Kvalitet i DNS. Lars-Johan Liman Autonomica AB OPTO-SUNET, Tammsvik 1. Vad är dålig kvalitet i DNS?

Relevanta dokument
Tilläggs dokumentation 4069 Dns

DNS och IPv6 vänner eller fiender?

DNSSEC DET NÄRMAR SIG...

Rotadministration och serverroller

Hur påverkar DNSsec vårt bredband?

! " #$%&' ( #$!

DNS. Linuxadministration I 1DV417

DNSSEC implementation & test

DNS-test. Patrik Fältström. Ulf Vedenbrant.

Det nya Internet DNSSEC

Att Säkra Internet Backbone

Datakommunika,on på Internet

We re Still running Rocksolid Internet Services

DNSSEC Våra erfarenheter

Jakob Schlyter

DNSSEC-grunder. Rickard Bellgrim [ ]

Planering och RA/DHCPv6 i detalj

Tips: Titta på relevanta genomgångar på webbplatsen

Varför DNSSEC 2007? Varför inte? Det verkade enkelt Ett mervärde för kunderna (? ) Gratis Linux Bind miljö Publicitet?

Laboration 4 Rekognosering och nätverksattacker

Denna genomgång behandlar följande:

Systemkrav och tekniska förutsättningar

Vad är molnet? Vad är NAV i molnet? Vem passar NAV i molnet för? Fördelar med NAV i molnet Kom igång snabbt...

Internetdagarna NIC-SE Network Information Centre Sweden AB

Förutsättningar för övningar och praktiska prov avseende drift av Internet i Sverige oberoende av funktioner utomlands

Föreläsning 9 Transportprotokoll UDP TCP

IPv6- Inventering. Västkom Västra Götalands Län

Hur man ändrar från statisk till automatisk tilldelning av IP i routern.

Kapitel 6, 7, 8 o 9: Data och protokoll. LUNET o SUNET

Att införa IPv6 internetprotokoll version 6 En praktisk vägledning

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

ETS052 Internet Routing. Jens A Andersson

Hur tar jag företaget till en trygg IT-miljö i molnet?

Robusthetstester och övervakning av DNS. Internetdagarna Rickard Dahlstrand

Vilka är vi. Magnus Ahltorp KTHLAN Ragnar Sundblad KTHLAN & NADA

Anders Berggren, CTO. Säker, betrodd e-post

Varför och hur införa IPv6 och DNSSEC?

Kvalitetssäkring av nätverk och iptelefoni för operatörer och tjänsteleverantörer

5 frågor som hjälper dig i valet av redundant lösning

IPv6 i SUNET. Johan Nicklasson KTHNOC/SUNET johan@sunet.se

Rapport Kalmar Län 2013 Interlan Gefle AB Filialkontor

Sex frågor du bör ställa dig innan du väljer M2M-uppkoppling

DIG IN TO Administration av nätverk- och serverutrustning

Plats för projektsymbol. Tjänsteknutpunkt PILOT

Olika slags datornätverk. Föreläsning 5 Internet ARPANET, Internet började med ARPANET

Remissvar Strategi för ett säkrare Internets Infrastruktur N2004/8306/ITFoU

Laboration 2 1DV416 Windowsadministraion I

DNSSec. Garanterar ett säkert internet

Hur fungerar en IP uppkoppling till ETS? KNX Sweden KNX: The worldwide STANDARD for home & building control

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap

SUNET TCS. TREFpunkt 21. Kent Engström.

Felsökning-självhjälp. Punkt 1. Kontrollera bredbandsutrustningen.

Tidsservrar vid svenska knutpunkter för Internet. Innehåll. Projektet Tidhållning på Internet i Sverige

Tentamen i Datorkommunikation den 10 mars 2014

PNSPO! CP1W-CIF mars 2012 OMRON Corporation

Kriswebb och Krisserver ur ett tekniskt perspektiv

Rapport om routinganalys för Post och Telestyrelsen I samband med flytt av knutpunkt från Stockholm-A till Stockholm-C. Bilaga 5

Datakommunika,on på Internet

Plats för projektsymbol. Sverige under IT attack

DNS laboration report Wilhelm Käll YYYY-MM-DD (the date the report was finished)

Grundläggande datavetenskap, 4p

Avancerad DNS - Laborationer

Sjunet robust DNS. Teknisk Beskrivning

Aditro Our focus benefits yours Molnet -- Presentation

Ungdomar och sociala medier!

IPv6 - Råd och Rön Myter och skrönor. Torbjörn

Vad är DNS? DNS. Vad är DNS? (forts.) Vad är DNS utåt? Vad är DNS internt? Vad är DNS internt? (forts.)

Startanvisning för Bornets Internet

Jimmy Bergman Ansvarig för utveckling och roliga skämt vid kaffemaskinen

Microsoft ALM Agenda. Processer metoder Kundcase Paus Under huven på Visual Studio Team Test Frågor och Svar + en liten tävling

DNSSEC. Tester av routrar för hemmabruk. Joakim Åhlund & Patrik Wallström, Februari 2008

Konfiguration av LUPP synkronisering

ETS052 Internet Routing. Jens A Andersson

TCP/IP och Internetadressering

WWW. Exempel på klientsidan. Överföring av en html-fil. Snyggare variant. Verkligt format. Meddelandeformat för begäran HTTP

Konfiguration av synkronisering fo r MSB RIB Lupp

Nätverka med hjärtat. och gör bättre affärer. Helene Engström. Smakprov fra n boken Nätverka med hjärtat, utgiven pa

LABORATION 2 DNS. Laboranter: Operativsystem 1 HT12. Martin Andersson. Utskriftsdatum:

Spanning Tree Network Management Säkerhet. Spanning Tree. Spanning Tree Protocol, Varför? Jens A Andersson

Din guide till en säkrare kommunikation

RUTINBESKRIVNING FÖR INSTALLATION AV KAMERA

Filöverföring i Windowsmiljö

TPTEST program för mätning av genomströmningskapaciteten

Nationella Internetknutpunkter. Nationella Internetknutpunkter. Vidareutveckling av operatörsövergripande infrastruktur och funktioner.

Rekommendationer teknisk lösning_samsa_ ver

Önskemål kring Studentstadens bredband och UpUnet-S

DATA CIRKEL VÅREN 2014

Hur gör man ett trådlöst nätverk säkert?

Signering av.se lösningar och rutiner. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Hemmanätverk. Av Jan Pihlgren. Innehåll

Microsoft Operations Manager 2005

De 10 mest basala avslutsteknikerna. Direkt avslutet: - Ska vi köra på det här då? Ja. - Om du gillar den, varför inte slå till? Ja, varför inte?

DIG IN TO Administration av nätverk- och serverutrustning

DNSSEC och säkerheten på Internet

Grundläggande nätverksteknik. F2: Kapitel 2 och 3

Att sätta upp en IPsec-förbindelse med mobil klient. Lisa Hallingström Paul Donald

Serverlås installation.

ETS052 Internet Routing WILLIAM TÄRNEBERG

Varför ska min organisation införa IPv6 och hur kan vi gå till väga

Datakommunikation. Nätskiktet. Routers & routing

Transkript:

Kvalitet i DNS Lars-Johan Liman Autonomica AB 2007-09-12 OPTO-SUNET, Tammsvik 1 Vad är dålig kvalitet i DNS? "Det funkar inte." Man når inte sin motpart alls! Det blir irriterande fördröjningar. Man hamnar rent av fel!? Men också: det går inte att fåg tag på den ansvarige när något har slutat funka. 2007-09-12 OPTO-SUNET, Tammsvik 2

Kvalitetens beståndsdelar Stabilitet Det skall funka jämt! Säkerhet Jag skall få den information jag tror att jag får. Akutalitet Jag skall inte få gammal information. 2007-09-12 OPTO-SUNET, Tammsvik 3 DNS-transaktioner 2007-09-12 OPTO-SUNET, Tammsvik 4

sker i flera nivåer!. se. autonomica.se. 2007-09-12 OPTO-SUNET, Tammsvik 5 Masterservrar Stabil maskin Duglig konnektivitet Behöver inte vara lysande om inte också publik server. Säkerhet TSIG Men kom då ihåg att köra NTP! Fräsch programvara 2007-09-12 OPTO-SUNET, Tammsvik 6

Vad är det för fel på min gamla BIND? Jo, det var just det den är GAMMAL! Säkerhetshål http://www.isc.org/index.pl?/sw/bind/bindsecurity.php#matrix Prestandaproblem Klarar inte moderna tillägg till DNS Rena buggar Ex: elaka DNSSEC-"buggar" i tidiga BIND9- versioner som även påverkar drift utan DNSSEC! 2007-09-12 OPTO-SUNET, Tammsvik 7 BIND 8 är DÖD! To: bind-announce@isc.org Subject: BIND8 entering end of life From: Paul Vixie <Paul_Vixie@isc.org> Date: 09 Aug 2007 22:54:47 +0000 whereas BIND9 is now 8 years old, and BIND9 is performance-competitive against BIND8, and BIND9 conforms to more of the DNS protocol than BIND8, and BIND9 is more secure and more portable than BIND8, we are declaring BIND8 to be in "end of life" (like BIND4). [snip] -- Paul Vixie 2007-09-12 OPTO-SUNET, Tammsvik 8

Slavervrar Stabil maskin Övervakning Utmärkt konnektivitet till Internet Säkerhet TSIG Men kom då ihåg att köra NTP! Fräsch programvara 2007-09-12 OPTO-SUNET, Tammsvik 9 BIND 8 är DÖD! To: bind-announce@isc.org Subject: BIND8 entering end of life From: Paul Vixie <Paul_Vixie@isc.org> Date: 09 Aug 2007 22:54:47 +0000 whereas BIND9 is now 8 years old, and BIND9 is performance-competitive against BIND8, and BIND9 conforms to more of the DNS protocol than BIND8, and BIND9 is more secure and more portable than BIND8, we are declaring BIND8 to be in "end of life" (like BIND4). [snip] -- Paul Vixie 2007-09-12 OPTO-SUNET, Tammsvik 10

Resolvrar Stabil maskin God konnektivitet till Internet Utmärkt konnektivitet till klienter DNSSEC? Om man vill. "Klart om 6 månader " :-) TSIG? Inte klart ännu. "Kommer i nästa release". Fräsch programvara 2007-09-12 OPTO-SUNET, Tammsvik 11 BIND 8 är DÖD! To: bind-announce@isc.org Subject: BIND8 entering end of life From: Paul Vixie <Paul_Vixie@isc.org> Date: 09 Aug 2007 22:54:47 +0000 whereas BIND9 is now 8 years old, and BIND9 is performance-competitive against BIND8, and BIND9 conforms to more of the DNS protocol than BIND8, and BIND9 is more secure and more portable than BIND8, we are declaring BIND8 to be in "end of life" (like BIND4). [snip] -- Paul Vixie 2007-09-12 OPTO-SUNET, Tammsvik 12

DNSSEC är det kvalitet? "Ni bör nog lära er hur det funkar." Egen ny administration Nyckelgenerering med periodiska byten. Signering periodiskt. Nyckelutbyte med förälder. med periodiska byten Ny adminstration gentemot andra Ankarnycklar (.SE,.RO,.NL, root ) med periodiska byten 2007-09-12 OPTO-SUNET, Tammsvik 13 Övervakning BIND producerar frågestatistik men det räcker inte! Ställ frågor till egna servrar! Är alla slavar vakna? Svarar de rätt? Stämmer serienumren överens mellan slavarna? Måste också övervaka nätverket! 2007-09-12 OPTO-SUNET, Tammsvik 14

Vanliga fel Glömda punkter Felaktiga delegeringar Övergivna servrar Glue records Gammal kontaktinformation 2007-09-12 OPTO-SUNET, Tammsvik 15 Glömda punkter Måste man hitta själv. Den vane kollar alltid det FÖRST. :-) Gör manuell zone transfer. dig @master.server zone.se AXFR då sticker namnet ut tydligt. eller så kör man utan punkter, men det har också nackdelar. Saker hamnar i fel zon. 2007-09-12 OPTO-SUNET, Tammsvik 16

Felaktiga delegeringar Föräldern har en uppsättning NS-poster och barnet en annan. Inträffar oftast när barnet byter nameservrar. Kom ihåg att alltid prata med ALLA föräldrar när ni byter nameserver. Framlänges, baklänges, alla toppdomäner m.m. Ja, det är förb-nat jobbigt att få ihop det. Kör http://dnscheck.se/ 2007-09-12 OPTO-SUNET, Tammsvik 17 Övergivna servrar Uppträder oftast när man har varit slav åt någon, och de har bytt slavar utan att tala om det. Kolla med jämna mellanrum att er server är med bland NS-posterna för alla zoner. Men kolla det från en ANNAN resolver! 2007-09-12 OPTO-SUNET, Tammsvik 18

Glue records Bastarder på fel plats. Måste letas upp av resolvern. Samspelet auktoritativ server resolver underlättas av "in bailiwick glue". autonomica.se. IN NS ns.autonomica.se. ns.autonomica.se. IN A 192.71.80.99 Dock lurigt i baklängeszoner. Tekniskt sett funkar det, men inte alla gillar ns.80.71.192.in-addr.arpa. IN A 192.71.80.99 2007-09-12 OPTO-SUNET, Tammsvik 19 Gammal kontaktinformation Ett gammalt kärt problem Den hårda vägen: Gör tjänsten beroende av att "kunderna" med jämna mellanrum verifierar sin kontaktinformation. Den mjuka vägen: Kolla själv med jämna mellanrum att saker stämmer. Försök koppla det till annan periodisk händelse. 2007-09-12 OPTO-SUNET, Tammsvik 20

DNS i stordrift Ju högre upp i DNS-trädet, desto högre krav på tjänsten. Root, TLD har väldigt höga krav. Dock: Redundans på "applikationsnivå" (där DNS är applikationen). 2007-09-12 OPTO-SUNET, Tammsvik 21 Anycast Annonsera samma prefix från flera ställen med samma AS-nummer. Lurar BGP-systemet. Om en site försvinner kommer BGP att routa om till andra. Om en site DDoS:as, drabbar det bara den siten. 2007-09-12 OPTO-SUNET, Tammsvik 22

Anycast Varje site har 2 routrar 2+ servrar Routrarna ansluts till Internet Ofta knutpunkt direkt eller via knutpunkts-as. Ibland stor operatör. "Bakväg" in för administration. Måste ha unicast. 2007-09-12 OPTO-SUNET, Tammsvik 23 AS root 2007-09-12 OPTO-SUNET, Tammsvik 24

AS root AS root 2007-09-12 OPTO-SUNET, Tammsvik 25 AS root AS root 2007-09-12 OPTO-SUNET, Tammsvik 26

AS root AS root 2007-09-12 OPTO-SUNET, Tammsvik 27 2007-09-12 OPTO-SUNET, Tammsvik 28

Zondistribution 2 distributionsmastrar i olika bergrum Matar alla anycastinstanser och andra servrar. All överföring sker med TSIG. Serienummer övervakas. 2007-09-12 OPTO-SUNET, Tammsvik 29 Övervakning DNS-grafer Trafikgrafer Nagios med egna DNS-moduler Nåbarhet svarstider: egna och mastrar. Överensstämmelse serienummer: egna och mastrar. RIPE NCC: DNSMON http://dnsmon.ripe.net/ 2007-09-12 OPTO-SUNET, Tammsvik 30

Prober Pyttedatorer vi delar ut över hela världen. Målet: 50 st. Går igång av sig själva. Frågar i sakta mak våra DNS-servrar. Ger oss en bild av hur vår tjänst upplevs runt om i världen. "Vår egen DNSMON" 2007-09-12 OPTO-SUNET, Tammsvik 31 Denna presentation finns på URL: http://www.autonomica.se/liman/ presentations/sunet/optosunet-dns-kvalitet-2007.pdf Autonomica AB Bellmansgatan 30 SE-118 47 Stockholm Sweden Tel: +46-8-6158570 Fax: +46-8-4420967 E-mail: info@autonomica.se http://www.autonomica.se/ 2007-09-12 OPTO-SUNET, Tammsvik 32

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss