DNS

Z KHnetWiki

Verze z 7. 7. 2020, 22:00; Ludvik (diskuse | příspěvky)
(rozdíl) ← Starší verze | zobrazit aktuální verzi (rozdíl) | Novější verze → (rozdíl)
Přejít na: navigace, hledání

Obsah

proč a nač

DNS servery (Domain Name System) jsou velice důležitá součást internetu. Jak určitě všichni znají, internet funguje jen a pouze pomocí IP adres (tedy takové ty šílenosti jako 77.75.72.3 nebo dokonce 2a01:490:17:9011::a6a:2f67). Takže obecně řečeno - DNS nejsou potřeba, kamkoliv se dá dostat jen a pouze pomocí IP adresy. Jenže kdo by si pamatoval takových čísel? Nikdo ... normální člověk je schopen si zapamatovat tak dvacet. Takže proto byl kdysi vymyšlen DNS, pomůcka pro člověka - je jednoduší použít "www.seznam.cz" než "77.75.72.3". DNS server z toho jména zjistí IP adresu a tu pak použije pro komunikaci, aniž by o tom uživatel věděl.

Další důvod pro DNS je omezený počet IP adres (přesněji IPv4 adres), a s tím související jejich poměrně vysoká cena. Takže existuje spousta webových serverů, které sdílejí jednu IP adresu. A server uživateli předloží správnou stránku jenom proto, že se použije jméno, nikoliv IP adresa. Lze vyzkoušet i u nás na síti - na adrese 10.106.252.18 běží jak www.khnet.info, tak třeba forum.khnet.info - pokud se zadá do prohlížeče pouze IP, ukážou se naprosto jiné stránky, než zmíněný web, nebo fórum ... Tedy opět platí - bez funkčního DNS serveru se uživateli stává internet (neboť v dnešní době je subjektivně internet = webové stránky) naprosto nedostupný, i když jinak všechno funguje naprosto správně.

V případě sítě khnetu je důležité, aby každý počítač měl nastaveny DNS servery zevnitř sítě (viz následující seznam). Je to z toho důvodu, že se liší adresy vnitřní od vnějších (jaké jsou vidět ze zbytku světa). Oblíbený příklad našich webových stránek - zevnitř sítě je to adresa 10.106.252.18 kdežto ze všech ostatních sítí to je 109.73.218.18. Pokud bude mít uživatel nastavené nesprávné servery, na naše stránky se zevnitř sítě nedostane - jelikož pod tou vnější adresou prostě nejsou dostupné. Ale na zbytek internetu se se vší pravděpodobností dostane správně.

Jak to také může dopadnout, když je to nastaveno špatně je popsáno zde.

Od 13.6.2011 je na našich serverech zapnuta technologie DNSSEC (nebo povídání na wikipedii). V krátkosti - je to zabezpečení internetových jmen. Tedy organizace, která si touto technologií zabezpečí svoje DNS je chráněna proti neoprávněné změně. Pokud někdo provede útok na tento systém jmen za účelem podvržení jiné adresy (např. aby zjistil přihlašovací údaje do bank apod.), naše servery takto podvrženou adresu vůbec internetovému prohlížeči nevrátí a uživatel se tak nestane obětí podvodu. Je trochu hloupé, že se to zatím moc nepoužívá a zatím nevíme ani o jedné (české) bance, která by byla takto zabezpečena. Pokud někdo používá prohlížeč Firefox, může si doinstalovat doplněk dnssec-validator, který na adresním řádku ukazuje, jestli je jméno zabezpečeno nebo ne (lze vyzkoušet např. na NIXu a NICu).
Existuje speciální server rhybar.cz - pokud funguje, není použito toto zabezpečení. Má totiž záměrně špatně vygenerovaný podpis, tedy simuluje zfalšování.
Bohužel nejsme schopni zatím zabezpečit naši vlastní doménu khnet.info, neboť nadřízený správce to zatím nepodporuje ...

Možné poruchy jsou popsány trochu zde: Problematické DNSSEC

seznam dostupných serverů

kix 10.106.33.1 (10.106.33.2 - tyto IP jsou z historických důvodů, jsou na stejném stroji) DNS over TLS
styx 10.106.47.1
neptun 10.106.1.1
masarka 10.106.4.1
plechac 10.106.8.1 (používat jen je-li klient za tímto serverem)
mars 10.106.10.1
nginx 10.106.0.55 (ve vývoji, přibližně od 5/2020)
obila 10.106.56.1 (používat jen je-li klient za tímto serverem)
hades 10.106.252.1 nepoužívat!
charon 10.106.64.129 nepoužívat!
zeus 10.106.0.47 nepoužívat!

kostel 10.106.0.28 (používat jen je-li klient za tímto serverem)
cirkost 10.106.0.35 (jen pro klienty v oblasti církvice/jakub)
twin 10.106.0.38 (používat jen je-li klient za tímto serverem)

Pro ideální funkčnost každý počítač (resp. operační systém) umožňuje definovat minimálně dva DNS servery pro svoje použití. Tedy je potřeba zvolit jako primární ten nejblíže k počítači a jako sekundární nějaký jiný. Navrhované servery jsou zobrazeny na stránce mojeInfo, případně lze využít příkaz "tracert www.khnet.info" a jako primární vybrat ten, jehož jméno se objeví nejdřív.

Všechny naše servery jsou hlídané dohledovým systémem a je velice nepravděpodobný výpadek více než jednoho na nějakou významnější dobu. Pokud jsou tedy systémy nastaveny správně, na provozu to nebude poznat.

zákaz

Z bezpečnostních důvodů, jelikož se množí zneužití těchto serverů pro DDoS útoky, je zakázáno používat v síti KHnet vlastní veřejné DNS servery. Přístup na ně je z Internetu zablokován (od září 2014). Je-li to nutné, lze požádat o odblokování. Ono to ale stejně není dobrý nápad ... existuje spousta komerčních (i zdarma) služeb na internetu, které to jsou schopné zajistit lépe.
Používání vlastních resolverů, tedy jen pro soukromé účely člena spolku, bez potřeby dostupnosti z internetu zakázáno samozřejmě není. Jenom je potřeba dodržet pravidla zde uvedená. A i tak je povinen uživatel si takovýto server zabezpečit proti zneužití kýmkoliv jiným, než jím samým.

disclaimer

Naše síť nepoužívá (a nikdy nebude) žádné filtrování stylem "my víme lépe, co je pro vás vhodné". Tedy neexistuje žádná webová stránka, na kterou by se člen spolku nedostal jen proto, že si o ní např. britská organizace Internet Watch Foundation (či obdobná) myslí, že je vhodné ji cenzurovat. Ať už z libovolných, dnes na oko bohulibých důvodů. Tyto praktiky jsou pro nás nepřijatelné. Jsou ovšem používané např. českými GSM operátory ...

Samozřejmě, může se vyskytnout síť, které provoz prostě zablokujeme. Ale zásadně z důvodu ochrany naší sítě po technologické stránce. Např. pokud z ní přichází útoky, pokusy o nabourání služeb, atp. Nikdy se to ale nestane jen na základě obsahu webových stránek v takové síti. Za zveřejněný obsah zodpovídá autor ... a za konzumovaný odběratel, za děti rodič. Nikoliv nějaký úředník, politik, nebo dokonce administrátor počítačové sítě.
Moc takových blokací není, většinou se jedná o Ruské a Čínské sítě. Snad se někdy dostaneme k tomu tyto informace automaticky zveřejňovat. Na dotaz to jsou samozřejmě schopní správci sdělit.

Cenzura

Od 8.8.2017 je již odstavec "disclaimer" tak trochu minulostí. Na základě § 82 zákona č. 186/2016 Sb jsme byli donuceni k zavedení cenzury. Prozatím pouze blokujeme hazardní weby bez přidělené licence podle vyhlášky Ministerstva financí.

Představa ministerstva je, že KAŽDÝ poskytovatel přístupu k síti internet (ale tvrdí, že to jsou poskytovatelé připojení a jsou to i školy, spolky, prostě všichni) bude přebírat seznam zakázaných domén ze souboru PDF. Prý je to strojově zpracovatelný formát. To mají pravdu, jenže jen jedním směrem - lze udělat z libovolného textu vcelku jednoduše soubor PDF (což je formát vymyšlený pro tisk, tedy prezentaci). Ale už to nejde obráceně, čili strojově nelze zpracovávat tento seznam ani kdybychom nasadili neuronovou síť. A do tohoto souboru se musí tedy koukat alespoň jednou za dva týdny vlastním okem, jelikož na provedení blokace máme patnáct dnů ... Ale termín odblokace se myslí okamžitě (není totiž určen), čili se tam musí koukat denně a přepisovat do administračního systému ... Takto se snižují byrokratické nároky ČR na obyvatele.

Chtěli jsme se tomu vyhnout, dle našeho názoru nejsme subjektem tohoto zákona. Jenže pokuta je vysoká, soudy zdlouhavé - a proti státu nejisté. Takže ve chvilku, kdy to nasadil sám cesnet.cz jsme se podvolili. Je to totiž také sdružení, byť právnických osob. A provozuje akademickou síť.

Technicky používáme seznam zpracovávaný právě sdružením Cesnet, takže alespoň té otrocké práce jsme se zbavili.

Co je zablokováno lze vyčíst z výsledku příkazu (v linuxu):

dig rpz.cesnet.cz axfr @nsa.cesnet.cz

za zavináč lze použít i některý z našich serverů, to pak řekne okamžitý stav (je to totiž slave zóna a úplně online to není).


Odkazy ke studiu:

Jenom prosíme všechny členy našeho spolku - používejte vždy naše DNS servery. Použitím jiných si omezíte zase jinou funkčnost sítě. Pokud narazíte na návody pro obejití cenzury, použijte některé z ostatních možností.

Osobní nástroje