Bezpečnost domén

Posted on by Simona Česaná
Bezpečnost domén

Proč je zálohování a bezpečnost domén kritické

Doménové jméno je vstupní branou k webu, e-mailu a dalším digitálním službám. Jeho kompromitace nebo ztráta kontroly vede k nedostupnosti služeb, reputačním škodám a finančním ztrátám. Tento článek shrnuje osvědčené postupy pro zálohování DNS zón, ochranu u registrátora, řízení životního cyklu domén a techniky, které snižují rizika útoků typu hijacking, phishing, cache poisoning či nechtěný transfer.

Architektura doménového systému a rizika

  • Role registru a registrátora: registr (TLD) spravuje záznamy na nejvyšší úrovni, registrátor zprostředkovává registrace a změny vlastníkům domén. Chyba na kterékoliv úrovni může vést k převzetí domény.
  • Autoritativní DNS vs. rekurzivní DNS: autoritativní servery publikují zónu, rekurzivní ji dotazuje a kešuje; útoky cílí na obě vrstvy.
  • Hlavní hrozby: kompromitace účtu u registrátora, změny nameserverů, úpravy zóny, expirace domény, útoky na integritu (DNS cache poisoning), DDoS na autoritativní servery.

Zálohování DNS zón: principy a praxe

  • Export zóny: pravidelný export ve formátu zónového souboru (BIND) včetně SOA a NS záznamů; verze označujte inkrementací SOA serial.
  • Versioning a Git: ukládejte zóny do verzovacího systému (privátní repozitář), s podpisy commitů a CI validací syntaxe.
  • Automatizované snapshoty: plánované snapshoty zón na všech primárních i sekundárních DNS, ideálně po každé změně.
  • Offsite zálohy: kopie zón mimo produkční infrastrukturu, šifrované, s kontrolou integrity (hash).
  • Obnova: runbook pro rychlou reimportaci zóny a návrat NS či A/AAAA/MX hodnot na poslední známé dobré nastavení.

Redundance a dostupnost autoritativního DNS

  • Vícenásobné nameservery: minimálně dva autoritativní servery v různých autonomních systémech a lokalitách.
  • Anycast: preferujte poskytovatele s Anycast sítí pro odolnost proti DDoS a snížení latence.
  • Secondary DNS u jiného poskytovatele: sekundární autoritativa jako záloha v případě výpadku primárního dodavatele; synchronizace přes AXFR/IXFR a přístup řízený ACL/TSIG.
  • Kontrola TTL: strategicky nastavujte TTL – kratší pro kritické záznamy vyžadující rychlé přepnutí, delší pro stabilní hodnoty kvůli výkonu.

DNSSEC: integrita a autentizace odpovědí

  • Nasazení DNSSEC: podepisujte zóny klíči KSK a ZSK; publikujte DS v registru TLD.
  • Rotace klíčů: plánované rotace a monitorování správného řetězce důvěry, sledujte expiraci podpisů (RRSIG).
  • Bezpečná správa klíčů: klíče ukládejte v HSM nebo trezoru tajemství; omezený přístup a audit.
  • Testování: validujte podpisy a DS záznamy po každé změně; mějte rollback bez vypnutí validace.

Ochrana účtu u registrátora a registru

  • MFA a silná autentizace: hardware tokeny nebo FIDO2; zakázat reset přes e-mail bez dodatečné verifikace.
  • Role a oprávnění: oddělené účty pro fakturaci, technické změny a bezpečnost; princip nejmenších oprávnění.
  • Contact lock a transfer lock: aktivujte clientTransferProhibited, clientUpdateProhibited a obdobné zámky.
  • Registry Lock: prémiová služba u některých TLD vyžadující manuální ověření změn přímo s registrem.
  • Bezpečnost kontaktů: chraňte e-maily v Registrant/Admin/Tech kontaktech (aliasy, DMARC, monitoring).

Životní cyklus domény: expirace, obnova, transfer

  • Obnovy a expirace: nastavte automatické prodloužení a víceúrovňové upozornění (e-mail, SMS, ticket). Sledujte expiry všech domén v centrální evidenci.
  • Transfer bezpečně: uchovávejte AuthInfo/EPP kódy v trezoru; ověřujte identitu žadatele, kontrolujte zámky a WHOIS.
  • Portfoliová správa: konsolidujte domény u omezeného počtu důvěryhodných registrátorů, ale nevytvářejte single point of failure.

Integrita e-mailu: SPF, DKIM, DMARC a MTA-STS

  • SPF: definujte autorizované odesílací servery; držte se limitu 10 DNS dotazů a používejte include: rozumně.
  • DKIM: podepisování zpráv; rotujte selektory a zabezpečte privátní klíče.
  • DMARC: nejprve p=none s reporty, poté postupně přitvrzujte na quarantine/reject; analyzujte rua agregované výpisy.
  • MTA-STS a TLS-RPT: vynucení TLS pro poštu a reportování selhání; publikujte politiky v DNS a na HTTPS endpointu.

Integrita webu: CAA, HTTPS a HSTS

  • CAA záznamy: omezte vydávání certifikátů jen na schválené autority; přidejte iodef pro notifikace incidentů.
  • HTTPS a HSTS: vynucení šifrovaného přenosu, includeSubDomains a rozumný max-age; pozor na zámky u subdomén.
  • Automatizace certifikátů: ACME klienti, krátké platnosti certifikátů, monitoring expirací.

Monitorování a detekce změn

  • DNS monitoring: periodický diff zón, hlídání změn NS, A/AAAA, MX, CAA, TXT a DS.
  • WHOIS/rdap watch: notifikace na změny kontaktů, stavu zámků a data expirace.
  • Externí sondy: aktivní ověřování směrování provozu (HTTP, SMTP, DoT/DoH), latence a dostupnosti autoritativních serverů.
  • Bezpečnostní alerty: anomálie v e-mailových reportech DMARC a TLS-RPT; detekce neautorizovaných certifikátů (CT logy).

Ochrana před DDoS a cache poisoning

  • DDoS mitigace: poskytovatel s Anycastem, kapacitní filtrací a rate-limitingem; možnost rychlého přepnutí na záložního providera.
  • Validace v rekurzorech: používejte DNSSEC-validující rekurzory a DoT/DoH pro klienty, aby se minimalizovalo riziko otravy cache.
  • Konfigurace autoritativních serverů: striktní AXFR pouze pro schválené secondary servery s TSIG; omezení recursion na autoritativních instancích.

Řízení změn a auditovatelnost

  • Change management: změny záznamů přes pull-request workflow, povinné schvalování a peer review.
  • Audit logy: zaznamenávejte, kdo, kdy a proč změnil záznam; logy neměnitelné a centralizované.
  • Test a staging: validace zón v neprodukčním prostředí; syntetické testy delegace a DNSSEC před publikací.

Runbooky obnovy a scénáře pro incidenty

  • Hijack domény: okamžité uzamčení u registrátora, kontakt registru, revert NS a zón ze záloh, právní a komunikační kroky.
  • Chybná publikace zóny: rollback na poslední verzi, snížení TTL pro urychlení konvergence, post-mortem analýza.
  • Expirace domény: proces urgentního prodloužení, dočasný fallback na záložní doménu, aktualizace monitoringu a SLA.

Specifika vícedoménových portfolií a multicloud

  • Standardy napříč TLD: sjednocené politiky DNSSEC, CAA, DMARC, zámků a monitoringu pro všechny domény.
  • Rozložení rizika: různí registrátoři a odlišní DNS poskytovatelé pro kritické domény, aby selhání jednoho nevyřadilo celé portfolio.
  • Multicloud routování: koordinace A/AAAA a CAA pro více CDN/edge platforem; konzistence health-checků.

Procesy a organizace: role, odpovědnosti, přístup

  • Role a segregace povinností: oddělte tvorbu změn, schválení a publikaci; správa přístupů dle principu nejmenších práv.
  • Školení a povědomí: pravidelný trénink pro práci s registrátorem, DNSSEC, runbooky a phishingové simulace.
  • SLA a dodavatelé: kontrakty s jasnými metrikami dostupnosti DNS, dobami reakce a podporou při incidentech.

Metriky a KPI pro doménovou bezpečnost

  • Coverage DNSSEC: podíl domén se správně publikovanými DS a validními podpisy.
  • Time-to-Recover (TTR): doba návratu zóny do posledního známého dobrého stavu.
  • Change Lead Time: čas od požadavku na změnu po bezpečnou publikaci se schválením a testy.
  • DMARC enforcement rate: podíl domén s politikou quarantine/reject a pravidelnými reporty.
  • Certificate hygiene: počet incidentů s expirovanými certifikáty, průměrná rezerva do expirace.

Kontrolní seznam před publikací a po změně

  • Validní syntaxe zóny a inkrementovaný SOA serial.
  • Změny prošly peer review a jsou auditovány.
  • DNSSEC podpisy a DS v řetězci důvěry.
  • Aktualizované CAA, SPF, DKIM, DMARC a případně MTA-STS.
  • Správné TTL hodnoty a plán případného rollbacku.
  • Monitoring nastaven na nové záznamy a služby.

Závěr

Bezpečnost domén stojí na kombinaci technických kontrol (DNSSEC, CAA, DMARC), robustního zálohování a automatizované obnovy, řízení změn s auditovatelností a disciplinovaného provozu u registrátora. Organizační opatření, školení a jasné runbooky zkracují čas obnovy a minimalizují dopady. Investice do správně navržené doménové správy se vrací vyšší dostupností, důvěrou uživatelů a odolností vůči moderním hrozbám.

Related Posts

Baroková hudba

Baroková hudba

Baroková hudba a jej predstavitelia: formy, kontrapunkt a výrazové afekty, ktoré formovali európsku hudobnú tradíciu.

bočka

Bočka ako efektívny spôsob balenia technických kvapalín Bočka je špecializovaný prepravný obal, ktorý sa používa pre svoju robustnosť a odolnosť, najmä pri preprave a skladovaní […]

Brand storytelling

Brand storytelling

Brand storytelling, ktorý spája: nájdite jadro príbehu, pracujte s konfliktom a archetypmi a preneste autenticitu do všetkých kanálov.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *