diplomová práce

Nasazení DNSSEC na klientské straně

Text práce 1.03 MB

Autor práce: Ing. Karel Nekuža

Ak. rok: 2017/2018

Vedoucí: Ing. Zdeněk Martinásek, Ph.D.

Oponent: Ing. David Smékal

Abstrakt:

Diplomová práce se zabývá problémem přístupu koncového uživatele k odpovědím ověřeným pomocí protokolu DNSSEC. Práce posuzuje možnosti nasazení a nastavování resolveru za účelem zlepšení bezpečnosti pro koncové uživatele. V práci je navrhnuto řešení problému pro operační systém Fedora Workstation. Navrhnuté řešení je realizováno a porovnáno s již existujícím řesením.

Klíčová slova:

domain name system, DNSSEC, security extensions, Fedora, Linux, resolver, Unbound, NetworkManager

Termín obhajoby

6.6.2018

Výsledek obhajoby

obhájeno (práce byla úspěšně obhájena)

znakmkaEznamka

Klasifikace

E

Průběh obhajoby

Jaké nastaly komplikace, že navrhované řešení není funkční? - Při malém množství zaslaných zpráv bylo obtížné získat přesná data a z časových problému nebyl návrh upraven. Proč nebylo zahrnuto a otestováno jiné řešení? Byly otestovány základní parametry, hlouběji nebyl systém testován. Co bylo vaším hlavním přínosem v práci? - Nastudování problematiky a API rozhraní nalezených modulů. Kolik času jste strávil na praktické části práce?

Jazyk práce

angličtina

Fakulta

Ústav

Studijní obor

Telekomunikační a informační technika (M1-TIT)

Složení komise

doc. Ing. Miloš Orgoň, Ph.D. (předseda)
doc. Ing. Petr Mlýnek, Ph.D. (místopředseda)
Ing. Zdeněk Martinásek, Ph.D. (člen)
doc. Ing. Leoš Boháč, Ph.D. (člen)
Ing. Radomír Svoboda, Ph.D. (člen)
Ing. Radim Číž, Ph.D. (člen)

Diplomová práce se zabývá nasazením DNSSEC na klientské straně. V teoretické části se student zabývá vysvětlení základních principů a termínů z oblasti protokolu DNS, avšak některé vysvětlení je nedostatečné (např. rekurzivní překlad obr. 1.1, v kap 1.2. validace odpovědi a vytváření řetězce důvěry, v kapitole 1.1.3 popis master file atd.). Podle zadaní práce měla následovat analýza problémů při nasazení DNSSEC na klientské straně se zaměřením se na RFC 8027. Kapitola 1.2.6 však obsahuje jen vyjmenování testů z tohoto RFC bez dalšího vysvětlení. V kapitole 2.7 se student zaměřil na současný stav DNSSEC-triger namísto podrobné analýzy, specifikace kritérii a sady testovacích scénářů pro porovnání. V teoretické části chybí analýza vhodných DNS resolverů pro nasazení na klienské straně. V praktické části se nachází rozsáhlý popis DNS resolveru Unbound, ale chybí uvedení jiných implementací a jejich porovnání. Praktická část obsahuje popis navrhovaného řešení a popis jednotlivých komponent, popis je místy nejasný. Kapitola 2.2 uvádí popis integrace jednotlivých komponent v jedenu vlastní aplikaci pojmenovanou watcher.py (vlastní přínos práce). K pochopení navrhovaného řešení by bylo vhodné doplnit sekvenční diagram znázorňující interakce mezi jednotlivými komponentami nebo UML diagram. Funkčnost implementace je limitována a funkčnost měla být více testována pomocí různých scénářů. Student pravidelně konzultoval dosažené výsledky. Z výše popsaných nedostatků navrhuji práci k obhajobě s hodnocením D.

Známka navržená vedoucím: D

Posudek oponenta
Ing. David Smékal

Předložená diplomová práce mapuje problematiku DNS a DNSSEC. Úkolem bylo analyzovat existující řešení DNSSEC a následně navrhnout řešení s konfigurací DNS resolveru tak, aby byl schopen provádět DNSSEC validaci.
Práce je rozdělena do dvou částí. První teoretická část popisuje systém DNS a DNSSEC, kde student cituje celkem 12 zdrojů - vše RFC. Druhá prakticky zaměřená část popisuje testovací prostředí a návrh řešení.
Student v praktické části popsal konfiguraci a realizaci řešení, které však při testování nebylo funkční. Nápravu nerealizoval z důvodu nedostatku času, jak uvádí v textu. Nalezené jediné řešení DNSSEC-trigger nebylo v práci otestováno.
Závěrem práce jsou okomentovány funkce NetworkManageru a programu watcher.py, přičemž se jedná o převzaté řešení. Student doporučuje řešení DNSSEC-Trigger, které je také převzaté.
Upravené zdrojové kódy studenta jsem bohužel neviděl (příloha nebyla poskytnuta v IS), takže nemohu soudit v jakém rozsahu byly modifikovány.
Co se týče formálního zpracování práce text obsahuje drobné chyby, chybný slovosled a praktická část je psaná v první osobě. Rozsah diplomové práce je spíše podprůměrný.

Z hlediska splěněného zadání student pouze analyzoval jedno existující řešení a problémy, které se vyskytly při nasazení. Zadání nepovažuji za zcela splněné. Práce je špatně zpracována a prezentována. Z mého pohledu je na hranici obhajitelnosti a vzhledem k výše uvedenému navrhuji hodnocení E 50 bodů.

Známka navržená oponentem: E