˇcit m´ıt d˚uvˇeryhodný veˇrejný kl´ıˇc ke koˇrenové doménˇe, s jehoˇz pomoc´ı je moˇzné smˇerem dol˚u v hierarchii postupnˇe ovˇeˇrovat d˚uvˇeryhodnost vˇsech záznam˚u. Z˚ustává tak zachována p˚uvodn´ı hierarchická struktura DNS.

DNSSEC ˇreˇs´ı i moˇznost podsouván´ı faleˇsných informac´ı o neexistenci domény pomoc´ı záznamu typu NSEC [13] obsahuj´ıc´ıho jméno podepsané domény, následuj´ıc´ı podle abecedy. Pokud je server dotazován na neexistuj´ıc´ı doménu, jako odpovˇed’ poˇsle informace o podepsané doménˇe, která by této neexistuj´ıc´ı doménˇe pˇredcházela v abecedˇe. Po- kud dotazovaná doména v abecedˇe leˇz´ı mezi jménem poskytnutého záznamu a jménem v jeho NSEC záznamu, doména skuteˇcnˇe neexistuje. Napˇr. uvaˇzujme existenci domén aa a ba, pˇri dotazu na neexistuj´ıc´ı doménu ab poˇsle server jako odpovˇed’ informace o doménˇe aa, jej´ıˇz NSEC záznam obsahuje ba. Z toho je patrné, ˇze je informace o neexistenci domény vˇerohodná. D´ıky NSEC záznam˚um je vˇsak snadné vytváˇret mapu zóny, coˇz je zneuˇzitelné pro c´ılen´ı jiných typ˚u útok˚u.

Tento problém byl odstranˇen zaveden´ım záznamu NSEC3 [14], který neobsahuje jméno následuj´ıc´ı domény. Obsahuje vˇsak haˇs jména toho záznamu, haˇs jména následuj´ıc´ıho záznamu a parametry haˇsovac´ı funkce. Jednotlivé haˇse jsou ˇrazeny abe- cednˇe, princip ovˇeˇrován´ı je tak velmi podobný, pokud haˇs leˇz´ı v intervalu mezi

(13)

dvˇema haˇsi v NSEC3, doména neexistuje. Jelikoˇz spoˇc´ıtán´ı p˚uvodn´ıho jména z haˇse je výpoˇcetnˇe velmi nároˇcné, je sestaven´ı mapy zóny pomoc´ı NSEC3 prakticky nemoˇzné [15].

V praxi tuto validaci dopis˚u pomoc´ı veˇrejných kl´ıˇc˚u provád´ı tzv. validuj´ıc´ı resolver, který ovˇeˇr´ı autenticitu informac´ı. Pokud podpis souhlas´ı, nastav´ı v hlaviˇcce odpovˇedi takzvaný AD pˇr´ıznak (Authenticated Data). To znaˇc´ı, ˇze zpráva nebyla podvrˇzena [16].

1.3 Linuxov´ e n´ astroje pro pr´ aci s DNS

Nejbˇeˇznˇejˇs´ımi nástroji pro práci s DNS v Linuxu jsou host a dig. V obou pˇr´ıpadech se jedná o konzolové nástroje. Jejich pomoc´ı je moˇzné dotazovat se DNS server˚u, pouˇzit´ım r˚uzných pˇrep´ınaˇc˚u lze dotazy bl´ıˇze specifikovat. Napˇr´ıklad nastavit typ dotazu, verzi IP adresy kterou chceme z´ıskat, atd.

1.4 Linuxov´ e konfiguraˇ cn´ı sooubory

Nejd˚uleˇzitˇejˇs´ım konfiguraˇcn´ım souborem je /etc/resolv.conf, ve kterém jsou nastaveny IP adresy DNS server˚u v textové podobˇe: nameserver [IP adresa]. V tomto souboru lze také pˇriˇradit poˇc´ıtaˇc do domény (domain [doména]).

Dalˇs´ım souborem je soubor /etc/hosts, v nˇemˇz jsou uloˇzeny statické DNS záznamy ve tvaru [IP adresa] [doména].

(14)

2 Knihovny umoˇ zˇ nuj´ıc´ı DNSSEC

Tato ˇcást práce pojednává o nˇekterých knihovnách umoˇzˇnuj´ıc´ıch DNSSEC. Je v n´ı také zd˚uvodnˇena volba knihovny pouˇzité pro rozˇs´ıˇren´ı Verse protokolu.

2.1 LIBEPP-NICBR

Jedná se o C++ knihovnu, která také ˇcásteˇcnˇe implementuje protokol EPP, pouˇz´ıvaný pro komunikaci mezi registrátory domén a doménovými registry [17].

Knihovna je vyv´ıjena na platformˇe FreeBSD 5.4 [18]. Knihovna vˇsak bez probl´em˚u funguje i na Linuxu [19] a Mac OS X [20].

Knihovna je kvalitnˇe a celkem pˇrehlednˇe zdokumentována nástrojem doxygen [21] a jej´ı zdrojové kódy jsou také solidnˇe okomentovány. Knihovna je poskytována pod BSD like licenc´ı [22].

2.2 Libsresolv

Knihovna Libsresolv je vyv´ıjena francouzským institutem IRISA [23]. Je to rozˇs´ıˇren´ı programu BIND, coˇz je nejpouˇz´ıvanˇejˇs´ı program implementuj´ıc´ı DNS server. Dokáˇze validovat DNS informace a zobrazovat cokoliv je obsaˇzeno v DNS odpovˇedi. Knihovna je poskytována pod BSD like licenc´ı. Vyˇzaduje knihovnu OpenSSL [24].

2.3 DNSruby

DNSruby je knihovna napsaná v interpretovaném skriptovac´ım jazyce Ruby [25], vyv´ıjená spoleˇcnost´ı Nominet UK, která nab´ız´ı kompletn´ı implementaci DNSSEC. Na oficiáln´ıch stránkách nab´ız´ı dokumentaci [26]. Knihovna je licencována Apache Licenc´ı verze 2.0 [27].

2.4 DNSjava

DNSjava je knihovna implementuj´ıc´ı DNSSEC v jazyce Java [28], vyv´ıjená od roku 1999 Brianem Wellingtonem v rámci spoleˇcnosti Nominum. Knihovna je poskytována

(15)

pod BSD licenc´ı. Implementuje dotazy, pˇresmˇerováván´ı na jiné zóny a dynamické up- datován´ı. M˚uˇze být vyuˇzita v klientském programu a v minimáln´ı m´ıˇre také pro server [29]. Implementuje také TSIG [30], jeˇz je alternativou k DNSSEC [31]. Zdrojové kódy této knihovny jsou ˇrádnˇe okomentovány a je také k dispozici pˇrehledná dokumentace vytvoˇrená nástrojem Javadoc [32].

2.5 DNSpython

DNSpython je knihovna implementuj´ıc´ı DNSSEC v interpretovaném jazyce Python [33], je vyv´ıjena od roku 2003 Bobem Halleym, taktéˇz ze spoleˇcnosti Nominum. Rozd´ıl oproti DNSjava je v´ıce ménˇe pouze v jazyce, ve kterém je implementována. Co se týˇce dotaz˚u, zón a updatován´ı DNSpython poskytuje stejné moˇznosti jako DNSjava, zdrojové kódy jsou taktéˇz velmi dobˇre zdokumentovány [34]. Knihovna je dodávána pod BSD like licenc´ı.

2.6 DNSSEC Toolkit

Jedná se o jednoduchý nástroj psaný v jazyce C, který umoˇzˇnuje napsat jak pro- gramy pro resolver, tak také jednoduché nástroj pro ovˇeˇren´ı. V bal´ıku ke staˇzen´ı Tool- kitu jsou i pˇr´ıklady implementace nˇekterých nástroj˚u. Vyv´ıj´ı jej Olivier Courtay z ENST Bretagne [35]. Je distribuována pod BSD licenc´ı.

2.7 Net::DNS::SEC

Jedná se o rozˇs´ıˇren´ı knihovny Net::DNS, vyv´ıjené Michaelem Fuhrem. Tato knihovna je psána v skriptovac´ım jazyce Perl [36]. Umoˇzˇnuje pouˇz´ıt témˇeˇr jakýkoliv DNS dotaz.

Nezávis´ı na ˇzádné knihovnˇe v C, ale pro zvýˇsen´ı rychlosti je moˇzné jej slinkovat s kni- hovnou libsresolv. Vyv´ıj´ı ji Olaf Kolkman [37]. Knihovna je k dispozici pod upravenou BSD licenc´ı.

(16)

2.8 Ldns

Knihovnu ldns vyv´ıj´ı od roku 2005 Nizozemská výzkumnická skupina NLnet Labs.

Knihovna je psána v jazyce C. Umoˇzˇnuje kompletnˇe vyuˇz´ıvat DNS dotazy. Kompletnˇe implementuje DNSSEC, jak ovˇeˇrován´ı, tak podepisován´ı, kromˇe toho také implementuje TSIG. Podporuje IPv4 i IPv6 a obsahuje nástroj

”Drill“, vytvoˇren´y pro ladˇen´ı DNS dotaz˚u [38].

Knihovna je vyv´ıjena pˇredevˇs´ım pro platformy Linux a FreeBSD, avˇsak úspˇeˇsnˇe funguje i na platformách Mac OS X a Solaris [39]. Knihovna vyˇzaduje knihovnu Libtool [40], pro funkˇcnost DNSSEC knihovna vyˇzaduje knihovnu OpenSSL a pro funkˇcnost nˇekterých ukázkových aplikac´ı knihovnu libpcap [42].

Tato knihovna byla vybrána k pouˇzit´ı pˇri realizaci zadán´ı bakaláˇrské práce, jelikoˇz poskytuje veˇskerou potˇrebnou funkˇcnost, která je vyˇzadována, hlavnˇe kompletn´ı podporu DNSSEC. D´ıky tomu, ˇze je napsána stejnˇe jako Verse protocol v jazyce C, je rychlejˇs´ı neˇz knihovny psané v jiných jazyc´ıch. Dalˇs´ı výhodou je jej´ı velmi dobrá dokumentace, jeˇz d´ıky dodateˇcným tutoriál˚um a vzorovým program˚um, pˇredˇc´ı kvalitu jiných dobˇre dokumentovaných knihoven. Knihovna je um´ıstˇena ve standartn´ıch repo- sitáˇr´ıch Linuxových distribuc´ı a je tak snadno dosaˇzitelná, licence umoˇzˇnuje volné ˇs´ıˇren´ı a úpravy [41].

Nˇekteré knihovn´ı funkce pouˇzité v knihovnˇe Verse protokolu budou bl´ıˇze popsány v kapitole 3.8.

(17)

3 Realizace

V této ˇcásti je popsána vlastn´ı realizace zadán´ı a s n´ı souvisej´ıc´ı teorie, jsou v n´ı téˇz ukázky zdrojových kód˚u.

Samotný Verse protokol je moˇzno stáhnout na adrese https://dev.nti.tul.cz/repos/verse2/. DNSSEC verze protokolu se nacház´ı na pˇriloˇzeném CD a postup kompilace je popsán v pˇr´ıloze. Verse protokol pouˇz´ıvá k navázán´ı spojen´ı a autentizaci uˇzivatele protokol TCP a k vlastn´ımu pˇrenosu dat protokol UDP.

Jako vývojové prostˇred´ı bylo pouˇzito Eclipse [43]. Jedná se o Open source prostˇred´ı, které podporuje mnoho programovac´ıch jazyk˚u vˇcetnˇe C. Jako systém pro zprávu verz´ı bylo pouˇzito Subversion (SVN) [44]. SVN se skládá ze serverové ˇcásti, kde jsou uloˇzeny vˇsechny verze zdrojových kód˚u a z klientské ˇcásti, jeˇz je integrována v Eclipse. Pomoc´ı klientské ˇcásti jsou nahrávány na server nové verze a stahovány aktualizace od jiných vývojáˇr˚u.

3.1 API

Application Programming Interface (API) je rozhran´ı pro programov´an´ı aplikac´ı.

Jo to soubor funkc´ı a konstant nˇejaké knihovny, které pˇri implementaci této knihovny m˚uˇze programátor pouˇz´ıvat v aplikaci.

3.2 Callback funkce

Callback funkce je pouˇz´ıvána v pˇr´ıpadˇe, kdy pˇri bˇehu nˇekteré z knihovn´ıch funkc´ı, nastane událost, u které chceme, aby j´ı oˇsetˇril programátor aplikace implementuj´ıc´ı tuto knihovnu. K tomu se vyuˇz´ıvaj´ı takzvané registraˇcn´ı funkce, které maj´ı za úkol uloˇzit ukazatel na funkci, která v aplikaci obsluhuje danou událost. Tak aby bylo moˇzné v knihovn´ı funkci volat funkci, definovanou v aplikaci implementuj´ıc´ı tuto knihovnu.

Registraˇcn´ı funkce má jediný vstupn´ı parametr a t´ım je ukazatel na funkci s pˇresnˇe danými vstupn´ımi parametry. Tato funkce je zahrnuta v API knihovny. V knihovnˇe

(18)

Obr´azek 1: Vol´an´ı callback funkce do knihovny.

Kdyˇz pak v knihovn´ı funkci nastane událost, kterou chce programátor knihovny nechat oˇsetˇrit programátorem aplikace, zavolá se funkce, uloˇzená na m´ıstˇe, kam ukazuje ukazatel z´ıskaný d´ıky registraˇcn´ı funkci. Vykoná se callback funkce a poté se pˇr´ıpadnˇe dále pokraˇcuje ve vykonáván´ı programu. Viz. Obrázek 1.

3.3 Certifik´ aty

Digitáln´ı certifikáty (dále TLS certifikáty) slouˇz´ı k ovˇeˇren´ı d˚uvˇeryhodnosti úˇcastn´ıka komunikace, se kterým je komunikováno prostˇrednictv´ım ˇsifrovaného spojen´ı. Verse protokol pouˇz´ıvá TLS [45] ˇsifrován´ı. Certifikáty funguj´ı na principu digitáln´ıho podpisu, kdy veˇrejným kl´ıˇcem vydaným certifikaˇcn´ı autoritou, jsou podepisovány veˇrejné kl´ıˇce

´

uˇcastn´ık˚u ˇsifrovan´e komunikace. Funguje zde hierarchick´y pˇrenos d˚uvˇery.

(19)

3.4 Um´ıstˇ en´ı nov´ ych funkc´ı

DNS informaci bylo nutné ovˇeˇrit jeˇstˇe pˇred navázán´ım TCP spojen´ı. O navázán´ı tohoto spojen´ı se staraj´ı funkce v souboru vc tcp connect.c. Do nˇej byla um´ıstˇena funkce pro ovˇeˇren´ı DNS informace i funkce pro ovˇeˇren´ı TLS certifikátu. Funkce pro verifikaci DNS byla nazvána vc verify dns a jej´ı volán´ı muselo probˇehnout jeˇstˇe pˇred volán´ım funkce vc create client stream conn, která se stará o vlastn´ı navázán´ı TCP spojen´ı a TLS handshake. Totu funkci bylo nutné upravit tak, aby bylo moˇzné j´ı pˇredat adresy, jeˇz byly z´ıskány pˇri pˇredchoz´ım DNS dotazován´ı.

K tomu byla vytvoˇrena v souboru vc tcp connect.h struktura Addr data, jeˇz je na následuj´ı ukázce zdrojového kódu. Jelikoˇz v odpovˇedi od DNS serveru obvykle bývá v´ıce IP adres, struktura obsahuje IP adresu v textové formˇe a ukazatel na strukturu Addr data, jeˇz je odkazem na následuj´ıc´ı adresu.

3.5 Struktura pro ukl´ ad´ an´ı callback funkc´ı

Jako prvn´ı krok bylo nutné upravit jiˇz existuj´ıc´ı strukturu pro ukládán´ı callback funkc´ı. Bylo potˇreba ji rozˇs´ıˇrit o dalˇs´ı funkci, která slouˇz´ı k pˇredáván´ı bezpeˇcnostn´ıch dat. Jedn´ım z hlavn´ıch poˇzadavk˚u na tuto funkci byla dostateˇcná univerzálnost, aby se dala pouˇz´ıt nejenom k zobrazen´ı DNS informac´ı, ale byla schopna zobrazit napˇr´ıklad i informace o TLS certifikátu.

Ukládán´ı callback funkc´ı je ve Verse protokolu ˇreˇseno v souborech: v func storage.c a v hlaviˇckovém souboru v func storage.h. V souboru v func storage.c je pouze inicia- lizaˇcn´ı funkce initFuncStorage. Do té bylo nutné pˇridat pouze ˇrádek inicializuj´ıc´ı novou bezpeˇcnostn´ı funkci.

(20)

livé callback funkce. Bylo ji nutné rozˇs´ıˇrit o ukazatel na funkci s vhodnými parametry.

Tato funkce byla nazvána security info. Jej´ımi parametry jsou ID relace, doménové jméno serveru, IP adresa serveru, textový výsledek a status výsledku. Následuje ukázka zdrojového kódu (rozˇs´ıˇren´ı VFuncStorage).

3.6 Registraˇ cn´ı funkce

Jak jiˇz bylo v úvodu zm´ınˇeno, registraˇcn´ı funkce slouˇz´ı k uloˇzen´ı callback funkce do struktury pro ukládán´ı callback funkc´ı. V protokolu Verse jsou tyto funkce, pro klient- skou ˇcást aplikace definovány v souboru vc connection.c.

Nová registraˇcn´ı funkce byla nazvána register security info a jej´ım vstupn´ım parametrem je ukazatel na funkci, jeˇz má parametry jako callback funkce. V tˇele funkce jeˇstˇe nad ˇrádkem, ve kterém je ukazatel pˇriˇrazen k pˇr´ısluˇsné funkci ve struktuˇre VFuncSto- rage, je volán´ı funkce init VC CTX. Tato funkce inicializuje strukturu VC CTX, v n´ıˇz se nacház´ı mimo jiné právˇe struktura VFuncStorage. Inicializaˇcn´ı funkce je oˇsetˇrena tak, ˇze pokud je struktura jiˇz inicializována, znovu se inicializovat nebude. Následuje zdrojový kód registraˇcn´ı funkce.

(21)

3.7 Faleˇ sn´ y pˇ r´ıkaz

Faleˇsný pˇr´ıkaz se liˇs´ı od bˇeˇzného pˇr´ıkazu t´ım, ˇze nen´ı pos´ılán po s´ıti a slouˇz´ı k volán´ı callback funkc´ı, kdeˇzto bˇeˇzné pˇr´ıkazy jsou vyuˇz´ıvány pro komunikaci mezi klientem a serverem.

Faleˇsné pˇr´ıkazy jsou zaˇrazovány do fronty. Kaˇzdý pˇr´ıkaz má svoj´ı frontu, takˇze bylo nutné vytvoˇrit nejen nový faleˇsný pˇr´ıkaz, ale také novou frontu a strukturu k ukládán´ı dat, pro tento pˇr´ıkaz.

Tyto pˇr´ıkazy a struktury pro ukládán´ı dat k tˇemto pˇr´ıkaz˚um, jsou definovány ve hlaviˇckovém souboru v command.h. V tomto souboru bylo nutno definovat kon- stantu pro nový faleˇsný pˇr´ıkaz. Nazvána byla FAKE CMD SECURITY INFO a byla j´ı pˇriˇrazena hodnota 3. Struktura pro ukládán´ı bezpeˇcnostn´ıch dat byla nazvána Secu- rity Data. Jej´ı atributy v podstatˇe kop´ıruj´ı parametry callback funkce, pouze tu chyb´ı ˇc´ıslo relace a kv˚uli kompatibilitˇe s ostatn´ımi Verse pˇr´ıkazy, je tu nav´ıc ID pˇr´ıkazu.

Následuje ukázka zdrojového kódu struktury pro ukládán´ı bezpeˇcnostn´ıch dat.

Fronty pˇr´ıkaz˚u jsou definovány v souboru v dataqueue.c. O vytvoˇren´ı front se stará inicializaˇcn´ı funkce v queue init. V n´ı bylo opˇet nutné pˇridat pˇr´ıkaz FAKE CMD SECURITY INFO.

Velikost prvku (item size) je nastavena na velikost struktury Security Data, parametry adresy (addr offset a addr size) jsou nastaveny na nulu, jelikoˇz se jedn´a o faleˇsn´y, tedy offline pˇr´ıkaz. Haˇsovac´ı funkce (hash function) je nastavena na blind hash func,

(22)

Naˇc´ıtán´ı pˇr´ıkaz˚u z callback funkc´ı je provádˇeno zavolán´ım funkce verse callback update um´ıstˇené v souboru vc connection.c. Tato funkce byla rozˇs´ıˇrena o naˇcten´ı fronty bezpeˇcnostn´ıch pˇr´ıkaz˚u (ukázka kódu v pˇr´ıloze A).

Funkce má jediný vstupn´ı parametr, j´ımˇz je ID relace. Funkce procház´ı vˇsemi re- lacemi. Jakmile naraz´ı na poˇzadovanou relaci, zaˇcne postupnˇe z front pˇr´ıkaz˚u naˇc´ıtat jednotlivé pˇr´ıkazy. Prvn´ı na ˇradˇe je fronta, která byla pˇridána v rámci této práce, tedy fronta pro bezpeˇcnostn´ı pˇr´ıkazy. Jsou-li ve frontˇe pˇr´ıkazy, jsou postupnˇe naˇcteny, a je volána pˇr´ısluˇsná callback funkce, uloˇzená ve VFuncStorage. Následuje ukázka kódu inicializace fronty faleˇsných pˇr´ıkaz˚u.

3.8 Ovˇ eˇ ren´ı DNS z´ aznamu

Jak jiˇz bylo zm´ınˇeno v úvodu kapitoly, o ovˇeˇren´ı DNS záznamu se stará funkce vc verify dns, um´ıstˇená v souboru vc tcp connect.c. Funkce má jako vstupn´ı parametr ukazatel na strukturu VSession, jeˇz obsahuje informace o aktuáln´ı relaci, a výstupn´ı parametr ukazatel na strukturu Security Data, tedy strukturu pro faleˇsný pˇr´ıkaz. Funkce vrac´ı strukturu Addr data, v n´ıˇz jsou uloˇzeny IP adresy, z´ıskané pˇri DNS dotazech. Viz.

následuj´ıc´ı ukázka zdrojového kódu.

Pˇri vykonáván´ı funkce jsou nejprve z´ıskány a ovˇeˇreny adresy IPv4, ukázka zdro- jového kódu v pˇr´ıloze A. Poté IPv6 a dále je faleˇsný pˇr´ıkaz s patˇriˇcnými daty pˇridán do fronty pˇr´ıkaz˚u a jsou vráceny IP adresy, z´ıskané dotazy na DNS server.

(23)

V této funkci je vyuˇz´ıváno funkc´ı knihovny Ldns, jako prvn´ı ldns resolver new frm file. Pomoc´ı této funkce se nastavuje, jakého DNS serveru se chceme dotazovat.Výstupn´ım parametrem je struktura ldns resolver, v n´ıˇz je konfi- gurace DNS. Vstupn´ı parametr je soubor, z nˇehoˇz maj´ı být informace naˇcteny. Pokud je zadáno NULL je pouˇzit soubor /etc/grub.conf. Pokud vˇse probˇehne v poˇrádku funkce vrac´ı LDNS STATUS OK. V opaˇcném pˇr´ıpadˇe funkce vrát´ı chybový kód.

Dalˇs´ı pouˇzitou funkc´ı je ldns dname new frm str, vracej´ıc´ı strukturu ldns rdf a se vstupn´ım parametrem ukazatelem na znak (char). Tato funkce vytváˇr´ı z textového ˇretˇezce informace o doménˇe, které jsou pouˇz´ıvány jako parametr DNS dotaz˚u.

Funkce ldns resolver set dnssec má vstupn´ı parametry ldns resolver a bool. Jej´ı pomoc´ı se nastavuje zda má být zapnuta podpora DNSSEC.

Dalˇs´ı funkc´ı je ldns resolver query, pos´ılaj´ıc´ı dotazy na DNS server. Vrac´ı strukturu ldns pkt reprezentuj´ıc´ı DNS zprávu a má pˇet vstupn´ıch parametr˚u, struktury ldns resolver, a ldns rdf, druh záznamu, tˇr´ıdu dotazu a pˇr´ıznak. Pomoc´ı tˇechto parametr˚u je moˇzné pˇresnˇe specifikovat dotaz, tedy na jaký server má být dotaz poslán a jaký druh záznamu je poˇzadován (napˇr. adresa IPv4). Ve Verse protokolu byl u dotazu pouˇzit pˇr´ıznak RD, tedy po DNS serveru je poˇzadováno rekurzivn´ı doptáván´ı.

Vˇerohodnost dat je kontrolov´ana funkc´ı ldns pkt ad, jeˇz kontroluje, zda odpovˇed’

obsahuje pˇr´ıznak AD. Ten znaˇc´ı, ˇze jsou data obsaˇzen´a v paketu autentick´a. Vstupn´ım parametrem je struktura ldns pkt. Funkce vrac´ı true, pokud paket pˇr´ıznak obsahuje.

V opaˇcn´em pˇr´ıpadˇe vrac´ı false.

Z odpovˇedi bylo potˇreba vybrat poˇzadované RR záznamy, k ˇcemuˇz slouˇz´ı funkce ldns pkt rr list by type vracej´ıc´ı strukturu ldns rr list. Vstupn´ımi parametry jsou ldns pkt, typ záznamu a sekce paketu, z n´ıˇz maj´ı být záznamy vybrány. Posledn´ı pouˇzitou funkc´ı je ldns rdf2str, která pˇrevád´ı IP adresu z binárn´ıho formátu do tex- tového.

3.9 Ovˇ eˇ ren´ı TLS certifik´ atu

(24)

rametr má ukazatel na strukturu vContext, jeˇz obsahuje mimo jiné strukturu VSession, pouˇzitou pro pˇredchoz´ı funkci. Ale hlavnˇe obsahuje strukturu VStreamConn, která obsahuje informace o TLS spojen´ı a je z n´ı tedy moˇzno z´ıskat TLS certifikát serveru.

Výstupn´ım parametrem je stejnˇe jako u pˇredchoz´ı funkce ukazatel na strukturu Secu- rity Data, na následuj´ı ukázce zdrojového kódu je hlaviˇcka funkce vc verify cert.

K ovˇeˇren´ı TLS certifikátu jsou pouˇzity funkce knihovny OpenSSL. Prvn´ı z nich je funkce SSL get peer certificate pouˇzitá k z´ıskan´ı certifikátu serveru. Jej´ım vstupn´ım parametrem je struktura SSL a vrac´ı strukturu X509, která pˇredstavuje TLS certifikát.

Z této struktury, jsou pomoc´ı funkc´ı X509 get subject name a X509 NAME oneline z´ıskány informace o certifikátu v textová podobˇe, ty jsou pak pˇredány bezpeˇcnostn´ı callback funkci.

Nejd˚uleˇzitˇejˇs´ı funkc´ı ve vc verify cert je SSL get verify result. Tato funkce se stará o vlastn´ı ovˇeˇren´ı certifikátu. Jako vstupn´ı parametr má strukturu SSL a vrac´ı chybové kódy, ty jsou pˇredány bezpeˇcnostn´ı callback funkci. Podle chybového kódu je doplnˇena textová informace upˇresˇnuj´ıc´ı chybu a ta je také pˇredána bezpeˇcnostn´ı callback funkci.

Pokud je certifikát v poˇrádku, funkce vrát´ı 0. Bezpeˇcnostn´ı callback funkci je pak pˇredán kód SECURITY CERT OK.

3.10 Rozˇ s´ıˇ ren´ı Verse API

Verse API je definováno v souboru verse.h. Bylo jej nutné rozˇs´ıˇrit pˇredevˇs´ım o re- gistraˇcn´ı funkci register security info. Tak aby programátor pouˇz´ıvaj´ıc´ı knihovnu Verse protokolu mohl zaregistrovat pˇr´ısluˇsnou callback funkci. Dále bylo Verse API rozˇs´ıˇreno o konstanty, jeˇz jsou pouˇz´ıvány jako chybové kódy pro bezpeˇcnostn´ı funkci, viz následuj´ıc´ı ukázka zdrojového kódu.

(25)

3.11 Vzorov´ a aplikace

Jako vzorov´a aplikace byla pouˇzita konzolov´a aplikace

”Example of Verse client“, ˇcili pˇr´ıklad Verse klienta. Ta byla jiˇz napsána Ing. Jiˇr´ım Hn´ıdkem. Bylo samozˇrejmˇe nutné ji rozˇs´ıˇrit o konkrétn´ı implementaci callback funkce, viz. následuj´ı ukázka zdrojového kódu.

Vstupn´ımi parametry funkce jsou pochopitelnˇe ID relace, jméno serveru, IP adresa, potaˇzmo adresy, v textové formˇe, textová informace a výsledný status ovˇeˇrován´ı. Funkce bˇehem svého vykonáván´ı vyp´ıˇse do konzole informace o relaci a informace o DNS, potaˇzmo o certifikátu. Pokud status neobsahuje SECURITY DNS OK nebo SECU- RITY CERT OK, je uˇzivatel dotázán, zda má program pokraˇcovat v pˇripojován´ı se k serveru, V opaˇcném pˇr´ıpadˇe program pokraˇcuje automaticky.

(26)

Bylo také nutné zaregistrovat tuto funkci, pomoc´ı registraˇcn´ı funkce, jeˇz byla pˇridána do Verse API. To je provedeno v následuj´ıc´ı ukázce zdrojového kódu. T´ım bylo dosaˇzeno funkcionality vzorové aplikace, potˇrebné k demonstrován´ı funkˇcnosti zmˇen, provedených ve Verse protokolu.

(27)

4 Testov´ an´ı

Jelikoˇz nebyla moˇznost nainstalovat Verse server na serveru, který má pode- psanou doménu, testován´ı funkˇcnosti na vzorové aplikaci, konkrétnˇe ovˇeˇren´ı DNS záznamu, probˇehlo bez vlastn´ıho pˇripojen´ı k Verse serveru. Avˇsak k vlastn´ımu otes- tován´ı funkˇcnosti verifikace DNS záznamu nen´ı pˇripojen´ı k Verse serveru nutné. Staˇc´ı pokusit se pˇripojit pomoc´ı klientského programu k jiným server˚um. DNS záznam je totiˇz ovˇeˇrován jeˇstˇe pˇred vlastn´ım navázán´ım komunikace ze serverem.

V mém pˇr´ıpadˇe probˇehlo testován´ı pˇripojen´ım k podepsaným server˚um www.nic.cz a www.dnssec.cz a nepodepsanému serveru www.tul.cz. Test pˇripojen´ı k Verse serveru byl proveden lokálnˇe a to pro IPv4 (localhost) i pro IPv6 (localhost6). Rovnˇeˇz bylo otestováno zadán´ı neexistuj´ıc´ı adresy.

4.1 Podepsan´ e dom´ eny

Prvn´ı test probˇehl pˇripojen´ım vzorové aplikace k serveru www.nic.cz, viz. následuj´ıc´ı ukázka.

Na screenshotu jsou vidˇet zobrazené informace o relaci: jej´ı ˇc´ıslo, jméno serveru a IP adresy. V tomto pˇr´ıpadˇe jedna IPv4 a dvˇe IPv6. Dále je vypsána informace o tom, ˇze DNS záznamy jsou validn´ı. D´ıky tomu aplikace pokraˇcuje pokusem pˇripojit se k portu 12345 (na nˇem naslouchá Verse server), serveru www.nic.cz. Spojen´ı samozˇrejmˇe nelze navázat, jelikoˇz na serveru www.nic.cz Verse server nainstalován a spuˇstˇen nen´ı. Ob- dobný výsledek vznikne i pˇri pokusu pˇripojit se k serveru www.dnssec.cz (následuj´ı ukázka). S t´ım rozd´ılem, ˇze zde byla z´ıskána pouze jedna adresa IP verze 6.

(28)

4.2 Neexistuj´ıc´ı dom´ ena

Ve tˇret´ım pˇr´ıpadˇe probˇehlo zadán´ı neexistuj´ıc´ı domény (na ukázce n´ıˇze), tak aby bylo demonstrováno, ˇze knihovna Verse protokolu i po pˇridán´ı nové funkce po této události, z˚ustane stabiln´ı.

Na obrázku jsou samozˇrejmˇe oproti pˇredchoz´ım pˇr´ıpad˚um zmˇeny. Nen´ı zobrazena ˇzádná IP adresa a je vypsána informace o tom ˇze server nebyl nalezen. Aplikace se také dotazuje, zda se má pokusit pokraˇcovat v navazován´ı spojen´ı.

4.3 Nepodepsan´ a dom´ ena

Dalˇs´ı test probˇehl obdobnˇe, jako pˇredchoz´ı, tedy pokusem o pˇripojen´ı k serveru, tentokrát k doménˇe, která sice existuje, ale nen´ı podepsána. Zvolena byla doména www.tul.cz, výsledek je na dalˇs´ı ukázce.

Výsledek je podobný jako u prvn´ıch dvou test˚u. Jsou opˇet vypsány informace o relaci, vˇsak tentokrát je DNS záznam neautentický. Aplikace se tud´ıˇz dotáˇze, zda má pokraˇcovat v pˇripojován´ı se k serveru. Po kladné odpovˇedi se pˇripojen´ı k portu 12345 opˇet nepodaˇr´ı, Verse server zde nen´ı nainstalován.

(29)

4.4 Lok´ aln´ı test pˇ ripojen´ı

Dalˇs´ı testy uˇz prob´ıhaly lokálnˇe. Bylo potˇreba spustit Verse server, jeˇz naslouchá na portu 12345, nejprve pˇripojen´ım skrze IP verze 4, a poté skrze IP verze 6. V obou pˇr´ıpadech je hláˇsena neautentická adresa, jelikoˇz localhost ani localhost6 nejsou po- depsány. Po volán´ı funkce pro ovˇeˇren´ı certifikátu, je hláˇsena dalˇs´ı chyba a to self signed certifikát, tedy certifikát podepsaný sám sebou. Je opˇet zvoleno pokraˇcovat. Po zadán´ı uˇzivatelského jména a hesla se aplikace úspˇeˇsnˇe pˇrihlás´ı k Verse serveru. Následuje ukázka spuˇstˇen´ı Verse serveru, poté pˇripojen´ı pˇres IPv4 a IPv6.

(30)

(31)

(32)

4.5 Nedostatky, moˇ zn´ a budouc´ı vylepˇ sen´ı

Tato ˇcást práce pojednává o moˇzných budouc´ıch vylepˇsen´ıch a o nedostatc´ıch souˇcasné implementace. Ideáln´ı nen´ı ˇze je v knihovnˇe protokolu Verse po ovˇeˇren´ı DNS informac´ı volána funkce verse callback update. Ta by mˇela být volána pouze vnˇe knihovny, ovˇsem z d˚uvodu vˇcasného pˇredán´ı informac´ı o DNS skrze callback funkci je volána uvnitˇr knihovny, rozhodnˇe tedy stoj´ı za úvahu, jak to v budoucnu ˇreˇsit.

Taktéˇz stoj´ı za úvahu zda, pˇr´ıpadnˇe jakým zp˚usobem v budoucnu nedodefinovat, ˇci nepˇredefinovat konstanty pouˇz´ıvané v bezpeˇcnostn´ı callback funkci. V té jsou nyn´ı kromˇe konstant definovaných ve verse.h, pouˇz´ıvány i chybové kódy knihovny OpenSSl (tato knihovna je v souˇcasné dobˇe nutná ke kompilaci knihony Verse protokolu).

(33)

5 Z´ avˇ er

Tato bakaláˇrská práce popisuje rozˇs´ıˇren´ı Verse protokolu o DNSSEC. Souˇcást´ı práce je struˇcná reˇserˇse o knihovnách umoˇzˇnuj´ıc´ıch DNSSEC, pro samotnou implementaci pak byla vybrána knihovna ldns.

Do knihovny Verse protokolu byly implementovány funkce ovˇeˇruj´ıc´ı autenticitu DNS záznamu a TLS certifikát. Dále byl pˇridán bezpeˇcnostn´ı faleˇsný pˇr´ıkaz a callback funkce.

Byly pˇridány, nebo upraveny struktury, jako struktura pro ukládán´ı callback funkc´ı, IP adres a struktura faleˇsného pˇr´ıkazu. Také byly upraveny nˇekteré jiˇz existuj´ıc´ı funkce.

C´ılem práce bylo také vhodné rozˇs´ıˇren´ı Verse API. To bylo rozˇs´ıˇreno o nˇekteré konstanty a registraˇcn´ı funkci, registruj´ıc´ı bezpeˇcnostn´ı callback funkci. D´ıky tomu je moˇzné registrovat callback funkci a pouˇz´ıvat pˇr´ısluˇsné konstanty v aplikac´ıch implementuj´ıc´ıch Verse protokol.

Jako vzorová aplikace byla vyuˇzita jiˇz existuj´ıc´ı klientská aplikace. Ta byla rozˇs´ıˇrena o bezpeˇcnostn´ı callback funkci. Na rozˇs´ıˇrené vzorové aplikaci pak prob´ıhalo testován´ı funkˇcnosti implementace DNSSEC.

Testován´ı vzorové aplikace bylo úspˇeˇsné, adresy podepsaných domén byli správnˇe vyhodnoceny jako autentické, naopak adresa nepodepsané domény byla vyhodnocena jako neautentická. Test pˇripojen´ı k lokálnˇe spuˇstˇenému Verse serveru byl také úspˇeˇsný.

(34)

Reference

[1] HNÍDEK, Jiˇr´ı. S´ıt’ový protokol pro grafické aplikace.

Liberec, 2011. 171 s. Dizertaˇcn´ı pr´ace. Technick´a univerzita v Liberci.

[2] Ietf.org [online]. 1999 [cit. 2011-05-18]. Domain Name System Security Ex- tensions RFC 2535.

Dostupn´e z WWW: http://datatracker.ietf.org/doc/rfc2535/.

[3] Ietf.org [online]. 1987 [cit. 2011-05-18]. Domain names - implementation and specification RFC 1035.

[4] Ietf.org [online]. 1981 [cit. 2011-05-18]. Internet Protocol RFC 791.

[5] Nic.cz [online]. 2011 [cit. 2011-05-18]. O DNSSEC.

Dostupn´e z WWW: http://www.nic.cz/dnssec/.

[6] Domain Name System. In Wikipedia : the free encyclopedia [online]. St. Pe- tersburg (Florida) : Wikipedia Foundation, [cit. 2011-05-18]. Dostupn´e z WWW:

http://cs.wikipedia.org/wiki/Domain Name System.

[7] SUR Ý, Ondˇrej. DNSSEC a DNS zpráva pod drobnohledem. DNSSEC a bezpeˇcné DNS [online]. 2008, 4, [cit. 2011-05-18].

Dostupn´y z WWW: http://www.root.cz/clanky/dnssec-a-dns-zprava-pod- drobnohledem/.

[8] Ietf.org [online]. 1980 [cit. 2011-05-18]. User Datagram Protocol RFC 768.

[9] Ietf.org [online]. 1981 [cit. 2011-05-18]. Transmission Control Protocol RFC 793.

(35)

[10] ˇS ˇTASTN ´Y, Petr. Dns-info.cz [online]. 2007 [cit. 2011-05-18]. Komunikace pˇres UDP a TCP - DNS.

Dostupn´e z WWW: http://www.dns-info.cz/dns/protokol-tcp-udp.html.

[11] Ietf.org [online]. 2001 [cit. 2011-05-18]. Electronic Signature Policies RFC 3125.

[12] SATRAPA, Pavel. Vˇerohodn´e DNS ˇcili DNSSEC.

Lupa.cz [online]. 26. 5. 2005, [cit. 2011-05-11]. Dostupn´y z WWW:

http://www.lupa.cz/clanky/verohodne-dns-cili-dnssec/

[13] Ietf.org [online]. 2005 [cit. 2011-05-18]. Resource Records for the DNS Secu- rity Extensions RFC 4034.

[14] Ietf.org [online]. 2008 [cit. 2011-05-18]. DNS Security (DNSSEC) Hashed Au- thenticated Denial of Existence RFC 5155.

[15] SATRAPA, Pavel. Lupa.cz [online]. 2008 [cit. 2011-05-18]. NSEC3 – DNSSEC, kter´y nic nevyzrad´ı. Dostupn´e z WWW:

http://www.lupa.cz/clanky/nsec3nbspndash-dnssec-ktery-nic-nevyzradi/.

[16] SUR ´Y, Ondˇrej. Jak funguje DNSSEC?

Seri´al DNSSEC a bezpeˇcn´e DNS [online]. 29. 12. 2008, ˇc. 4, [cit. 2011-05-11].

Dostupn´y z WWW: http://www.root.cz/serialy/dnssec-a-bezpecne-dns/

[17] Registro.br [online]. 2010 [cit. 2011-05-11]. Libepp-nicbr.

Dostupn´e z WWW: http://registro.br/epp/index-EN.html

[18] Www.cz.freebsd.org [online]. 2011 [cit. 2011-05-19]. Projekt FreeBSD.

Dostupn´e z WWW: http://www.cz.freebsd.org/cs/.

(36)

[19] Www.linux.cz [online]. 2011 [cit. 2011-05-19].

Cesk´ˇ e stránky systému GNU/Linux. Dostupné z WWW:

http://www.linux.cz/.

[20] Apple.com [online]. 2011 [cit. 2011-05-19]. Apple - Mac OS X.

Dostupn´e z WWW: http://www.apple.com/cz/macosx/.

[21] Registro.br [online]. 2010 [cit. 2011-05-11]. Libepp-nicbr.

Dostupn´e z WWW: http://registro.br/epp/docs-EN.html

[22] Linfo.org [online]. 2004 [cit. 2011-05-19]. BSD License Definition.

Dostupn´e z WWW: http://www.linfo.org/bsdlicense.html.

[23] Idsa.irisa.fr [online]. 2004 [cit. 2011-05-11]. Projet IDsA.

Dostupn´e z WWW: http://idsa.irisa.fr/index.php?page=libsresolv%5C&lang=en [24] Openssl.org [online]. 2011 [cit. 2011-05-19]. OpenSSL.

Dostupn´e z WWW: http://www.openssl.org/.

[25] Ruby-lang.org [online]. 2011 [cit. 2011-05-19]. Ruby Programming Language.

Dostupn´e z WWW: http://www.ruby-lang.org/en/.

[26] Dnsruby.rubyforge.org [online]. 2011 [cit. 2011-05-11]. RDoc Documentation.

Dostupn´e z WWW: http://dnsruby.rubyforge.org/

[27] Apache.org [online]. 2004 [cit. 2011-05-19]. Apache License, Version 2.0.

Dostupn´e z WWW: http://www.apache.org/licenses/LICENSE-2.0.

[28] Www.java.com [online]. 2011 [cit. 2011-05-19]. Java.

Dostupn´e z WWW: http://www.java.com/en/.

[29] Dnsjava.org [online]. 2011 [cit. 2011-05-11]. Dnsjava.

Dostupn´e z WWW: http://www.dnsjava.org/

[30] Ietf.org [online]. 2000 [cit. 2011-05-19]. Secret Key Transaction Authenti- cation for DNS (TSIG) RFC 2845.

(37)

[31] Tsig. In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, [cit. 2011-05-11].

Dostupn´e z WWW: http://cs.wikipedia.org/wiki/Tsig [32] Dnsjava.org [online]. 2011 [cit. 2011-05-11]. Dnsjava.

Dostupn´e z WWW: http://www.dnsjava.org/dnsjava-current/doc/

[33] Python.org [online]. 2011 [cit. 2011-05-19]. Python Programming Language.

Dostupn´e z WWW: http://www.python.org/.

[34] www.dnspython.org [online]. 2011 [cit. 2011-05-11]. Dnspython home page.

Dostupn´e z WWW: http://www.dnspython.org/

[35] Dnssec.net [online]. 2011 [cit. 2011-05-11]. DNSSEC Software, DNSSEC Tools, DNSSEC Utilities.

Dostupn´e z WWW: http://www.dnssec.net/software

[36] Perl.org [online]. 2011 [cit. 2011-05-19]. The Perl Programming Language.

Dostupn´e z WWW: http://www.perl.org/.

[37] Www.net-dns.org [online]. 2011 [cit. 2011-05-11]. NET::DNS.

Dostupn´e z WWW: http://www.net-dns.org/

[38] Nlnetlabs.nl [online]. 2011 [cit. 2011-05-11]. Ldns.

Dostupn´e z WWW: http://www.nlnetlabs.nl/projects/ldns/

[39] Oracle.com [online]. 2011 [cit. 2011-05-19]. Oracle Solaris. Dostupn´e z WWW:

http://www.oracle.com/cz/products/servers-storage/solaris/index.html.

[40] Gnu.org [online]. 2010 [cit. 2011-05-19]. GNU Libtool.

Dostupn´e z WWW: http://www.gnu.org/software/libtool/.

[41] Nlnetlabs.nl [online]. 2006 [cit. 2011-05-19]. License.

Dostupn´e z WWW: http://nlnetlabs.nl/svn/ldns/trunk/LICENSE.

(38)

[43] Eclipse.org [online]. 2011 [cit. 2011-05-19]. Eclipse.

Dostupn´e z WWW: http://www.eclipse.org/.

[44] Apache.org [online]. 2011 [cit. 2011-05-19]. Subversion.

Dostupn´e z WWW: http://subversion.apache.org/.

[45] Ietf.org [online]. 1999 [cit. 2011-05-19]. The TLS Protocol Version 1.0 RFC 2246.

(39)

Pˇ r´ıloha A - Uk´ azky zdrojov´ ych k´ od˚ u

Zkr´ acen´ a funkce verse callback update

(40)

Z´ısk´ an´ı a ovˇ eˇ ren´ı DNS z´ aznamu IPv4

(41)

Zmˇ eny IPv6 oproti IPv4

(42)

Ovˇ eˇ ren´ı TLS certifik´ atu

(43)

Pˇ r´ıloha B - Informace k pˇ riloˇ zen´ emu CD

K bakaláˇrské práci je pˇriloˇzeno CD se zdrojovými kódy Verse protokolu. Pro

´

uspˇeˇsnou instalaci je nutn´e m´ıt nainstalov´an modul PAM a knihovny OpenSSL a ldns.

Knihovnu ldns je moˇzno st´ahnout na adrese www.nlnetlabs.nl/projects/ldns/.

Verse klient ani server nen´ı nutné instalovat, staˇc´ı je pouze zkop´ırovat na disk, pˇr´ıpadnˇe sestavit pouˇzit´ım pˇr´ıkazu make. Pˇred spuˇstˇen´ım serveru je nutné nastavit seznam uˇzivatel˚u a uloˇzit jej do adresáˇre ./config, jako users.csv. V tomto adresáˇri je pˇr´ıklad seznamu users.csv.example, staˇc´ı jej tedy pˇrejmenovat, pˇr´ıpadnˇe editovat.

Verse server se pak spouˇst´ı ./bin/verse server. Klient je spouˇstˇen ./bin/verse client adresa. Zadán´ım ./bin/verse client -h je vypsána nápovˇeda.