DNS
Z KHnetWiki
Obsah |
proč a nač
DNS servery (Domain Name System) jsou velice důležitá součást internetu. Jak určitě všichni znají, internet funguje jen a pouze pomocí IP adres (tedy takové ty šílenosti jako 77.75.72.3 nebo dokonce 2a01:490:17:9011::a6a:2f67). Takže obecně řečeno - DNS nejsou potřeba, kamkoliv se dá dostat jen a pouze pomocí IP adresy. Jenže kdo by si pamatoval takových čísel? Nikdo ... normální člověk je schopen si zapamatovat tak dvacet. Takže proto byl kdysi vymyšlen DNS, pomůcka pro člověka - je jednoduší použít "www.seznam.cz" než "77.75.72.3". DNS server z toho jména zjistí IP adresu a tu pak použije pro komunikaci, aniž by o tom uživatel věděl.
Další důvod pro DNS je omezený počet IP adres, a s tím související jejich poměrně vysoká cena. Takže existuje spousta webových serverů, které sdílejí jednu IP adresu. A server uživateli předloží správnou stránku jenom proto, že se použije jméno, nikoliv IP adresa. Lze vyzkoušet i u nás na síti - na adrese 10.106.252.18 běží jak www.khnet.info, tak třeba forum.khnet.info - pokud se zadá do prohlížeče pouze IP, ukážou se naprosto jiné stránky, než zmíněný web, nebo fórum ... Tedy opět platí - bez funkčního DNS serveru se uživateli stává internet (neboť v dnešní době je subjektivně internet = webové stránky) naprosto nedostupný, i když jinak všechno funguje naprosto správně.
V případě sítě khnetu je důležité, aby každý počítač měl nastaveny DNS servery zevnitř sítě (viz následující seznam). Je to z toho důvodu, že se liší adresy vnitřní od vnějších (jaké jsou vidět ze zbytku světa). Oblíbený příklad našich webových stránek - zevnitř sítě je to adresa 10.106.252.18 kdežto ze všech ostatních sítí to je 109.73.218.18. Pokud bude mít uživatel nastavené nesprávné servery, na naše stránky se zevnitř sítě nedostane - jelikož pod tou vnější adresou prostě nejsou dostupné. Ale na zbytek internetu se se vší pravděpodobností dostane správně.
Jak to také může dopadnout, když je to nastaveno špatně je popsáno zde.
Od 13.6.2011 je na našich serverech zapnuta technologie DNSSEC (nebo povídání na wikipedii). V krátkosti - je to zabezpečení internetových jmen. Tedy organizace, která si touto technologií zabezpečí svoje DNS je chráněna proti neoprávněné změně. Pokud někdo provede útok na tento systém jmen za účelem podvržení jiné adresy (např. aby zjistil přihlašovací údaje do bank apod.), naše servery takto podvrženou adresu vůbec internetovému prohlížeči nevrátí a uživatel se tak nestane obětí podvodu. Je trochu hloupé, že se to zatím moc nepoužívá a zatím nevíme ani o jedné (české) bance, která by byla takto zabezpečena. Pokud někdo používá prohlížeč Firefox, může si doinstalovat doplněk dnssec-validator, který na adresním řádku ukazuje, jestli je jméno zabezpečeno nebo ne (lze vyzkoušet např. na NIXu a NICu).
Existuje speciální server rhybar.cz - pokud funguje, není použito toto zabezpečení. Má totiž záměrně špatně vygenerovaný podpis, tedy simuluje zfalšování.
Bohužel nejsme schopni zatím zabezpečit naši vlastní doménu khnet.info, neboť nadřízený správce to zatím nepodporuje ...
seznam dostupných serverů
kix 10.106.33.1 (10.106.33.2 - tyto IP jsou z historických důvodů, jsou na stejném stroji)
zeus 10.106.47.1
neptun 10.106.1.1
masarka 10.106.4.1
plechac 10.106.8.1
mars 10.106.10.1
obila 10.106.56.1
hades 10.106.252.1 nepoužívat!
charon 10.106.64.129 nepoužívat!
Pro ideální funkčnost každý počítač (resp. operační systém) umožňuje definovat minimálně dva DNS servery pro svoje použití. Tedy je potřeba zvolit jako primární ten nejblíže k počítači a jako sekundární nějaký jiný. Navrhované servery jsou zobrazeny na stránce mojeInfo, případně lze využít příkaz "tracert www.khnet.info" a jako primární vybrat ten, jehož jméno se objeví nejdřív.
zákaz
Z bezpečnostních důvodů, jelikož se množí zneužití těchto serverů pro DDoS útoky, je zakázáno používat v síti KHnet vlastní veřejné DNS servery. Přístup na ně je z Internetu zablokován (od září 2014). Je-li to nutné, lze požádat o odblokování. Ono to ale stejně není dobrý nápad ... existuje spousta komerčních (i zdarma) služeb na internetu, které to jsou schopné zajistit lépe.
Používání vlastních resolverů, tedy jen pro soukromé účely člena spolku, bez potřeby dostupnosti z internetu zakázáno samozřejmě není. Jenom je potřeba dodržet pravidla zde uvedená. A i tak je povinen uživatel si takovýto server zabezpečit proti zneužití kýmkoliv jiným, než jím samým.
disclaimer
Naše síť nepoužívá (a nikdy nebude) žádné filtrování stylem "my víme lépe, co je pro vás vhodné". Tedy neexistuje žádná webová stránka, na kterou by se člen spolku nedostal jen proto, že si o ní např. britská organizace Internet Watch Foundation (či obdobná) myslí, že je vhodné ji cenzurovat. Ať už z libovolných, dnes na oko bohulibých, důvodů. Tyto praktiky jsou pro nás nepřijatelné. Jsou ovšem používané např. českými GSM operátory ...
Samozřejmě, může se vyskytnout síť, které provoz prostě zablokujeme. Ale zásadně z důvodu ochrany naší sítě po technologické stránce. Např. pokud z ní přichází útoky, pokusy o nabourání služeb, atp. Nikdy se to ale nestane jen na základě obsahu webových stránek v takové síti. Za zveřejněný obsah zodpovídá autor ... a za konzumovaný odběratel, za děti rodič. Nikoliv nějaký úředník, politik, nebo dokonce administrátor počítačové sítě.
Moc takových blokací není, většinou se jedná o Ruské a Čínské sítě. Snad se někdy dostaneme k tomu tyto informace automaticky zveřejňovat. Na dotaz to jsou samozřejmě schopní správci sdělit.