Zvyšuj?c? se pod?l resolverů a aplikac? použ?vaj?c? DNS-over-HTTPS
vede k vyš?mu pod?lu klientů použ?vaj?c?ch DNS resolvery třet?ch
stran. Kvůli tomu ovšem selhává nejpouž?vanějš? NAT64 detekčn?
metoda RFC7050[1], což vede u klientů použ?vaj?c?ch přechodové
mechanismy NAT64/DNS64 nebo 464XLAT k neschopnosti tyto
přechodové mechanismy správně detekovat, a t?m k nedostupnosti
obsahu dostupného pouze po IPv4. C?lem této práce je navrhnout
novou detekčn? metodu postavenou na DNS, která bude pracovat
i s resolvery třet?ch stran, a bude schopná využ?t zabezpečen? DNS
dat pomoc? technologie DNSSEC. Práce popisuje aktuálně standardizované
metody, protokoly na kterých závis?, jejich omezen?
a interakce s ostatn?mi metodami. Navrhovaná metoda použ?vá SRV
záznamy k přenosu informace o použitém NAT64 prefixu v globáln?m
DNS stromu. Protože navržená metoda použ?vá již standardizované
protokoly a typy záznamů, je snadno nasaditelná bez nutnosti
modifikovat jak DNS server, tak s?t'ovou infrastrukturu. Protože
metoda použ?vá k distribuci informace o použitém prefixu globáln?
DNS strom, umožňuje to metodě použ?t k zabezpečen? technologii
DNSSEC. To této metodě dává lepš? bezpečnostn? vlastnosti než
jaké vykazuj? předchoz? metody. Tato práce vytvář? standardizačn?
bázi pro standardizaci v rámci IETF.
Anotace v angličtině
The rising number of DNS-over-HTTPS capable resolvers and applications
results in the higher use of third-party DNS resolvers by
clients. Because of that, the currently most deployed method of the
NAT64 prefix detection, the RFC7050[1], fails to detect the NAT64
prefix. As a result, clients using either NAT64/DNS64 or 464XLAT
transition mechanisms fail to detect the NAT64 prefix properly,
making the IPv4-only resources inaccessible. The aim of this thesis
is to develop a new DNS-based detection method that would work
with foreign DNS and utilize added security by the DNS security
extension, the DNSSEC. The thesis describes current methods of
the NAT64 prefix detection, their underlying protocols, and their
limitations in their coexistence with other network protocols. The
developed method uses the SRV record type to transmit the NAT64
prefix in the global DNS tree. Because the proposed method uses
already existing protocols and record types, the method is easily
deployable without any modification of the server or the transport
infrastructure. Due to the global DNS tree usage, the developed
method can utilize the security provided by the DNSSEC and therefore
shows better security characteristics than previous methods.
This thesis forms the basis for standardization effort in the IETF.
Klíčová slova
IPv6, IPv4aaS, NAT64/DNS64, 464XLAT, DNSSEC, DoH
Klíčová slova v angličtině
IPv6, IPv4aaS, NAT64/DNS64, 464XLAT, DNSSEC, DoH
Rozsah průvodní práce
121 s. (303 403 znaků)
Jazyk
AN
Anotace
Zvyšuj?c? se pod?l resolverů a aplikac? použ?vaj?c? DNS-over-HTTPS
vede k vyš?mu pod?lu klientů použ?vaj?c?ch DNS resolvery třet?ch
stran. Kvůli tomu ovšem selhává nejpouž?vanějš? NAT64 detekčn?
metoda RFC7050[1], což vede u klientů použ?vaj?c?ch přechodové
mechanismy NAT64/DNS64 nebo 464XLAT k neschopnosti tyto
přechodové mechanismy správně detekovat, a t?m k nedostupnosti
obsahu dostupného pouze po IPv4. C?lem této práce je navrhnout
novou detekčn? metodu postavenou na DNS, která bude pracovat
i s resolvery třet?ch stran, a bude schopná využ?t zabezpečen? DNS
dat pomoc? technologie DNSSEC. Práce popisuje aktuálně standardizované
metody, protokoly na kterých závis?, jejich omezen?
a interakce s ostatn?mi metodami. Navrhovaná metoda použ?vá SRV
záznamy k přenosu informace o použitém NAT64 prefixu v globáln?m
DNS stromu. Protože navržená metoda použ?vá již standardizované
protokoly a typy záznamů, je snadno nasaditelná bez nutnosti
modifikovat jak DNS server, tak s?t'ovou infrastrukturu. Protože
metoda použ?vá k distribuci informace o použitém prefixu globáln?
DNS strom, umožňuje to metodě použ?t k zabezpečen? technologii
DNSSEC. To této metodě dává lepš? bezpečnostn? vlastnosti než
jaké vykazuj? předchoz? metody. Tato práce vytvář? standardizačn?
bázi pro standardizaci v rámci IETF.
Anotace v angličtině
The rising number of DNS-over-HTTPS capable resolvers and applications
results in the higher use of third-party DNS resolvers by
clients. Because of that, the currently most deployed method of the
NAT64 prefix detection, the RFC7050[1], fails to detect the NAT64
prefix. As a result, clients using either NAT64/DNS64 or 464XLAT
transition mechanisms fail to detect the NAT64 prefix properly,
making the IPv4-only resources inaccessible. The aim of this thesis
is to develop a new DNS-based detection method that would work
with foreign DNS and utilize added security by the DNS security
extension, the DNSSEC. The thesis describes current methods of
the NAT64 prefix detection, their underlying protocols, and their
limitations in their coexistence with other network protocols. The
developed method uses the SRV record type to transmit the NAT64
prefix in the global DNS tree. Because the proposed method uses
already existing protocols and record types, the method is easily
deployable without any modification of the server or the transport
infrastructure. Due to the global DNS tree usage, the developed
method can utilize the security provided by the DNSSEC and therefore
shows better security characteristics than previous methods.
This thesis forms the basis for standardization effort in the IETF.
Klíčová slova
IPv6, IPv4aaS, NAT64/DNS64, 464XLAT, DNSSEC, DoH
Klíčová slova v angličtině
IPv6, IPv4aaS, NAT64/DNS64, 464XLAT, DNSSEC, DoH
Zásady pro vypracování
-
Zásady pro vypracování
-
Seznam doporučené literatury
-
Seznam doporučené literatury
-
Přílohy volně vložené
-
Přílohy vázané v práci
-
Převzato z knihovny
Ano
Plný text práce
Přílohy
Posudek(y) oponenta
Hodnocení vedoucího
Záznam průběhu obhajoby
Průběh obhajoby je zveřejněn pouze přihlášenému uživateli.