DNS

Z KHnetWiki

(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
(proč a nač)
Řádka 24: Řádka 24:
Pro ideální funkčnost každý počítač (resp. operační systém) umožňuje definovat minimálně dva DNS servery pro svoje použití. Tedy je potřeba zvolit jako primární ten nejblíže k počítači a jako sekundární nějaký jiný. Navrhované servery jsou zobrazeny na stránce [http://status.khnet.info mojeInfo], případně lze využít příkaz "tracert www.khnet.info" a jako primární vybrat ten, jehož jméno se objeví nejdřív.
Pro ideální funkčnost každý počítač (resp. operační systém) umožňuje definovat minimálně dva DNS servery pro svoje použití. Tedy je potřeba zvolit jako primární ten nejblíže k počítači a jako sekundární nějaký jiný. Navrhované servery jsou zobrazeny na stránce [http://status.khnet.info mojeInfo], případně lze využít příkaz "tracert www.khnet.info" a jako primární vybrat ten, jehož jméno se objeví nejdřív.
 +
 +
==zákaz==
 +
Z bezpečnostních důvodů, jelikož se množí zneužití těchto serverů pro [http://cs.wikipedia.org/wiki/Denial_of_service DDoS] útoky, je zakázáno používat v síti KHnet vlastní veřejné DNS servery. Přístup na ně je z Internetu zablokován (od září 2014). Je-li to nutné, lze požádat o odblokování. Ono to ale stejně není dobrý nápad ... existuje spousta komerčních (i zdarma) služeb na internetu, které to jsou schopné zajistit lépe.<br>
 +
Používání vlastních resolverů, tedy jen pro soukromé účely člena sdružení, bez potřeby dostupnosti z internetu zakázáno samozřejmě není. Jenom je potřeba dodržet pravidla zde uvedená. A i tak je povinen uživatel si takovýto server zabezpečit proti zneužití kýmkoliv jiným, než jím samým.
[[Kategorie:Howto]][[Kategorie:Networking]]
[[Kategorie:Howto]][[Kategorie:Networking]]

Verze z 11. 9. 2014, 16:33

proč a nač

DNS servery (Domain Name System) jsou velice důležitá součást internetu. Jak určitě všichni znají, internet funguje jen a pouze pomocí IP adres (tedy takové ty šílenosti jako 77.75.72.3 nebo dokonce 2a01:490:17:9011::a6a:2f67). Takže obecně řečeno - DNS nejsou potřeba, kamkoliv se dá dostat jen a pouze pomocí IP adresy. Jenže kdo by si pamatoval takových čísel? Nikdo ... normální člověk je schopen si zapamatovat tak dvacet. Takže proto byl kdysi vymyšlen DNS, pomůcka pro člověka - je jednoduší použít "www.seznam.cz" než "77.75.72.3". DNS server z toho jména zjistí IP adresu a tu pak použije pro komunikaci, aniž by o tom uživatel věděl.

Další důvod pro DNS je omezený počet IP adres, a s tím související jejich poměrně vysoká cena. Takže existuje spousta webových serverů, které sdílejí jednu IP adresu. A server uživateli předloží správnou stránku jenom proto, že se použije jméno, nikoliv IP adresa. Lze vyzkoušet i u nás na síti - na adrese 10.106.252.18 běží jak www.khnet.info, tak třeba forum.khnet.info - pokud se zadá do prohlížeče pouze IP, ukážou se naprosto jiné stránky, než zmíněný web, nebo fórum ... Tedy opět platí - bez funkčního DNS serveru se uživateli stává internet (neboť v dnešní době je subjektivně internet = webové stránky) naprosto nedostupný, i když jinak všechno funguje naprosto správně.

V případě sítě khnetu je důležité, aby každý počítač měl nastaveny DNS servery zevnitř sítě (viz následující seznam). Je to z toho důvodu, že se liší adresy vnitřní od vnějších (jaké jsou vidět ze zbytku světa). Oblíbený příklad našich webových stránek - zevnitř sítě je to adresa 10.106.252.18 kdežto ze všech ostatních sítí to je 109.73.218.18. Pokud bude mít uživatel nastavené nesprávné servery, na naše stránky se zevnitř sítě nedostane - jelikož pod tou vnější adresou prostě nejsou dostupné. Ale na zbytek internetu se se vší pravděpodobností dostane správně.

Od 13.6.2011 je na našich serverech zapnuta technologie DNSSEC (nebo povídání na wikipedii). V krátkosti - je to zabezpečení internetových jmen. Tedy organizace, která si touto technologií zabezpečí svoje DNS je chráněna proti neoprávněné změně. Pokud někdo provede útok na tento systém jmen za účelem podvržení jiné adresy (např. aby zjistil přihlašovací údaje do bank apod.), naše servery takto podvrženou adresu vůbec internetovému prohlížeči nevrátí a uživatel se tak nestane obětí podvodu. Je trochu hloupé, že se to zatím moc nepoužívá a zatím nevíme ani o jedné (české) bance, která by byla takto zabezpečena. Pokud někdo používá prohlížeč Firefox, může si doinstalovat doplněk dnssec-validator, který na adresním řádku ukazuje, jestli je jméno zabezpečeno nebo ne (lze vyzkoušet např. na NIXu a NICu).
Existuje speciální server rhybar.cz - pokud funguje, není použito toto zabezpečení. Má totiž záměrně špatně vygenerovaný podpis, tedy simuluje zfalšování.
Bohužel nejsme schopni zatím zabezpečit naši vlastní doménu khnet.info, neboť nadřízený správce to zatím nepodporuje ...

seznam dostupných serverů

kix 10.106.33.2
kyd 10.106.33.1
zeus 10.106.47.1
neptun 10.106.1.1
masarka 10.106.4.1
plechac 10.106.8.1
mars 10.106.10.1
obila 10.106.56.1
hades 10.106.252.1 nepoužívat!
charon 10.106.64.129 nepoužívat!

Pro ideální funkčnost každý počítač (resp. operační systém) umožňuje definovat minimálně dva DNS servery pro svoje použití. Tedy je potřeba zvolit jako primární ten nejblíže k počítači a jako sekundární nějaký jiný. Navrhované servery jsou zobrazeny na stránce mojeInfo, případně lze využít příkaz "tracert www.khnet.info" a jako primární vybrat ten, jehož jméno se objeví nejdřív.

zákaz

Z bezpečnostních důvodů, jelikož se množí zneužití těchto serverů pro DDoS útoky, je zakázáno používat v síti KHnet vlastní veřejné DNS servery. Přístup na ně je z Internetu zablokován (od září 2014). Je-li to nutné, lze požádat o odblokování. Ono to ale stejně není dobrý nápad ... existuje spousta komerčních (i zdarma) služeb na internetu, které to jsou schopné zajistit lépe.
Používání vlastních resolverů, tedy jen pro soukromé účely člena sdružení, bez potřeby dostupnosti z internetu zakázáno samozřejmě není. Jenom je potřeba dodržet pravidla zde uvedená. A i tak je povinen uživatel si takovýto server zabezpečit proti zneužití kýmkoliv jiným, než jím samým.

Osobní nástroje