Unášení DNS provozu a hazard

Re:Unášení DNS provozu a hazard
« Odpověď #15 kdy: 01. 10. 2021, 15:43:24 »
Nejde o ignorování zákonů, ale ignorování Vašeho výkladu zákona. Až o tom bude někdy rozhodnuto soudy, uvidíme. Do té doby, tu jen teoretizujeme.(a Vy jste, jako vždy přesvědčen o tom, že znáte všechno nejlépe)

Unášení provozu je prasárna, za tím si stojím, ať už předhodíte sebelepší/sebeblbější argument.
Jasně. Já uvádím argumenty, vaše tvrzení je akorát „je to prostě prasárna“, ale já jsem přesvědčen, že znám všechno nejlépe…


Re:Unášení DNS provozu a hazard
« Odpověď #16 kdy: 01. 10. 2021, 16:30:47 »
Unášení provozu je prasárna, za tím si stojím, ať už předhodíte sebelepší/sebeblbější argument.

Jinymi slovy: "Budu si trvate na sve emocionalite (prasarna) i kdyz byste mi to vyvracel jakkoliv racionalnimi argumenty." To je v podstate definice fanatismu...

_Jenda

  • *****
  • 1 123
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Unášení DNS provozu a hazard
« Odpověď #17 kdy: 01. 10. 2021, 17:21:34 »
To také není v pohodě a vy se prosím netvařte, že to, že něco jiného také není v pohodě ospravedlňuje, dělat to ještě ve větším rozsahu. To je argumentace jak na základní škole.

...
A podvrhávání odpovědí na defaultním poskytovaném DNS serveru je v pohodě? Nebo jak má ISP splnit požadavky Holdingu?
Dobře, takže už víme dva způsoby, co nejsou v pohodě. Můžete ještě odpovědět na druhou otázku v tom příspěvku?

bmann

Re:Unášení DNS provozu a hazard
« Odpověď #18 kdy: 01. 10. 2021, 18:04:55 »
@Filip
Ohledně SPOF u DNS a řešení u ISP.
Jasně, že je to doměnka, co jiného by to asi mělo být? Každý ISP to může mít jinak a já ze zkušenosti předpokládám tu horší variantu.

Některá zařízení používají port 53 na přímou komunikaci na vlastní servery a není to čistý DNS. Pak to unášení provozu toto rozbije.

Zákon říká blokovat a tento zákon musí ISP dodržovat. Metodika je od toho dát na srozuměnou co se očekává a je dostačující.

Můj názor:
Unášení provozu je prasárna pokud to není požadováno. Akorát to může zbytečně rozbít věci co fungují.

Ale asi nemá smysl to dál řešit, tady se neshodneme.

_Jenda

  • *****
  • 1 123
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Unášení DNS provozu a hazard
« Odpověď #19 kdy: 01. 10. 2021, 18:22:32 »
Zákon říká blokovat a tento zákon musí ISP dodržovat. Metodika je od toho dát na srozuměnou co se očekává a je dostačující.
Jak se dojde k tomu, že zrovna tahle metodika je ta platná? Když si vydám svoji metodiku, nebude to rovnocenné?

V normálně napsaných zákonech je totiž vždycky uvedeno něco jako „konkrétní požadavky určí Ministerstvo lásky prováděcí vyhláškou“ a pak každý ví, čím se má řídit a jak zákon dodržet.


Re:Unášení DNS provozu a hazard
« Odpověď #20 kdy: 01. 10. 2021, 20:35:26 »
Jak se dojde k tomu, že zrovna tahle metodika je ta platná? Když si vydám svoji metodiku, nebude to rovnocenné?
Jde o metodiku Ministerstva financí. Které je příslušné k rozhodování ve správním řízení, pokud by nějaký ISP zákon nedodržoval. Takže ta metodika má určitou váhu – je to návod pro úředníky MF, jak mají postupovat v případném správním řízení. Ale není závazná, pokud by nějaký úředník postupoval v rozporu s tou metodikou, může být postižen pracovněprávně, ale na vydaném rozhodnutí to nic nezmění.

Unášení provozu je prasárna pokud to není požadováno. Akorát to může zbytečně rozbít věci co fungují.
To je sice hezký názor, ale tak nějak se míjí s realitou. Ono totiž unášení provozu opravdu není zákonem explicitně vyžadováno, zároveň to může být ten nejjednodušší a nejméně invazivní způsob, jak zákon splnit. Ale to už jsem psal několikrát a nezdá se, že byste tuhle informaci vzal na vědomí, takže opakovat ji příště znova nemá smysl.

Kamui

Re:Unášení DNS provozu a hazard
« Odpověď #21 kdy: 01. 10. 2021, 20:46:41 »
Citace
Ono totiž unášení provozu opravdu není zákonem explicitně vyžadováno, zároveň to může být ten nejjednodušší a nejméně invazivní způsob, jak zákon splnit.

Nejjednoduší je, pokud ISP zařídí filtrování na svém DNS, který defaultně poskytuje svým klientům přes DHCP. Unášení provozu je už vyšší level - co bude příště, zákaz VPN ("beztak to běžný uživatel k ničemu nepotřebuje") nebo rovnou povinná instalace certifikátu státní certifikační autority, jako v Kazachstánu?

Re:Unášení DNS provozu a hazard
« Odpověď #22 kdy: 01. 10. 2021, 21:11:39 »
Je to velmi jednoduché. Pokud už musím, rozhodně jako to nejhorší invasivní řešení mohu zvolit, že budu unášet provoz, abych to zkurnil co nejvíc, nebo jen ovlivňovat vlastní DNS.

Jak psal někdo přede mnou, tak si to vyložte co nejinvazivněji a vlastně byste měl začít blokovat VPN.

To také není v pohodě a vy se prosím netvařte, že to, že něco jiného také není v pohodě ospravedlňuje, dělat to ještě ve větším rozsahu. To je argumentace jak na základní škole.

...
A podvrhávání odpovědí na defaultním poskytovaném DNS serveru je v pohodě? Nebo jak má ISP splnit požadavky Holdingu?
Dobře, takže už víme dva způsoby, co nejsou v pohodě. Můžete ještě odpovědět na druhou otázku v tom příspěvku?

Re:Unášení DNS provozu a hazard
« Odpověď #23 kdy: 01. 10. 2021, 21:30:43 »
Nejjednoduší je, pokud ISP zařídí filtrování na svém DNS, který defaultně poskytuje svým klientům přes DHCP.

Je to velmi jednoduché. Pokud už musím, rozhodně jako to nejhorší invasivní řešení mohu zvolit, že budu unášet provoz, abych to zkurnil co nejvíc, nebo jen ovlivňovat vlastní DNS.
Vidím, že tady mezi mnohými panuje shoda, že každý ISP má a měl vlastní DNS servery, které vždy nastavoval a nastavuje svým klientům jako výchozí DNS resolvery (ať už přes DHCP, nebo napevno).

Zajímala by mne už jenom taková drobnost: Jak jste na tohle přišli? Na základě čeho vylučujete, že by v ČR mohly existovat ISP, kteří neměly nebo nemají vlastní DNS resolvery a nemají tak kontrolu nad tím, kam posílá DNS dotazy velká část nebo dokonce všichni jejich klienti?

Re:Unášení DNS provozu a hazard
« Odpověď #24 kdy: 02. 10. 2021, 14:08:21 »
Já kupříkladu žiji v reálném světě, má praxe tedy nesestává jen z toho, co jsem vyčetl na Rootu. Po ČR mám 5 přípojek k internetu v cenách od 1k do 15k za měsíc. Stejně, jako mohu napsat, že ani na jedné není IPv6 mohu naosat, že u všech dostávám DNS ISP. Buďte tak laskav a podívejte se, jak to máte vy.

Netvrdím, že je má každý, ale většina tedy dle mé zkušenosti ano. Tak není třeba se zabývat okrajovými případy, co myslíte?

Nejjednoduší je, pokud ISP zařídí filtrování na svém DNS, který defaultně poskytuje svým klientům přes DHCP.

Je to velmi jednoduché. Pokud už musím, rozhodně jako to nejhorší invasivní řešení mohu zvolit, že budu unášet provoz, abych to zkurnil co nejvíc, nebo jen ovlivňovat vlastní DNS.
Vidím, že tady mezi mnohými panuje shoda, že každý ISP má a měl vlastní DNS servery, které vždy nastavoval a nastavuje svým klientům jako výchozí DNS resolvery (ať už přes DHCP, nebo napevno).

Zajímala by mne už jenom taková drobnost: Jak jste na tohle přišli? Na základě čeho vylučujete, že by v ČR mohly existovat ISP, kteří neměly nebo nemají vlastní DNS resolvery a nemají tak kontrolu nad tím, kam posílá DNS dotazy velká část nebo dokonce všichni jejich klienti?

Re:Unášení DNS provozu a hazard
« Odpověď #25 kdy: 02. 10. 2021, 14:56:06 »
Tak není třeba se zabývat okrajovými případy, co myslíte?
Já myslím, že když nemůžeme vyloučit, že se jedná o ten okrajový případ, tak je dobré se tím zabývat – zejména když chcete na základě toho někoho obvinit, že něco dělá špatně nebo dokonce protizákonně.

Jinak pro vaši informaci, v ČR bylo dost „wifinářů“, malých ISP, kteří poskytovali připojení k internetu pro pár klientů někde v místě, kam se velkým poskytovatelům nechtělo. Často jenom koupili konektivitu od většího ISP a rozvedli to wifinama po nějaké vesnici, jejich vlastní infrastruktura byla minimální, někteří právě neměli ani vlastní DNS resolvery. Případně ti, kteří  si zakládali na tom, že jsou skutečný ISP, měli alespoň jeden DNS resolver a jako záložní nastavovali něco jiného.

Na vašem místě bych se moc nechlubil tím, že za „reálný svět“ považujete jen několika málo případů, se kterými jste se osobně setkal, a zcela ignorujete zkušenosti jiných lidí.

Re:Unášení DNS provozu a hazard
« Odpověď #26 kdy: 02. 10. 2021, 15:20:36 »
Vy si zase pojedete svou, jako v každé diskusi. Já netvrdím, že neexistují jiné případy, ale tvrdím, že velká část přípojek to má tak, že poskytují vlastní DNS. Už jste se byl podívat, jak to řeší váš poskytovatel? :)

Pokud někdo nemá jinou možnost, ať unáší trafik, co se dá dělat. Pokud má někdo možnost, řešit to jakkoli jinak, ať to tak řeší, protože unášení trafficu se nikomu normálnímu nemůže líbit.

Tak není třeba se zabývat okrajovými případy, co myslíte?
Já myslím, že když nemůžeme vyloučit, že se jedná o ten okrajový případ, tak je dobré se tím zabývat – zejména když chcete na základě toho někoho obvinit, že něco dělá špatně nebo dokonce protizákonně.

Jinak pro vaši informaci, v ČR bylo dost „wifinářů“, malých ISP, kteří poskytovali připojení k internetu pro pár klientů někde v místě, kam se velkým poskytovatelům nechtělo. Často jenom koupili konektivitu od většího ISP a rozvedli to wifinama po nějaké vesnici, jejich vlastní infrastruktura byla minimální, někteří právě neměli ani vlastní DNS resolvery. Případně ti, kteří  si zakládali na tom, že jsou skutečný ISP, měli alespoň jeden DNS resolver a jako záložní nastavovali něco jiného.

Na vašem místě bych se moc nechlubil tím, že za „reálný svět“ považujete jen několika málo případů, se kterými jste se osobně setkal, a zcela ignorujete zkušenosti jiných lidí.

M_D

  • ***
  • 243
    • Zobrazit profil
    • E-mail
Re:Unášení DNS provozu a hazard
« Odpověď #27 kdy: 02. 10. 2021, 17:53:01 »
Koncových přípojek mám v ČR stovky, ale z toho místa pohledu si netroufnu moc hodnotit, protože vím i jak to vypadá na druhé straně, ale uznávám, že mám admin vhled jen do pár desítek sítí napříč ČR.
Takže stav, že mi ISP dá vlastní své IP jako DNS servery, neříká vůbec nic o tom, zda má i vlasntí resolvery. Upřimně, provozovat něco takového je pro řadu z nich vyšší dívčí, práce navíc, co nense náklady a nic (běžná slova ISP okresného formátu, několil tisíc živých přípojek). Takže i když mám jejich IP, tak často míří na nějaký mikrotik (a často i jen jeden) a na tom mikrotiku je nastaven forward na 8.8.8.8. Krutá realita. Ti, kteří to dělali tak, že to 8.8.8.8+1.1.1.1 dávali přímo koncákům, tak ti jsou v té pozici, že dneska někam unáší.
Další věc je, kam se to vlastně unáší. Dneska se nám tu začíná šířit nešvar dobroserů, kteří za pár drobných výpalného nabízí služby profesionálních DNS resolverů jako službu pro ISP. Pokud jdou Vaše dotazy k těmto (ať už únosem nebo forwardem ISP IP na ně), tak tam se často filtruje mnohem více, než jen dle seznamu od finančníků. V rámci boje za lepší svět filtrují i řadu dalších adres, co vyhodnotí jako nebezpečné (ano, jde často o nějaké provalené adresy botnetů, virovisk atd, ale co vše dalšího, to vědí jen oni a jejich chytré algoritmy).
Takže těch, co mají poctivě svoje jeden+dva plnohodnotné rekurzivní resolvery, ten dávají zákošům a na něm filtrují jen minimum a do ničeho dalšího nehrabou, tak to není majorita ISP. :-(
A divil bch se, kdyby EU nám nepřevzala třeba koncept z UK. Zde tyto služby filtrujícícho resolveru v rámci lepšího světa dokonce certifikují a ISPíkům je v této chvíli doporučeno dávat tyto certifikované resolveristy koncákům (termín, kdy se z doporučeno staně povinně vynucovat už asi mají i stanoven, ve fázi povinně jsou nyní klienti financovaní z erárního).

Kamui

Re:Unášení DNS provozu a hazard
« Odpověď #28 kdy: 02. 10. 2021, 19:32:53 »
Citace
A divil bch se, kdyby EU nám nepřevzala třeba koncept z UK. Zde tyto služby filtrujícícho resolveru v rámci lepšího světa dokonce certifikují a ISPíkům je v této chvíli doporučeno dávat tyto certifikované resolveristy koncákům (termín, kdy se z doporučeno staně povinně vynucovat už asi mají i stanoven, ve fázi povinně jsou nyní klienti financovaní z erárního).

Naštěstí existují věci jako DNS-over-HTTPS. Firefox si za něj dokonce vysloužil v UK titul padouch roku:
https://www.abclinuxu.cz/zpravicky/mozilla-byla-nominovana-na-cenu-internetovy-padouch

Re:Unášení DNS provozu a hazard
« Odpověď #29 kdy: 03. 10. 2021, 23:11:18 »
Jako nechci Vám do vstupovat do hlubokých filozofických debat, jaké chování ještě je a jaké už není správné, ale to je takový problém si přečíst ten idiotský, pardon metodický pokyn ministerstva všehomíra https://www.mfcr.cz/assets/cs/media/Metodika_2017_Metodicky-pokyn-k-plneni-povinnosti-82-84-ZHH.pdf.
Protože když to uděláte, tak můžete začít další plodnou diskusi nad pojmem "Poskytovatel připojení k internetu na území České republiky". Za docela vtipný považuju odstavec 2.1, zvláště by mě zajímalo, co úředník myslel větou: "... Rovněž se za poskytovatele připojení k internetu považují ty subjekty, které služby přístupu k internetu fakticky poskytují, ale bez příslušného oprávnění".....   ? škola, hospoda, zaměstnavatel, soused co Vám sharuje připojení.... atd. ?
Abych místo blbých keců přispěl i něčím konstruktivním, tak budu citovat z metodického pokynu:
Citace
Blokování na úrovni DNS (Domain Name Service) lze považovat za jedno z vhodných opatření, jehož použitím ve vztahu k internetovým stránkám uvedeným na Seznamu bude splněna povinnost dle ustanovení § 82 ZHH. V případě, že poskytovatel připojení k internetu nedisponuje lokálními DNS servery (např. využívá DNS servery dodavatele internetové konektivity nebo v rámci holdingu) a není tedy oprávněn k blokaci na úrovni DNS, lze povinnost ustanovení § 82 ZHH považovat za splněnou v případě, pokud ji poskytovatel připojení k internetu zajistí smluvně se subjektem, jehož lokální DNS servery využívá.
Zároveň však poskytovatel internetového připojení může zvolit jakýkoliv další způsob, který zamezí v přístupu k internetovým stránkám uvedeným na Seznamu, ale nezablokuje obsah domén i jiných držitelů nebo jinak nezpůsobí porušení právních předpisů.

Pak tedy ano - pokud "poskytovatel" unáší DNS provoz, blokuje vybrané adresy, nebo činí nějaká jiná, z pohledu ajťáka hnusná a nesmyslná opatření, tak vždycky může tvrdit, že jedná v soluladu s tím, co požaduje zákon.
A nebo si každý "poskytovatel" ve svém vlastním zájmu zaplatí vlastního právníka, aby si nechal vyložit, jestli zasahování do DNS provozu (přesměrování, unášení, podvrhování jiných adres....atd.) náhodou nezpůsobí porušení právních předpisů.
Prostě to beru tak, že předpis psal úředník s intelektuální schopnosti pohybující se zhruba na úrovni desetiletého dítěte, bez faktického porozumění, co svým neurčitým výkladem uloženách povinností způsobí.