Levný internet od UPC (přenechám)

Cek

Re:Levný internet od UPC (přenechám)
« Odpověď #30 kdy: 24. 05. 2017, 15:59:17 »
A vy víte, zdali se tam používá DNSSEC? Jinak DNSSEC je i na 8.8.8.8 nebo 8.8.4.4, nebo NIC.CZ má vlastní DNSSEC validující resolvery 217.31.204.130, 193.29.206.206, 2001:1488:800:400::130, 2001:678:1::206. A pokud ten vlastní resolver máte otevřený do internetu a využíváte to z jiné lokality třeba přes jiného poskytovatele, tak budete mít odpovědi pomalejší, než v případě použití google či nic.cz.

Podporu DNSSEC zřejmě mají, mám zapnuto forwardování DNS od poskytovatele, a tohle je výsledek testu DNS:



Ja zas vubec nechapu proc tu skaces jako certik z krabicky kdyz se nekdo otre o Tvoje milovane UPC, o tom, ze bys laskave nechal ostatnim pravo si vybrat jestli chteji mit svuj DNS ani nemluve.

Pokud mam Android/Windows klienty, kteri DNSSEC sami nevaliduji, musel bych duverovat bud UPC DNS serveru, nebo tomu, ze neunaseji port 53 na svoje DNS servery. Proc bych to mel delat, kdyz si muzu proste udelat svuj DNS server? A ze si ho nemusim prenastavovat kdyz jsem jinde? To je spis plus, i kdyz samozrejme nespolehlive (i jini provideri unaseli DNS provoz na svoje servery...).

Navic pak nemusim resit ulozeni svych domen na cizich serverech.....


beer

  • *****
  • 729
    • Zobrazit profil
Re:Levný internet od UPC (přenechám)
« Odpověď #31 kdy: 24. 05. 2017, 17:09:13 »
Neskáču, zeptal jsem se, na co to kdo používá, vyjádřil jsem názor, slušně diskutuji.

Pokud bych byl opravdu paranoidní, tak bych na mobilních zařízeních tuneloval veškerý provoz skrze OpenVPN. Osobně bych zvažoval klidně i ten port 53, protože např. u mobilních ISP se na něm často neuplatňuje FUP limit. V takovém případě by to mohlo dávat smysl, ale jinak nevidím důvod proč mít 53 otevřenou do internetu, respektive provozovat veřejný DNS resolver, obzvlášť, když je ten od poskytovatele rychlý a bezpečný. Unášení IP adres nebo DNS požadavků, to bych čekal u malých venkovských ISP (https://www.dasm.cz/clanek/jak-muze-isp-unaset-dns-pozadavky). Myslím, že to úplně legální není a nevím o tom, že by to dělal nějaký větší poskytovatel.

j

Re:Levný internet od UPC (přenechám)
« Odpověď #32 kdy: 25. 05. 2017, 09:28:22 »
Narovinu, myslím si, že provozovat vlastní VEŘEJNÝ DNS resolver přináší jen bezpečnostní rizika, ale žádný přínos nemá.
Narovinu? Vis o tom maprosto kulovy ... Jednak dns funguje jako validujici resolver a druhak to dns taky serviruje desitky firemnich domen (samozrejme ze ve spolupraci s dalsima jinde), protoze se vazne nehodla nikdo dohadovat s nejakym debilem u nejakyho registratora, jestli si tam jako milostive muze nejakej zaznam pridat, protoze zrovna takovej von nepodporuje. Sem taky vazne zvedav, jak budes pres nejakej prastenej web dns dynamicky aktualizovat.

A kdyz na to prijde, nevidim ani zadnej problem v tom, ze nekdo provozuje verejne dostupny dns. Providerovi je do toho v kazdym pripade lautr hovno.

beer

  • *****
  • 729
    • Zobrazit profil
Re:Levný internet od UPC (přenechám)
« Odpověď #33 kdy: 25. 05. 2017, 09:57:08 »
Myslím, že bychom se mohli obejít bez argumentů ad hominem.

add jednak dns funguje jako validující resolver
- no a? DNS poskytovatele, google DNS nebo od CZ NICu ne?

add servírování desítek firemních domén
- no a? DNS poskytovatele, google DNS nebo od CZ NICu ne?

Spousta registrátorů má api, kde je možné DNS záznamy měnit dle potřeby a webové rozhraní mají snad všichni. A není problém, pokud je dynamická IP adresa, používat dynamické DNS. A vím o čem mluvím, protože to používám.

Taky nevidím problém, když chce někdo provozovat veřejně dostupný DNS, ať si ho klidně provozuje. Vystavuje se sám riziku, že bude obětí třeba DOSu, nebo že mu ten DNS server někdo napadne jinak, nebo prostě že nebude mít dostatečně aktuální záznamy, ta pravděpodobnost je určitě vyšší, než když využije validující resolver u poskytovatele, či CZ NICu. A na nesymetrickém internetovém připojení samozřejmě musí počítat s tím, že bude trpět i rychlost.

U poskytovatelů, kde je důležitá bezpečnost, je samozřejmě možné, že se vyhodnotí omylem regulérní provozovaná služba jako projev nějaké nákazy (ano, opravdu přes DNS port se toho šíří docela dost). Tomu by se dalo předejít samotnou analýzou paketů, ale to už by mohlo být za hranou.


j

Re:Levný internet od UPC (přenechám)
« Odpověď #34 kdy: 25. 05. 2017, 13:13:05 »
add jednak dns funguje jako validující resolver
- no a? DNS poskytovatele, google DNS nebo od CZ NICu ne?

add servírování desítek firemních domén
- no a? DNS poskytovatele, google DNS nebo od CZ NICu ne?
To mi rekni, jak si do dns guuglu ... zapises svoje dns zaznamy ... fakt by me to zajimalo ... a stejne tak by me zajimalo, jak vis, ze ty dns neco nekde validujou ... vis naprosto kulovy, protoze to muze tvrdit kde kdo. A dokonce to muze byt i pro nektery domeny pravda a pro jiny ne. Ty to rozhodne neovlivnis stejne jako s tim nic neudelas. Nemas dokonce ani jak to overit.

Mimochodem, kazdyho uzivatele guuglich DNS povazujju explicidne za debila, protoze jim je. Uz si guuglu poslal vzorek svy stolice? To aby nahodou netrpel nedostatkem informaci. Sem zvedav kdy ti provozovatel tvy kanalizace posle, ze se vysrat mas chodit ke guuglu a nemas mu zasirat jeho trubky.

A hlavne, nezapomen sem pribehnout brecet ze ti nefunguje internet ... to az guuglu zase neco klekne.

Jo, spousta registratoru ma api ... takze ty si budes psat nejakej extraburt pro svyho registratora, misto abys pouzival stadardni postup ... trebas takovej, ze tvuj dhcp aktualizuje tvoje dns.


beer

  • *****
  • 729
    • Zobrazit profil
Re:Levný internet od UPC (přenechám)
« Odpověď #35 kdy: 25. 05. 2017, 13:48:39 »
- ty DNS záznamy můžeš přece zapsat u svého registrátora, od kterého je převezmou ostatní DNS servery. Nicméně pokud si doménu koupíš přes Google, můžeš DNS záznamy spravovat přes Google. CZ doména ale zatím není nabízena. O standardech, které používá Google DNS si můžeš přečíst zde: https://developers.google.com/speed/public-dns/docs/security. Kromě DNSSEC, které plně podporují od roku 2013 od loňského roku podporují ješě DNS-over-HTTPS.

- jak je vidět ze screenu, který jsem sdílel, používám DNS forwardované od poskytovatele na Turrisu, nepoužívám Google DNS. Když se DNS poskytovatele rozbije, stačí mi jedno kliknutí a Turris bude fungovat jako plnohodnotný DNS server. Uživatele, kteří používají Google DNS rozhodně neodsuzuji, ale doporučil bych jim ho si nastavit jako záložní v kombinaci s veřejnými resolvery CZ NICu. Tím výpadek jednoho DNS serveru proběhne bez povšimnutí a nějakých škod.

- osobně používám dynamické dns, mám cURL skript, který mi zabezpečeně mění u poskytovatele dynamického DNS mění A a AAAA záznamy. U registrátora na ten DNS server odkauji přes CNAME.

Ale nebyl problém se domluvit třeba u Tele3 (a určitě to funguje i u jiných registrátorů), že mohou vytvořit přímo adresu, na které je možné měnit přímo A či AAAA či jakýkoliv jiný záznam přímo v databázi registrátora. Ve webovém formuláři nic podobného neměli, ale není to pro ně problém. Tím je možné měnit třeba více A záznamů na stejné doméně/subdoméně najednou, vede to přímo na položku v databázi, jeden server pak může obsahovat mnoho IP adres, které se mohou dynamicky měnit. Když je ochotný registrátor, nic není problém.
« Poslední změna: 25. 05. 2017, 13:50:19 od beer »

Lol Phirae

Re:Levný internet od UPC (přenechám)
« Odpověď #36 kdy: 26. 05. 2017, 14:56:30 »
- ty DNS záznamy můžeš přece zapsat u svého registrátora, od kterého je převezmou ostatní DNS servery.

Používals někdy něco jako Active Directory? Bože, to jsou rady na ránu.  ::)