Nejede DNSSEC v síti T-Mobile

Re: Nejede DNSSEC v síti T-Mobile
« Odpověď #15 kdy: 27. 06. 2011, 18:45:23 »
Tak ještě jednou já: Teď jsem otestoval připojení přes UMTS-TDD alias Internet 4G a musím bohužel potvrdit to, co zde bylo napsáno.

T-Mobile u služby Internet 4G transparentně proxuje a zároveň podvrhuje systém DNS!

Klient může požádat jakoukoli adresu o překlad kořenové zóny, vždy dostane prázdnou odpověď pouze s GLUE záznamem
Kód: [Vybrat]
.                       65535   IN      A       62.141.6.172
Následuje pár needitovaných příkladů:
Kód: [Vybrat]
oskar@esprimo ~ $ dig +dnssec @1.2.3.4 aaaa

; <<>> DiG 9.7.3 <<>> +dnssec @1.2.3.4 aaaa
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49355
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;.                              IN      NS

;; ADDITIONAL SECTION:
.                       65535   IN      A       62.141.6.172

;; Query time: 123 msec
;; SERVER: 1.2.3.4#53(1.2.3.4)
;; WHEN: Mon Jun 27 18:21:44 2011
;; MSG SIZE  rcvd: 44

oskar@esprimo ~ $ dig +dnssec @1.2.3.4 a

; <<>> DiG 9.7.3 <<>> +dnssec @1.2.3.4 a
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29406
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;.                              IN      NS

;; ADDITIONAL SECTION:
.                       65535   IN      A       62.141.6.172

;; Query time: 100 msec
;; SERVER: 1.2.3.4#53(1.2.3.4)
;; WHEN: Mon Jun 27 18:21:46 2011
;; MSG SIZE  rcvd: 44

oskar@esprimo ~ $ dig . @2.2.8.3 txt

; <<>> DiG 9.7.3 <<>> . @2.2.8.3 txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48758
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;.                              IN      TXT

;; ANSWER SECTION:
.                       65535   IN      A       62.141.6.172

;; Query time: 94 msec
;; SERVER: 2.2.8.3#53(2.2.8.3)
;; WHEN: Mon Jun 27 18:40:25 2011
;; MSG SIZE  rcvd: 33

oskar@esprimo ~ $ host .
. has address 62.141.6.172
. has address 62.141.6.172
. has address 62.141.6.172

Bohužel, vzhledem k tomu, že jde o proxování transparentní, nedá se to vyřešit (kromě reklamace a doufání, že to spraví) jinak než šifrovaným tunelem.


Mordae

Re: Nejede DNSSEC v síti T-Mobile
« Odpověď #16 kdy: 28. 06. 2011, 08:00:29 »
Opravdu by me zajimalo jejich vyjadreni. Nezapomel jsi na nas, ze ne? :-)

Pepa

Re: Nejede DNSSEC v síti T-Mobile
« Odpověď #17 kdy: 28. 06. 2011, 11:54:13 »
To Ondrej Caletka: U me se pripojuji na 4G.

To Mordae: Nezapomnel jsem. Poslal jsem T-Mobilu podrobny popis problemu + dumpy komunikace (zaslano 22.6. - pred 6 dny). Zatim zadna konkretni odezva. Dnes odjizdim na dovolenou, po navratu 7.7. dam  vedet, co je noveho.

Pepa

Pepa

Re: Nejede DNSSEC v síti T-Mobile
« Odpověď #18 kdy: 28. 06. 2011, 13:08:45 »
Jeste bych dodal laickou interpretaci dobre zvoleneho prikladu p. Caletky:

Je jedno na ktery DNS server je poslan vas dotaz, v siti T-Mobile je tento dotaz VZDY(?) zpracovan  jejich pocitaci a odpoved vracena vam. Tj. sit T-Mobile neni co se tyce DNS dotazu transparentni a T-Mobile v prekladu domenovych jmen postavil velkou cinskou zed.

Dukaz - provedu srovnani opet s O2 (ADSL), ktera je pro mne v tuto chvili dostupna jako etanol spravne fungujici site:

dotaz smerovany na neexistujici DNS server (na adrese 1.2.3.4 neni DNS server):
- u O2 opravdu zjistite, ze toto neni DNS server (no servers could be reached)
Kód: [Vybrat]
root@root:~# dig @1.2.3.4 a
; <<>> DiG 9.7.0-P1 <<>> @1.2.3.4 a
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

- u T-Mobilu vam vrati jakousi (QUERY: 1, ANSWER: 1) odpoved...
Kód: [Vybrat]
root@alpha:~# dig @1.2.3.4 a

; <<>> DiG 9.7.3 <<>> @1.2.3.4 a
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43339
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;.                              IN      NS

;; ANSWER SECTION:
.                       65535   IN      A       62.141.6.172

;; Query time: 122 msec
;; SERVER: 1.2.3.4#53(1.2.3.4)
;; WHEN: Tue Jun 28 12:49:08 2011
;; MSG SIZE  rcvd: 33

To byl dotaz u nexestujiciho serveru - v siti T-Mobile se deji zazraky a vraci se odpoved.
Podme se ale podivat, jestli je tato odpoved spravna...
Tentokrat se zeptame u "Velkeho bratra", pana Googla:

- O2 - takto ma vypadat spravna odpoved
Kód: [Vybrat]
root@root:~# dig @8.8.8.8 a

; <<>> DiG 9.7.0-P1 <<>> @8.8.8.8 a
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48215
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;.                              IN      NS

;; ANSWER SECTION:
.                       1396    IN      NS      m.root-servers.net.
.                       1396    IN      NS      l.root-servers.net.
.                       1396    IN      NS      i.root-servers.net.
.                       1396    IN      NS      e.root-servers.net.
.                       1396    IN      NS      b.root-servers.net.
.                       1396    IN      NS      f.root-servers.net.
.                       1396    IN      NS      h.root-servers.net.
.                       1396    IN      NS      j.root-servers.net.
.                       1396    IN      NS      c.root-servers.net.
.                       1396    IN      NS      d.root-servers.net.                                   
.                       1396    IN      NS      a.root-servers.net.                                   
.                       1396    IN      NS      k.root-servers.net.                                   
.                       1396    IN      NS      g.root-servers.net.                                   

;; Query time: 25 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Jun 28 12:12:44 2011
;; MSG SIZE  rcvd: 228

- a co si vymysli T-Mobile... (opet podivny odkaz na jakysi T-Mobile server - 62.141.6.172)
Kód: [Vybrat]
root@alpha:~# dig @8.8.8.8 a

; <<>> DiG 9.7.3 <<>> @8.8.8.8 a
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26124
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;.                              IN      NS

;; ANSWER SECTION:
.                       65535   IN      A       62.141.6.172

;; Query time: 77 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Tue Jun 28 12:22:55 2011
;; MSG SIZE  rcvd: 33

No, snad je to trochu nazorne.

Pepa

Jenda

Re: nejede DNSSEC v siti T-Mobile
« Odpověď #19 kdy: 28. 06. 2011, 14:39:09 »
Teď jsem otestoval připojení přes T-Mobile EDGE a tam k výše popsanému prasení nedochází. O jaký jde přesně druh připojení? Je to 4G, nebo ADSL?
Otestoval jsem GPRS (mám Twist) a tam k tomu také nedochází. Asi cenzurují jen UMTS, GPRS/EDGE je totiž tak pomalé, že přes to žádné dětské porno stahovat nejde :-D.


Santiago

Re: Nejede DNSSEC v síti T-Mobile
« Odpověď #20 kdy: 28. 06. 2011, 14:53:52 »
> Bohužel, vzhledem k tomu, že jde o proxování transparentní, nedá se to vyřešit (kromě reklamace a doufání, že to spraví) jinak než šifrovaným tunelem.

Jeste by to mozna slo resit zalobou - par. 182 Porušení tajemství dopravovaných zpráv bod (1b).

Santiago

Re: Nejede DNSSEC v síti T-Mobile
« Odpověď #21 kdy: 28. 06. 2011, 14:54:46 »
Tedy ne zalobou, ale trestnim oznamenim.

Pepa

Re: nejede DNSSEC v siti T-Mobile
« Odpověď #22 kdy: 28. 06. 2011, 15:39:43 »
Citace
Otestoval jsem GPRS (mám Twist) a tam k tomu také nedochází. Asi cenzurují jen UMTS, GPRS/EDGE je totiž tak pomalé, že přes to žádné dětské porno stahovat nejde :-D.
Aby jste se nedivil, kouknete na http://blok.hrach.eu/ . Podle tamnejsiho seznamu T-Mobile dela(!) cenzuru. Ma ale oporu v legislative a pokud blokuje jednotliva url, nemam s tim problem.

Zde se ale bavime o tom, ze T-Mobile mrsi moji komunikaci s hlavnimi(!) DNS servery Internetu. S hlavnimi, paternimi, root-servery! Vstupuji do komunikace a posilaji podvrzene odpovedi.

Jen pripomenu, ze mi kvuli tomu pak nejede DNSSEC. Tim to cele zacalo... :-)

Pepa

Jenda

Re: nejede DNSSEC v siti T-Mobile
« Odpověď #23 kdy: 28. 06. 2011, 15:47:22 »
Citace
Otestoval jsem GPRS (mám Twist) a tam k tomu také nedochází. Asi cenzurují jen UMTS, GPRS/EDGE je totiž tak pomalé, že přes to žádné dětské porno stahovat nejde :-D.
Aby jste se nedivil, kouknete na http://blok.hrach.eu/ . Podle tamnejsiho seznamu T-Mobile dela(!) cenzuru.
Jakožto autor stránky blok.hrach.eu o tom samozřejmě vím ;-).
Ma ale oporu v legislative
Se mi nějak nezdá…
a pokud blokuje jednotliva url, nemam s tim problem.
Proti gustu…
Zde se ale bavime o tom, ze T-Mobile mrsi moji komunikaci s hlavnimi(!) DNS servery Internetu. S hlavnimi, paternimi, root-servery! Vstupuji do komunikace a posilaji podvrzene odpovedi.
Zprasení internetových standardů je bohužel podmínkou alespoň trochu účinné cenzury.

John S

Re: Nejede DNSSEC v síti T-Mobile
« Odpověď #24 kdy: 28. 06. 2011, 21:12:31 »
Jenže cenzua JE prasení internetu

Jenda

Re: Nejede DNSSEC v síti T-Mobile
« Odpověď #25 kdy: 07. 07. 2011, 14:33:33 »
Hele, co mi přišlo:

Dobré poledne,

nechali jsme prověřit kolegy vaše zjištění a rádi bychom uvedli na pravou míru, že se rozhodně nejedná o cenzurování internetu.

Problémy s fungováním DNS v síti UMTS TDD (Internet 4G), jak zde byly popsány, nejsou v žádném případě záměrem T-Mobile vnutit zákazníkovi transparentní DNS server či dokonce monitorovat nebo filtrovat DNS provoz. Jsou způsobené specifickou funkcionalitou INC síťového elementu, která využívá DNS protokol k detekci možného upgradu firmware 4G terminálů v korporátních APN. Bohužel tato funkcionalita není kompatibilní s DNSSEC, proto dochází ke zde popsaným problémům. V současnosti intenzivně zkoumáme, jak tomuto chování zamezit a zajistit, aby DNS v UMTS TDD síti fungovalo opět podle standardu.

Hezký den

Jiří Janeček
Senior specialista externí komunikace

Pepa

Re: Nejede DNSSEC v síti T-Mobile
« Odpověď #26 kdy: 07. 07. 2011, 17:19:48 »
To Jenda:
Gratuluji, mě vůbec neodpověděli. První dotaz na T-Mobile 22.6., dnes ráno (tj. po 14 dnech) urgence. Zatím bez odpovědi. Takový způsob komunikace se mi nelíbí.

Mimo diskusi Vám tímto vyjadřuji sympatie a podporu k webu  http://blok.hrach.eu/ (palec nahoru :-). 

Jenda

Re: Nejede DNSSEC v síti T-Mobile
« Odpověď #27 kdy: 07. 07. 2011, 19:00:08 »
To Jenda:
Gratuluji, mě vůbec neodpověděli. První dotaz na T-Mobile 22.6., dnes ráno (tj. po 14 dnech) urgence. Zatím bez odpovědi. Takový způsob komunikace se mi nelíbí.
Mně napsali jako odpověď na zprávičku na AbcLinuxu, kterou jsem tam o tomhle vlákně napsal.
Mimo diskusi Vám tímto vyjadřuji sympatie a podporu k webu  http://blok.hrach.eu/ (palec nahoru :-).
Díky :-).

Pepa

Re: Nejede DNSSEC v síti T-Mobile
« Odpověď #28 kdy: 15. 07. 2011, 17:57:40 »
OPRAVENO!

Zavolal mi dnes technik z T-Mobile a informoval mě, že už to je opraveno.
Zkusil jsem si tedy zapnout v konfiguraci DNSSEC a ejhle - už to jede.
Jen dodám, že mi pán z TM vysvětlil, proč to tak měli dříve nastaveno a jeho zdůvodnění se v podstatě shoduje s oficiální reakcí pana "Senior specialisty externí komunikace" o kousek výše.

Zdravím, přeji hezký den,
a hlavně děkuji všem zúčastněným za pomoc.