Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 38 min 8 sek zpět

Jak vidí mladí Internet?

Út, 12/10/2019 - 13:05

Když jsem byla vybrána jako doprovod pro českého zástupce studentů na prestižní akci BIK Youth Panel, velmi mne to potěšilo, i když to zároveň znamenalo velkou zodpovědnost spočívající jak v samotné funkci doprovodu, tak také v důstojné reprezentaci projektu Bezpečně na netu, v jehož rámci byl zástupce České republiky vybrán. Během tří dnů (19. až 21. listopadu) jsem měla zajímavou příležitost seznámit se s pohledem dnešních mladých lidí na problémy, které s sebou moderní technologie přinášejí. Protože se domnívám, že bychom měli názorům mladých lidí naslouchat a brát je v potaz, dohodla jsem se s Matějem, kterého jsem na akci doprovázela, na krátkém rozhovoru. Pokud Vás zajímá, jak dnešní mladí lidé vnímají moderní technologie, pak určitě čtěte dále.

Můžeš se prosím krátce představit?

Ahoj, já jsem Matěj. Je mi 15 let a chodím na gymnázium v Ústí nad Orlicí.

Jak ses dostal ke spolupráci s CZ.NIC?

Zapojil jsem se do soutěže Kraj pro bezpečný internet, kde jsem byl 2. v celostátním kole, a pak jsem byl pozván do Zlína na konferenci Bezpečně na netu, kde probíhal i mládežnický panel.

Kdo/co Tě ovlivnil/o a posunul/o směrem k IT?

Určitě táta, protože od mala jsem se učil používat počítač. V jednu dobu jsem měl YouTube kanál, kam jsem nahrával různá herní videa a kde jsem se učil videa stříhat.

Takže se videím a YouTube už nevěnuješ?

Videa jsem smazal. To byl takový trend, v tu dobu natáčelo hodně lidí videa z Minecraftu. Teď se místo toho učím programovat.

Byl jsi vybrán do Bruselu na Better Internet for Kids meeting, jak se Ti tam líbilo?

Určitě to byla skvělá zkušenost. A určitě to bylo něco jedinečného, co jsem ještě nikdy předtím nezažil. Poznal jsem spoustu mladých zajímavých lidí z celé Evropy, kteří se věnují podobným věcem jako já.

Můžeš nám popsat, o co vlastně šlo?

BIK Youth Panel je akce, kterou Evropská Unie pořádá pro mladé lidi, aby jim umožnila sdílet své názory týkající se bezpečnosti na Internetu a dala jim možnost přispět ke změně v této oblasti. Celá akce trvala tři dny. První dva dny jsme se seznamovali a připravovali program na Safer Internet Forum, které proběhlo poslední den (21. listopadu). Fórum navštěvují různí lidé zabývající se bezpečnosti na Internetu, například politici, zástupci sociálních sítí, učitelé, policisté, zástupci krizových linek apod.

V čem myslíš, že skutečně spočívá význam podobných akcí?

Je potřeba lidem ukázat, že kriminalita na Internetu je stejně vážná jako kriminalita venku na ulici. Je důležité, aby lidé, kteří se zaměřují na prevenci kyberkriminality, znali názory mladých lidí, protože ve výsledku se stejně často zaměřují na ně. Měli by vědět, jak co nejefektivněji mladé lidi oslovit a něco jim předat. Zároveň si tam odborníci z různých profesí mohou vyměňovat své zkušenosti a znalosti, aby se navzájem podporovali a vzdělávali.

Je něco, co Tě zklamává v souvislosti s mladými a technologiemi?

Je mi trochu líto, že někteří z mých vrstevníků používají Internet každý den a přesto nevědí o možných hrozbách a nemají tušení, že jsou na Internetu i lidé, kteří jim chtějí uškodit. A právě proto jsme tu my, abychom pomohli mezi sebou šířit informace o těchto hrozbách. Také mne mrzí, že někteří z nás jsou schopni přes Internet ostatní šikanovat, aniž by si uvědomovali možné dopady.

Myslíš, že agresoři na Internetu by se projevovali stejně v reálném světě bez „masky“ anonymity?

Záleží na případu. Zatímco někteří využívají anonymity, kterou Internet poskytuje, v jiných případech je kyberšikana spojená i s šikanou fyzickou.

Setkal ses se šikanou na škole?

Slyšel jsem o případech lidí, kteří byli šikanováni.

Trochu jsme odbočili, nyní se ještě vraťme. Sklidil jsi obrovský úspěch v programu, organizátoři Tě dokonce označili za „superhero“. Je něco, co si myslíš, že se musí změnit?

Je skvělé, že jsme dosáhli spolupráce Evropy, ale myslím, že dalším krokem bude užší spolupráce v rámci celého světa. Pokud se něco má změnit, mělo by to začít vyučováním na školách. V této době ještě stále není ve školách dostatek prostoru pro rozvoj kritického myšlení a ačkoli učitelé by mnohdy chtěli, nenajdou při vyučování na toto téma prostor. Tímto bych chtěl povzbudit lidi z oboru, lidi, kteří mají pravomoc a možnost něco změnit, aby se tomuto tématu začali více věnovat a nebáli se s námi mladými lidmi diskutovat a spolupracovat.

Kdybys Ty sám měl možnost něco změnit, na co by ses zaměřil?

Zasadil bych se o bližší spolupráci velkých firem jako je třeba Facebook, Google atd. se státem a celou Evropskou unií, aby společně hledali cesty, aby bylo jednodušší vystopovat internetové útočníky, čímž by se podle mě částečně podařilo snížit počet případů násilí na Internetu. Asi bych do tohoto tématu více zapojil i rodiče, kteří by mnohdy chtěli se svými dětmi o tomto mluvit, ale jelikož nevyrůstali v době informačních technologií, tak třeba neví, jak na to.

Takže bys viděl cestu i ve vzdělávání rodičů? Máš konktrétní představu?

Myslím si, že zatímco pro mladé existuje spousta webových zdrojů a kampaní, které je v tomto směru vzdělávají, pro rodiče toho je, především v češtině, opravdu málo. Proto bych chtěl na jedno místo shromáždit výukové materiály, které by rodiče navedly k tomu, jak s lidmi v mém věku o těchto problémech mluvit. A zároveň by jim ukázaly, co skutečně hrozí na Internetu, před čím by měli své děti varovat, a také si uvědomili, že se hrozby netýkají pouze jejich dětí, ale i jich samotných.

Co myslíš, že je skutečná slabina technologií?

Technologie dávají lidem přehnaný pocit anonymity a mnohdy jim dávají sílu k tomu, aby udělali něco, co by v reálném životě nikdy neprovedli. Například stalking, často lze jednoduše lidi přes Internet sledovat a shromažďovat o nich informace, což nám v reálném životě přijde velice zvláštní, ale spousta lidí to přes obrazovku svého počítače vykonává každý den. A zároveň kvůli technologiím zapomínáme na to, že osobní kontakt je více než zprávy na messengeru. Ovšem věřím, že počítače, mobilní telefony a další jsou velmi užitečné nástroje, pokud je lidé umí správně používat. Dá se tedy říct, že slabinami technologií jsme ve skutečnosti my lidé.

Na závěr bych Matějovi ráda poděkovala za rozhovor.

Kategorie:

Termín vypnutí starého ODVR

Čt, 12/05/2019 - 14:42

Jak jsme již informovali v dřívějších blogpostech, zprovoznili jsme novou instanci našich Otevřených DNSSEC Validujících Resolverů a snažíme se na ni převést provoz. Jen opakuji, že ODVR, jak název této služby zkracujeme, je nejznámější českou alternativou k resolverům, které jsou provozovány například společnostmi Google (tzv. „čtyři osmičky“) nebo Cloudflare (tzv. „čtyři jedničky“).

Provoz se nám postupně daří na novou instanci převádět, samozřejmě díky ochotě uživatelů a poskytovatelů připojení měnit nastavení svých zařízení. Na novém anycastu už odbavujeme přes 40 procent provozu! Tempo přechodu se ale začalo v posledních týdnech snižovat. Obojí je vidět z následujícího grafu.

Kromě komunikace na našem blogu jsme o této změně několikrát informovali komunitu peeringového uzlu NIX.CZ, na sociálních sítích a v poslední době i přímo správce sítí, ze kterých přichází na staré ODVR největší provoz. I na základě komunikace s nimi a podle jiných vzorů (například přechod na DVB-T2) jsme stanovili termín, kdy staré ODVR vypneme. Tím termínem je 20. leden 2020. Ihned po jeho oznámení se opět obnovila aktivita uživatelů a správců sítí a upouštění od využívání starého ODVR zesílilo. Termín 20. ledna si prosím zapamatujte. Pokud vám tento den přestane „fungovat Internet“, může za tím stát právě vypnutí starého ODVR. A vězte, že přechod na využívání nového neznamená nákup nového zařízení, ale jde o velmi jednoduchou změnu konfigurace, kterou lze provést za pár vteřin, viz návody na stránkách projektu ODVR.

Zejména pro koncové uživatele jsme navíc připravili pomocný nástroj, který jim napoví, zda nepoužívají tyto vypínané instance (starý unicast a starý anycast) a nebo zda mají správně nastaveno používání té nové (nový anycast). Úplně jednoduché vysvětlení pro běžné uživatele je, že pokud test vrátí zelené „fajfky“ u starých instancí, nemusí se zmíněného 20. ledna obávat. Pokud se mu ale ve výsledcích testu objeví červené „křížky“, měl by zbystřit a zajistit si včasnou změnu nastavení u sebe nebo svého poskytovatele připojení. Věříme, že i tento nástroj pomůže tomu, že 20. ledna 2020 bude klidný zimní den bez velkého množství uživatelů postrádajících funkční překlad internetových domén na IP adresy.

Kategorie:

Upozornění před filmem „Kto je další“

St, 12/04/2019 - 16:35

V uplynulém týdnu jsme jako národní koordinátor pro oblast bezpečnějšího Internetu a člen mezinárodní sítě INSAFE obdrželi několik varování souvisejících se slovenským filmem „Kto je další“.

Film se prostřednictvím tří příběhů snaží upozornit na aktuální témata spojená s dospíváním mladých lidí – šikanu, sexuální vydírání a rizikové koníčky, konkrétně tzv. rooftopping (šplhání na vysoké budovy či vysílače) s cílem pořízení selfies v nebezpečných situacích (tzv. killfies).

Přes atraktivní zpracování však film obsahuje rovněž např. detailní záběry sebepoškozování, kdy na konci prvního příběhu se i přes podporu spolužáků šikanovaný chlapec nakonec rozhodne pro sebevraždu. Tento způsob konce života se zobrazuje i ve třetím příběhu, ve kterém farář zneužívá jednoho z chlapců. Jeho otec si pak za oběť vydírání volí farářovu dceru. Ta tento tlak neunese a rozhodne se skončit se životem. Právě tyto scény mohou podle stanoviska Slovenské psychiatrické společnosti (SPS) spustit např. tzv. Wertherův efekt, kdy zhlédnutí těchto scén může být spouštěcím faktorem a inspirací pro vlastní sebevraždu.

Na základě stanoviska odborné veřejnosti, především Výzkumného ústavu dětské psychologie a patopsychologie podpořeného Slovenskou komorou učitelů nebo Kliniky dětské psychiatrie NÚDCH, je promítání filmu pro děti nevhodné. K tomuto postoji se nejnověji připojilo i slovenské Ministerstvo školství, vědy, výzkumu a sportu, jehož logo bylo podle prohlášení ve filmu zneužito.

U našich východních sousedů film „Kto je další“ zhlédlo až 65 000 dětí a nyní by měla být připravována jeho premiéra v dalších zemích, především České republice a Slovinsku.

Jako národní centrum zaměřené na bezpečnější internet nejen pro děti proto českým školám doporučujeme velmi pečlivě zvážit případnou hromadnou návštěvu promítání tohoto filmu či jeho využití např. ve výuce.

Kategorie:

Turris ochrání i vaše servery

Po, 12/02/2019 - 10:15
Trochu historie

Co je projekt Turris, to asi není třeba v Čechách představovat. Ale pojďme si jen pro úplnost zrekapitulovat, jak celý projekt vznikl a jak se v průběhu doby vyvinul.

Vše začalo zkoumáním, jak probíhají útoky na běžné domácnosti. Náš CSIRT tým měl data z různých honeypotů, ale zajímalo je, v jaké míře se útoky zaznamenané na serverech dotýkají i běžných lidí. Navíc s rozvojem IoT začínaly být čím dál tím více zranitelné i běžné domácnosti. Ale jak zjistit, co se v nich děje? Kdyby tak existovala nějaká sonda, která by sbírala data o pokusech o útoky…

I jal se CZ.NIC takovou sondu vyrobiti. Nazvali jsme ji Turris a kromě sběru dat o útocích uměla i pár drobností navíc. Jako třeba routovat, dělat Wi-Fi AP, validovat DNSSEC, nahrávat pořady z televize a takové běžné drobnosti. Rozdali jsme je po republice, data začala chodit a výsledky byly velmi zajímavé. Naši kolegové je zkoumali a pomocí nich se jim podařilo odhalit nemálo bezpečnostních hrozeb. Zároveň jsme tato data automaticky zpracovávali, vytvářeli greylist a distribuovali ho na routery, kde jsme automaticky blokovali odhalené útočníky.

Projekt šel dál a ukázalo se, že naše sonda je vlastně skvělý router. I rozhodli jsme se zkusit, jestli by si ji někdo nekoupil na routrování. Zkusili jsme to s Turris Omnia na Indiegogo a později znovu s Turris MOX a oboje slavilo velký úspěch, a tak začal CZ.NIC vyrábět vlastní hardware.

HaaS vstupuje na scénu

Kromě zjištění, že co děláme na poli routerů, je zajimavé pro široké masy, jsme dostávali zpětnou vazbu o tom, že i náš sběr dat je zajímavý. Lidé nemají rádi útočníky a rádi by jim házeli klacky pod nohy. Pro mnoho z nich to ale není úplně snadné, ale náš systém jim to snadno umožňuje.

I toto jsme se pokusili ověřit v praxi. Spustili jsme projekt HaaS – Honeypot as a Service. Pomocí něj se můžou uživatelé snadno přidat a se svými servery nám pomoci chytat útočníky na ssh. O projekt projevila komunita velký zájem a nyní chytají útočníky nejen naše routery, ale i servery různých dobrovolníků.

Sentinel následuje

Vzhledem k zastarávající a omezující architektuře sběru dat jsme začali narážet na různé problémy. Hlavně se škálováním – nové routery se stále prodávají, staré neumírají a ani zas až tolik nezastarávají a ke sběru dat se nám dobrovolně hlásilo víc a víc lidí. Zároveň nás architektura trochu svazovala v rozmachu. Rozhodli jsme se proto celý systém přepsat. A jelikož jsme již věděli, že o podobná řešení je zájem, rozhodli jsme se celý systém rovnou navrhovat tak, abychom mohli zapojit časem i další účastníky, nejen uživatele našich routerů.

Začali jsme celý systém přepisovat a děláme velké pokroky. Nový systém už je nasazen a běží v testovacím režimu. Zatím do něj nejsou zmigrovány stávající routery a ani se zatím nesbírají všechna data, které se sbírají ve starém systému. Ale na tom stále pracujeme a v plánu je nakonec sbírat i více informací. Co nám už ale funguje, je dynamický firewall generovaný aktuálně malou testovací množinou routerů. Ten je ale zároveň i první službou, kterou lze nasadit i jinde než na našich routerech. Kdokoliv si tak nyní může tuto službu nainstalovat a získat ochranu před útočníky.

Nasazení

Jak si tedy dynamický firewall nasadit? Vyzkoušel jsem si to na svých serverech a při té příležitosti jsem nachystal i balíček pro rpm based distribuce. Testoval jsem to na openSUSE, takže netuším, jak moc bude funkční na jiných distribucích. I proto chci popsat, co, jak a proč jsem udělal.

Pro dynamický firewall máme jednoduchý program (opravdu krátký kousek Pythonu), který se připojí na náš server, stáhne si aktuální seznam padouchů a následně čeká na jeho změny. A podle toho udržuje lokální ipset. Pro připojení k serveru je potřeba stáhnout certifikát, který se následně používá k ověření serveru. Tuto funkcionalitu jsem si integroval do předpisu pro startování samotné služby.

Další věc, kterou bylo třeba udělat, je zaintegrovat službu do firewallu. V dnešních distribucí se používá pro konfiguraci firewallu firewalld. Napsal jsem tedy jako součást balíčku dva konfigurační soubory pro firewalld. Jeden zavádí ipset daného jména a druhý specifikuje speciální zónu, kam spadne každý z blacklistu. Lidem z této zóny se zásadně neodpovídá.

Drobná poznámka na závěr. Jedná se zatím spíše o PoC, celý postup budeme ještě uhlazovat, dodělávat web, návody, podmínky služby a podobně. Zároveň budeme výrazně rozšiřovat zdroje dat, které tam proudí, takže seznam poroste. Ale už teď jsme ve stavu, kdy si s tím zkušenější uživatelé můžou začít hrát. Máme i code snippet, který se dá použít obecně pro integraci i do jiných služeb a rádi uslyšíme, pokud vás napadne, kam a jak náš greylist integrovat.

Kategorie:

Stěhování prvního 100GE DNS stacku

Pá, 11/22/2019 - 11:00

V minulém blogpostu jsem slíbil, že do konce listopadu dokončíme první etapu stěhování serverů do privátního sálu. K naplnění zbývalo přestěhovat náš historicky první 100GE DNS stack, router a hlavní propoje do internetu.

První 100GE DNS stack jsme zprovoznili na konci roku 2017. Koncept a popis zapojení DNS stacků je uveden v mém dřívějším blogpostu. DNS stack tedy obsahoval 30 DNS serverů, MGMT server, dva switche pro připojení k MGMT serveru a pro IPMI konektivitu a HW router s ODF, přes které byly připojeny všechny 10GBit uplinky DNS serverů. Původní podobu DNS stacku zachycují níže uvedené obrázky. Byl to (teď opravdu v psáno v minulém čase) náš nejkrásnější rack za poslední dva roky a jen myšlenka na jeho rozbití (při stěhování) nás doslova fyzicky bolela.

Ukázka zapojení serverů DNS stacku v původním umístění

Ukázka zapojení routeru a switchů DNS stacku v původním umístění

Nové umístění a změna konfigurace

Stěhování, nejen datového centra, poskytuje možnost novou lokalitu vylepšovat. Stejně tomu tak bylo u stěhování našeho datacentra do privátního sálu. Provedli jsme při něm celou řadu změn a vylepšení, nejčastěji na síťové infrastruktuře. A zásadnějších úprav se při stěhování dočkal také DNS stack. Využili jsme dvouletých zkušeností s provozem této naší chlouby DNS anycastu a odstranili některá jeho „slabší místa“.

Přidali jsme jeden dedikovaný switch výhradně pro IPMI konektivitu. Je to vlastně takový náš standard zapojení každého racku, kdy využijeme starší „obyčejné“ switche s 1Gbit porty, které jsme nahradili za novější, čímž šetříme tak „drahé“ porty na access switchích.

Díky tomuto IPMI switchi jsme uvolnili 15+15 portů v obou MGMT switchích. Mohli jsme tak každý server připojit dvěma metalickými patchordy jako ether-channel. Jen pro upřesnění, nejedná se o uplinky k routeru, které odbavují DNS provoz. Tato síťová konektivita se používá pro správu jednotlivých DNS serverů, k aktualizaci DNS zóny, monitoringu apod. Doplnění druhého metalického patchcordu nám umožní snáze provádět upgrady firmwaru obou MGMT switchů bez toho, abychom museli část DNS stacku předtím odstavit.

Do stacku jsme přidali další server, který jsme pojmenovali NET. Na tento server přesuneme provádění síťových analýz a v budoucnu i další služby spojené se síťovou infrastrukturou. S tím souvisí i další vylepšení původního návrhu. V případě, že bylo potřeba provést údržbu MGMT serveru (plní mimojiné roli DNS hidden-master) nebo řešit výměnu HW se supportem, museli jsme odstavit celý DNS stack, neboť by jednotlivé DNS servery neměly aktuální DNS zónu. Nově bude NET server sloužit také jako záložní DNS hidden-master a údržba MGMT serveru tak nebude znamenat odstávku celého DNS stacku.

HW router jsme fyzicky oddělili od serverů v DNS stacku a umístili do vedlejšího racku. Lépe jsme tím rozložili napájení mezi racky a zajistili efektivnější chlazení. Router má totiž oproti serverům boční sání vzduchu a při umístění ve stejném racku je nutné použit tzv. STS řešení. V rámci odstávky jsme provedli také upgrade routeru na poslední doporučovanou verzi SW. Dále jsme změnili zapojení 10G uplinků k serverům. V původním návrhu byly totiž jednotlivé servery zapojené tzv. break-out kabely MTP-4xLC(D) přímo do routeru. To bylo možné, protože jsme na linekartách měli dostatek portů. Využili jsme totiž osm 100GE portů, kterými jsme rozpletem z 40GE připojili všechny servery (vždy 4x 10Gbit/transceiver). Nově jsme DNS servery zapojili sice stejným způsobem, ale přímo do dvou nových 100GE switchů, které jsou s routerem propojeny 4x 100Gbit. Ve výsledku jsme propustnost nezhoršili, naopak zlepšili. Momentálně je totiž použito méně portů a současně stále nenarážíme na limit propustnosti, který je výrobcem stanoven na 480Gbps/slot.

Aktuální zapojení DNS stacku ukazuje následující schema:

Aktuální schema zapojení 100GE DNS stacku

Jak probíhalo stěhování DNS stacku a routeru? Nejvíce vypovídající jsou následující fotografie:

Stěhování DNS stacku – rozpojené ODF a switche

Stěhování DNS stacku – rack bez zařízení

Stěhování DNS stacku – router v privátním sále

Stěhování DNS stacku – servery v privátním sále

Stěhování DNS stacku – kabeláž

A jak vypadá DNS stack v privátním sále?

Stěhování DNS stacku – servery v privátním sále, pohled zepředu

Stěhování DNS stacku – servery v privátním sále, pohled zezadu

Stěhování DNS stacku – ODF a switche v privátním sále

Stěhování DNS stacku – router v privátním sále

Všímavější čtenáři si jistě všimli, že některé servery nejsou zapojeny bílými metalickými patchordy. Je to proto, že jsme se snažili využít kabely z původního umístění, ale protože máme vyšší rack a jinak uspořádané switche, ne všude bylo využití původních kabelů možné. Sedm bílých patchordů o délce 2,5 metru musíme tedy doobjednat. Ale na funkci rostlináře (pardon serverů) to nemá vliv, protože jsou všechny servery připojeny do ether-channelu. A ano, ještě musíme hezky dovyvázat všechny kabely…

Hlavní router, propoje do peeringového uzlu NIX.CZ a do tranzitu a náš historicky první DNS stack jsou tedy opět v provozu.

Tím jsme úspěšně stihli přestěhovat servery v první etapě ve stanoveném termínu a plynule přecházíme do té druhé. Tam nás bude čekat testovací prostředí FRED a mojeID, testovací prostředí pro system a network administrátory a několik interních serverů. A také věci trochu nepopulární, jako je odkabelování a úklid. Ale to bude vhodná činnost na období po Silvestru a novoročním rozjezdu.

Na závěr ještě ukázka grafů, jak postupně klesala zátěž napájení po odebírání serverů.

Grafy napájení v původním umístění

Kategorie:

V kolik Ti to jede do „privátního“?

Pá, 11/08/2019 - 10:15

V minulém blogpostu jsem popisoval testování páteřních switchů a poslední přípravy před oživením privátního sálu. Dnešní díl bude o tom, jak jsme začali konečně opravdu fyzicky stěhovat servery a jak se nám to dařilo.

Průběh stěhování

Stěhování serverů jsme, ještě před zprovozněním veškeré síťové infrastruktury, rozdělili na dvě etapy. V první etapě, do konce listopadu 2019, jsme si dali za cíl přestěhovat produkční prostředí FRED a mojeID, všechny servery Laboratoří CZ.NIC, servery kolegů z CSIRT a Turris týmů, servery ve veřejné VLAN, náš historicky první 100GE DNS stack a s ním hlavní router. V té druhé, kterou plánujeme dokončit nejpozději do konce ledna 2020, jsme si pak naplánovali přesunout testovací prostředí FRED a mojeID, testovací prostředí pro system a network administrátory s testovacím routerem a zbytek interních systémů. Jedním z hlavních důvodů upřednostnění stěhování nejdříve „produkce“ a pak až „testů“ bylo, že „produkce“ je zapojena ve switchích vhodných i pro budoucí produkční prostředí (zaplacená podpora, dostatečný výkon, počty a kapacity portů). Tyto switche potřebujeme nejdříve uvolnit a poté zapojit v privátním sále. Nacházejí se ve dvou rackách, kterými bylo potřeba začít právě co nejdříve.

Při stěhování se ukázalo, že jednotlivé servery dokážeme poměrně rychle „přenést“. Průměrně jsme jeden server stihli zprovoznit do desetiminut, výpadek byl tedy poměrně krátký, což bylo zásadní kritérium pro ty servery, které neměly repliku či jejich další instance neběžely v jiném našem datacentru. Typicky se jednalo o servery ve veřejné VLAN, např. servery kolegů z Brazílie, Chille nebo takové servery, které jsou určené spíše pro veřejnost – IPv6 tunnel, časový server, síťové sondy apod. Pro dodržení takového krátkého výpadku bylo samozřejmě nutné si předem připravit konfiguraci switchů, optickou a metalickou kabeláž do vyvazovacích panelů a napájecí kabely (bílý a černý pro rozlišení napájecích větví). Celkový čas pro migraci jednoho serveru se započítáním těchto příprav byl tedy logicky delší. Kolegové měli tedy předem pro každý server připravený takový „jízdní řád“, kde měli uvedeno, do kterého U v racku má být umístěn s ohledem na rovnoměrné rozložení zátěže napájecí soustavy a do jakých portů na switchích zapojen.

V podstatě nejsložitější z celého dosavadního stěhování bylo domluvit výpadky a přestěhování těch serverů, které nebyly ve správě našich administrátorů. Naštěstí se vše povedlo domluvit hladce, v rozumných termínech a tímto všem zúčastněným děkuji.

Aktuálně máme kompletně přestěhován rack s produkcí FRED a mojeID, rack Laboratoří CZ.NIC a z 98 % rack s veřejnou VLAN. Dále ještě také všechny servery CSIRT týmu, které jsme mimo jiné v rámci plánovaného budoucího růstu rozložení napájení a efektivnější zaplnění umístili do vlastního racku.

Ukázka zaplnění prvních tří racků – veřejná VLAN, Laboratoře CZ.NIC a CSIRT

Ukázka zapojení switchů v racku Laboratoří CZ.NIC

Ukázka zapojení serverů v racku Laboratoří CZ.NIC

Procentuálním vyjádřením máme přestěhováno přibližně 60 % serverů.

Co ještě stihneme do konce roku?

Během listopadu bychom tedy rádi přestěhovali náš historicky první 100GE DNS stack, hlavní router a propoje do peeringového uzlu NIX.CZ a do tranzitu. V prosinci pak testovací prostředí FRED a mojeID a zbylé propoje, tj. okruhy mezi našimi ostatními datacentry. Ale o tom zase příště.

Kategorie:

Oblíbená kniha ON-LINE ZOO už je i k poslechu

Čt, 11/07/2019 - 09:40

V rámci projektu Bezpečně na netu vznikla první audiokniha Edice CZ.NIC. Předlohou se stala populární dětská knížka ON-LINE ZOO.

S touto knihou, která má za sebou již druhé vydání, jezdíme téměř rok po základních školách a městských knihovnách v České republice a povídáme si s dětmi na téma Internet a kyberbezpečnost. Úryvky z knihy si z našich úst vyposlechlo bezmála 800 dětí ve věku 5 až 9 let. Mladší žáci se od nás dozvídají, jaké jsou přínosy on-line světa, ale též, na co si zde mají dát pozor. Snažíme se je zbytečně nestrašit, spíše jim pomáháme se v nástrahách virtuálního prostředí zorientovat. Beseda je interaktivní. Dáváme dětem prostor se vyjádřit, ptáme se jich, jak by se v určitých případech zachovaly ony samy, a nabízíme jim návod, jak se některých situací vyvarovat.

Hlas naší první audioknize propůjčila divadelní a filmová herečka Bára Milotová, s níž jsme se prvně setkali v rámci letošní kampaně Týden rodiny offline a navázali spolupráci. Bára rozjela v roce 2018 projekt Audio dětem a letos založila neziskovou organizaci Prožij si to, kde se věnuje prožitkovému vzdělávání dětí formou divadelního zpracování témat dětské šikany, kyberšikany, poruch příjmu potravy v souvislosti s užíváním sociálních sítí, mediální gramotnosti a on-line závislostí.

Její snaha vrátit děti do světa poslouchání pohádek a tříbení vlastní fantazie bez použití mobilů a tabletů se nám velmi líbí a shoduje se s naším cílem oslovit nejen učitele, ale především rodiče. Těm chceme nabídnout zajímavou alternativu právě ke zmiňovaným digitálním technologiím, na kterých děti často bezmyšlenkovitě sledují pohádky a hrají hry. Pro některé rodiče jsou totiž tou nejspolehlivější „chůvou“.

Hudbu k audioknize ON-LINE ZOO složil Zdeněk Král, jehož možná malí posluchači znají z pořadu Hýbánky vysílaného na Déčku České televize. Zdeněk získal řadu ocenění a v roce 2018 dokonce cenu OSA jako nejúspěšnější skladatel vážné hudby.

Audioknihu si lze bezplatně stáhnout ve formátu MP3 na stránkách naší edice v celkové délce 22 minut.

Přejeme příjemný poslech.

Kategorie:

Vylepšení pro bezpečnější přihlašování do mojeID a další novinky

Čt, 10/31/2019 - 11:50

Dnes v noci jsme v rámci odstávky mojeID a několika dalších systémů nasadili několik novinek a oprav. Zajímavé jsou především pro uživatele a implementátory služby mojeID.

Nejdůležitější novinkou je zcela určitě zavedení další možnosti pro bezpečnější přihlašování pomocí mojeID. Fakt, že přihlašování pouhým heslem není dostatečně bezpečné, je obecně znám. Proto ve službě mojeID dlouhodobě aktivně podporujeme možnost zabezpečení přihlašování pomocí tzv. druhého faktoru, tj. podporujeme dvoufaktorové přihlašování. Kromě zadání hesla uživatel prokazuje, že se skutečně jedná o něho, a to schopností ovládat nějaký další prostředek ověření. V našem případě šlo dosud o možnost zasíláním jednorázových hesel na mobilní telefon (tzv. OTP, z anglického One Time Password) a potvrzování přihlášení ve speciální aplikaci telefonu, kterou jsme vyvinuli (MojeID Autentikátor).

Dnes v noci jsme, prozatím v pilotním režimu, přidali další možnost, ke které již mobilní telefon nepotřebujete. Jedná se o metodu, v níž se využívá FIDO2, což je otevřený standard pro autentizaci, která umožňuje dvoufaktorové ověření pomocí specializovaných USB / NFC / Bluetooth zařízení (jsou pak bezpečnostním/autentizačním tokenem) v kombinaci s podporou webových prohlížečů. Při implementaci jsme zavedli podporu pro nejnovější FIDO2 protokol, u kterého lze využívat druhého faktoru bez dalšího hesla a který je zpětně kompatibilní se starším FIDO Universal 2nd Factor (U2F).

Kdo se tuto moderní a bezpečnou metodu přihlašování rozhodne využívat společně s mojeID, nechť si ke svému účtu připojí zařízení, které lze jednoduše najít pomocí hledání klíčových slov „fido2 usb“ nebo „fido2 nfc“. Jsou běžně dostupná i na českém trhu za cenu dvou obědů (USB varianta). Další informace naleznete přímo ve svém profilu mojeID nebo v nápovědě.

Další novinkou, která souvisí s druhým přihlašovacím faktorem, je možnost jeho odstranění. To jde samozřejmě poměrně jednoduše přímo v účtu mojeID, pokud prostředek druhého faktoru máte v ruce. Když však přístup k němu ztratíte, bylo jeho odstranění do dneška poměrně komplikované.

O odstranění druhého faktoru jste dosud mohli požádat pomocí datové schránky, úředně ověřené žádosti nebo při osobní návštěvě, ale tento postup celé řadě uživatelů příliš nevyhovoval. Proto jsme dnes přidali další možnost, kterou je odebrání ověřováno zadáním ověřovacích kódů zaslaných e-mailem a SMS a heslem k účtu.

V profilu mojeID jsme také udělali několik změn, které by měly zjednodušit jeho správu. Editaci osobních údajů jsme rozdělili do dvou záložek a optimalizujeme způsob vytváření žádosti o validaci z profilu mojeID. Pro generování PDF žádostí (o validaci nebo o převod kontaktu z registru do mojeID se změnou údajů) nyní používáme výhradně nový nástroj (weasyprint). Takže budou nyní všechny žádosti ve standardizovaném PDF, opouštíme jejich HTML verze, u kterých bylo velmi složité zajistit jejich stejné zobrazení v různých webových prohlížečích.

Dále optimalizujeme zobrazení doménového prohlížeče v mobilních zařízeních a doplňujeme nápovědu pro skrývání adresy v doménovém prohlížeči. Také odstraňujeme chybu, díky níž viděl uživatel při přihlašování k některým službám varování: „Tento požadavek na přihlášení přes mojeID o sobě tvrdí, že přichází z jiné stránky, než tomu ve skutečnosti je. Zvažte, zda vůbec chcete pokračovat s předáváním údajů ze svého mojeID.“

Opravujeme také předávání offline údajů v OpenID Connect (řešíme specifický případu, kdy dojde při použití autentizační metody client_secret_basic bez client_id v POST k selhání logování v hlavičkách) a správu klíčů v OpenID (klíče předávané přímo při registraci klienta přes parametr jwks).

Zkrátka připravili jsme několik změn, které stojí za to vyzkoušet. Jsme velmi zvědaví na vaše zkušenosti, zejména s novou možností využití druhého faktoru pro přihlášení.

Kategorie:

Nový seriál #martyisdead ukazuje drsnou tvář Internetu

Út, 10/22/2019 - 09:10

Co vedlo dosud bezproblémového patnáctiletého Martina přezdívaného Marty k tomu, aby vzal do ruky mobil a natáčel se v situacích, ze kterých mrazí? A musel zemřít, aby jeho rodiče zjistili, jak úzkostné pocity a hrůzné chvíle před svou smrtí zažíval? Byl skutečně patologickou zrůdou nebo obětí systematického vydírání?

I na tyto otázky najdete odpovědi v novém seriálu #martyisdead, jehož první díl odvysílala internetová televize MALL.TV v neděli 20. října. Právě ve spolupráci s touto stanicí, sdružením CZ.NIC (projekt Bezpečně na netu) a společností Bionaut tento projekt vznikl.

Pro hraný seriál jsme se rozhodli proto, že po audiovizuálním formátu je ze škol největší poptávka a pro mladé uživatele je tato forma srozumitelnější. Novinka #martyisdead (trailer) se začala připravovat před více než rokem a předlohou jí byly skutečné případy. Seriál je unikátní i tím, že se tým scénáristů spojil s odborníky na rizikové chování na Internetu, psychology nebo policií, se kterými konzultoval jednotlivé scény. Thriller tak věrně zobrazuje postupy útočníků, které z dětí lákají intimní materiály nebo je vydírají. V návaznosti na seriál pak budou vznikat další doprovodná videa nebo metodiky, z nichž se rodiče, děti nebo učitelé dozvědí více informací k dané problematice. Například to, jak postupovat, pokud se s něčím podobným na Internetu setkáme.

Čísla, která nás motivovala přenést toto téma na obrazovky, jsou děsivá. Až osm procent dětí má zkušenost s vydíráním. Odhadem přes deset dětí ročně spáchá v České republice kvůli problémům na Internetu sebevraždu. I když o možných rizicích a predátorech děti vědí, jen dvě procenta z nich by se svěřilo svým rodičům. Tuto situaci se v rámci projektu Bezpečně na netu chystáme změnit a se seriálem se od ledna příštího roku chceme vypravit do několika desítek škol, kterým nabídneme projekci seriálu s následnou diskuzí s odborníky.

I když seriál odstartoval „až“ minulou neděli, podařilo se nám s ním na festivalu Serial Killer vyhrát cenu za nejlepší webseriál střední a východní Evropy. Věřím, že filmové zpracování tohoto těžkého tématu diváky zaujme a pomůže nám udělat Internet zase o něco bezpečnější.

O #martyisdead

Osmidílný thriller
Režie: Pavel Soukup
Scénář: Jaroslav T. Miška, Jan Stehlík
Kamera: Miloslav Holman
Hrají: Jakub Nemčok (Marty), Petra Bučková (Alena Biedermanová), Jan Grundman (Petr Biederman), Sára Korbelová (Kristýna), Matěj Havelka (Kryštof)

Kategorie:

Testování páteřních switchů pro privátní sál

Po, 10/14/2019 - 13:30

Po delší odmlce opět přicházím s pokračováním povídání o budování privátního sálu. Příprava na ostrý provoz nás docela zaměstnala, sál jsme úspěšně „rozsvítili“ a stěhování serverů začalo. Ale hezky popořadě.

Páteřní switche

Všechny páteřní metalické a optické kabely máme zavedené ve žlabech nad racky a tak přišly na řadu nové páteřní switche, jejich testování a oživování vůči jednotlivým access switchům.

Jako páteřní switche zde používáme dva Juniper QFX5200 obsahující 32x 10/25/40/50/100GbE QSFP+ portů, které jsou zapojené ve virtual chassis pomocí 100G DAC kabelů (dále VC porty). Jednotlivé access switche (v každém racku jsou samozřejmě dva) jsou s páteřními switchi propojeny dvěma MTP-MTP, MM, OM4 optickými patchordy, pomocí 100G QSFP28 SR transceiverů. Do páteřních switchů bude současně přímo připojeno produkční prostředí registru FRED, služby mojeID a DNS infrastruktury. To zajistíme pomocí tzv. break-out kabelů a ODF, kdy z každého portu na switchi osazeného 40G QSFP+ transceiverem „rozpleteme“ 4x 10Gbit uplinky k jednotlivým serverů.

Jak probíhalo testování páteřních switchů?

Obě QFXka jsme propojili port-channelem s LACP (dále ae interface), 2x10G s využitím 2x40G QSFP+ PLR, 2x LR rozplet 40G na 4x10G a 2x SFP+ LR se switchem Juniper EX3300. Na switchi jsme nastavili dvě testovací VLANy a dva access porty, jeden do každé z VLAN pro testování dostupnosti zařízení v případě upgrade SW, přepínání master/backup a změn v STP.

Pomocí dvou notebooků, dvou VLAN se dvěma různými subnety, zmíněného switche EX3300 s 2x 10G interfacy do QFX switchů a IRB interface na QFX jsme provedli níže uvedené testy a upgrade na poslední doporučenou verzi JUNOS. Na switchích bylo nastavené MSTP a porty k notebookům byly nastaveny jako EDGE. Při testech jsme posílali ping mezi oběma notebooky a zároveň na bránu (IRB interface v dané VLAN na QFX).

Ukázka z testování páteřních switchů

Upgrade SW jsme provedli nejdříve na backup instanci QFX, poté na master a to bez NSSU. Switch se během upgrade dvakrát restartoval, následně nastartoval do master stavu ve virtual chassis. V tu chvíli byly aktivní dva master switche a nefungoval mezi nimi VC porty. Switch EX3300 měl interface ae ve stavu UP, ale backup QFX switch viděl na své straně porty ve stavu DOWN, dokud nebyl proveden restart master instance. Reálně byl tedy dopad minimální, neboť měl switch EX3300 stále funkční uplink. Při restartu původního QFX master převzal ae interface původní QFX backup a vygenerovala se spanningtree TC. Edge porty to neovlivnilo, takže se vždy ztratily asi tři pingy v intervalu jedna sekunda.

Přepnutí master QFX instance tedy neznamenalo žádný ztracený ping, vypnutí celého master i backup switche také ne. Dále jsme zkoušeli postupné fyzické vytažení kabelů k virtual chassis portům, vždy bez výpadku. Samozřejmě jsme otestovali i kompletní rozpojení všech VC portů, což byl z pohledu dopadu na připojená zařízení nejhorší scénář. V tomto případě switch EX3300 udržel ae interface proti oběma switchům, reálně však ale fungoval jen ping v rámci daného subnetu. Oba QFX switche se tvářily jako master instance. A po opětovném zapojení jednoho z virtual chassis portů dokonce došlo k výpadku jednoho z ae portu na původním QFX backupu.

Vypnutí a současné zapnutí obou QFX switchů (odpojením napájení) znamenalo vyčkat, než nastartují do stavu, kdy si mezi sebou vybrali virtual chassis mastera. Ping následně fungoval v rámci VLAN i mezi nimi, ale QFX backup měl ještě po chvíli vypnuté porty. Dle očekávání odpojení jednoho z portů vedoucím do EX3300 neznamenalo žádný výpadek.

Dále jsme ještě testovali konfiguraci QFX a switchů Nexus řady 9300 s 48x 1/10/25G SFP+ a 6x 40/100G QSFP28 uplink porty. Jednolivé testování již jen v bodech:

  • interface s trunkem a nativní VLAN

  • interface s trunkem a MSTP

  • interface s Q-in-Q

  • L3 interface

  • mirroring port

  • dva různé STP regiony a Q-in-Q

Oživení privátního sálu

Páteřní switche a hlavní switch pro management (zatím jeden) jsme oproti původnímu umístění v racku posunuli těsně nad sebe a 2U vyvazovací panely umístili nad a pod switche. A to z prostého důvodu, že se lépe manipuluje s transceivery a patchordy. Z kabelovny máme do páteřní ODF přivedené čtyři 12vláknové kabely, ze kterých jsme zatím použili 2x dvě vlákna pro propoj mezi současnou lokalitou. Ty jsme propatchovali do obou páteřních switchů na 10Gbitu a po rozsvícení LINKu na obou portech jsme mohli začít stěhovat servery. Ale o tom až zase příště.

Ukázka vybavení páteřního racku

Kategorie:

Představujeme vám naši aplikaci První Psychická Pomoc

Po, 10/14/2019 - 11:33

V rámci Laboratoří CZ.NIC jsme byli osloveni pracovníky skupiny Sekce psychologie krizí, katastrof a traumatu při ČMPS (Českomoravská psychologická společnost) s žádostí o vytvoření mobilní aplikace První psychická pomoc (ve zkratce PPP), která by byla pomůckou nejen pro příslušníky bezpečnostních sborů, ale i pro lidi v neziskových organizacích. V aplikaci, která je již k dispozici na Google Play a App storu, najdou zájemci strukturovaný přístup pomoci ke stabilizaci člověka, který se dostal do náročné životní situace. První psychickou pomoc můžeme přirovnat k té zdravotní, jež slouží k zajištění základních životních funkcí člověka, než je předán do další odborné péče. V první psychické pomoci se snažíme člověka, který v danou chvíli není schopen uplatnit své mechanismy zvládání stresu, podpořit a redukovat jeho distres tak, aby situaci zvládl sám, případně věděl, na koho se může obrátit pro pomoc. Obsahem aplikace je kromě rad a postupů i seznam vhodných odkazů a kontaktů.

Psychologie krizí je obor, který se celosvětově rozvíjí, a to především v posledních dekádách. Tento obor vychází zejména z poznatků sociální, forenzní a klinické psychologie, psychologie zdraví, psychologie práce a organizace, interkulturní a vývojové psychologie apod. Jako i v celé řadě dalších případů i zde je podstatná mezioborová spolupráce s odborníky z mnoha dalších oblastí (urgentní medicína, bezpečnost, ICT technologie atd). Mezi zakládající členy Sekce psychologie krizí, katastrof a traumatu při ČMPS, která vznikla v roce 2010 v reakci na podnět stálého výboru pro psychologii krizí a katastrof EFPA, patří psychologové z oblastí bezpečnostních sborů, jednotek IZS, klinické praxe a akademické sféry. Cíle a poslání této sekce jsou především rozvoj oboru, spolupráce a propojení českých a zahraničních trendů, přenos informací odborníkům a osvěta laické veřejnosti (více informací zde).

Zástupci této Sekce psychologie krizí, katastrof a traumatu při ČMPS nám dodali veškeré odborné podklady potřebné pro vytvoření aplikace PPP. Naším úkolem potom bylo jejich zapracování a vytvoření grafické podoby aplikace. Návrh a výsledek můžete porovnat sami na obrázcích. Samotnou aplikaci potom najdete na Google Play nebo App storu.

Jsme moc rádi, že jsme se mohli podílet na tomto projektu a pomoci tak dobré věci. Ať je aplikace prospěšná a dobře slouží!

Kategorie:

Když méně (technologií) znamená více

Čt, 10/10/2019 - 14:20

Minulý měsíc jsem se na pozvání kolegů z polského Safer Internet Centra zúčastnila konference „Keeping Children and Young People Safe Online“. Jedno z hlavních témat této akce bylo, jak digitální svět spolu s IoT (Internet of Things) zasahuje do našeho života. Vyslechla jsem mnoho zajímavých příspěvků a diskuzí, což mě přimělo se nad tématem znovu zamyslet, shrnout získané poznatky a doplnit své osobní postřehy a doporučení.

Většina domácností se již běžně skládá z chytrých telefonů a televizí. Někteří lidé držící krok s vývojem moderních technologií používají i chytrou ledničku, topení či osvětlení. Mnozí rodiče malých dětí jdou však ještě dále a zřejmě díky fascinaci technologiemi pořizují on-line „chůvičky“, monitory dechu či dokonce chytré plínky.

Vedle četných bezpečnostních aspektů je však namístě se zamyslet i nad tím, kde se nachází ta správná hranice pro množství „smart“ přístrojů v naší domácnosti a do jaké míry nám ještě pomáhají a kdy už nám začínají spíše škodit. Ať už se jedná o zdravotní rizika, nebo stoupající míru závislosti na moderních technologiích někdy přecházející až v absenci používání „zdravého selského rozumu“.

Podle Elizabeth Milovidov, právničky a koučky v oblasti digitálního rodičovství, působí on-line hry na děti stejně návykově jako alkohol na dospělé. Dětem se hraním her mění chování a u některých se dokonce zvyšuje míra agrese a snižuje pozornost. Měli bychom si tedy každý zvážit, zda prostředí, ve kterém žijeme, není už náhodou přespříliš digitalizované a zda bychom si svůj vnitřní svět neměli chránit tím, že se budeme více věnovat off-line aktivitám.

Mnohem lépe než příkazy a zákazy můžeme své děti ovlivnit tím, že jim půjdeme příkladem a budeme si počínat tak, jak si přejeme, aby se chovaly ony.

K tomu nám pomůže nastavení rodinných pravidel, která mohou znít například takto:

  • nepoužíváme mobilní telefon u jídelního stolu,
  • v průběhu rozhovoru nenahlížíme do displeje mobilního telefonu,
  • v autě nepoužíváme mobilní telefon, pouze v případě nutnosti,
  • telefon nabíjíme pouze v předsíni, kam jej pokládáme i před spaním (případně určíme jinou místnost),
  • v noci mobilní telefon nepoužíváme, i když nemůžeme spát,
  • v sobotu či v neděli odpoledne máme digitální detox (samozřejmě dle aktuálních možností).

Na závěr bych chtěla zmínit už jen osobní postřeh. Po návratu z konference jsem ve svém pokoji zahlédla zárámovaný nápis „Home is where the wifi is“. Musím říci, že mi z toho bylo úzko, jak moc jsme nechali on-line svět vstoupit do toho reálného. Je však na každém z nás, jak se k tomu postavíme. Pokud zavedeme nové domácí zvyklosti, čímž omezíme používání digitálních technologií, prospějeme tak nejen svému zdraví, ale i duševní pohodě, která je v naší uspěchané společnosti obzvláště důležitá. Brzy jistě přijdeme na to, že nám mobilní telefon tolik nechybí a je nám někdy bez něj lépe.

Kategorie:

Další 10GE posílení .CZ anycastu

St, 10/09/2019 - 14:00

Dovolte mi další krátký díl našeho „nekonečného“ seriálu o zvyšování bezpečnosti provozu DNS pro .CZ doménu. Zřejmě proto, že jeho poslední zveřejněný díl znamenal upgrade v řádu 100 GE, a také proto, že naši administrátoři mají plné ruce práce se stěhováním do privátního sálu, tento vychází poněkud zpožděný a navíc z mé klávesnice.

Faktem ale je, že na naší mapě nodů DNS anycastu pro .CZ doménu přibyl 4. července další, tentokrát italský – umístěný konkrétně v milánském peeringovém centru – MIX. MIX patří mezi dvacítku nejvýznamnějších peeringových uzlů Evropy, navíc se nám zde podařilo domluvit dobré ekonomické podmínky hostování a připojení našich technologií. Po zkušenostech z předchozích vzdálenějších (hůře dostupných automobilem) instalací jsme volili postup, kdy jsme předkonfigurované servery poslali v předstihu přepravní službou a na jejich zapojení a zprovoznění jsme poté vyslali administrátora letecky. Předchozí varianta, kdy jsme tu druhou část domlouvali s pracovníky v peeringovém centru, se vší úctou ke snaze na obou stranách, selhávala a nevedla k rychlému dosažení cíle. Umístění serverů do připraveného racku a zapojení všech portů podle naší dokumentace je práce pro našeho technika na jedno odpoledne a výsledek si pak můžeme i zadokumentovat.

V MIXu jsme zprovoznili malý DNS stack sestávající z pětice serverů: jeden v roli management serveru, jeden v roli síťové brány a zbývající tři slouží k odbavování DNS provozu, přesně, jak je zobrazeno na tomto schématu.

Management server v pravidelných intervalech stahuje z master DNS serverů .CZ zónu a pak ji dále servíruje na jednotlivé DNS servery. Dále tu běží monitoring serverů a jejich služeb. Do tohoto serveru jsou zapojené out of band management porty zbývajících částí stacku. Na DNS servery jsme v rámci snahy o co největší diverzitu DNS anycastu zvolili NSD do role DNS daemona. Síťovou branou je samostatný server, který má oproti zbytku stacku síťová rozhraní navíc a běží na něm BGP daemon, který do zbytku světa oznamuje naše anycastové adresy. Jako routovacího daemona jsme použili FRRouring, což je živější fork známějšího projektu Quagga. Osvědčený BIRD tentokrát ustoupil požadavku na různorodost prostředí. Z pohledu operačního systému jsme zvolili osvědčenou klasiku – distribuci Debian Stretch s backportovaným jádrem a se zkompilovanými nejnovějšími ovladači pro síťové karty. Nejnovější ovladače používáme proto, že občas bývají problémy s kompatibilitou mezi verzemi firmware síťových karet a jejich podporou v distribučních ovladačích.

Po navázání peeringu s route servery v MIXu se nám s nimi zpočátku v pravidelných intervalech spojení rozpadala a přestávala fungovat IPv6 konektivita, což se nám poměrně rychle podařilo vyřešit pomocí zvětšení route cache. Samotné zprovoznění peeringu vyžaduje často změny v konfiguraci na některé z peeringových stran nebo nutnost kontaktování peeringových partnerů z důvodu jejich absence na peeringových uzlech, případně proto, že tam neoznamují všechny prefixy. Nebylo tomu jinak ani tentokrát a tato část tedy zabrala nějaký ten den navíc.

Po několika nezbytných testech jsme mohli začít oznamovat naše anycastové adresy do MIXu, přepnout celý stack do ostrého provozu a přidat tak další opěrný bod pro DNS provoz .CZ domény ve světě.

Kategorie:

MojeID a Účtenkovka

Út, 10/08/2019 - 14:20

V říjnu tomu budou dva roky, co ministerstvo financí spustilo hru Účtenkovka, v níž se každý měsíc losuje ze zaregistrovaných účtenek o více než 20 tisíc cen v hodnotě od 100 do 1 milionu korun. Nedílnou součástí této loterie je i naše služba mojeID, která přichází na řadu v momentě, kdy je soutěžící vylosován jako výherce peněžní odměny v hodnotě 100 tisíc, 200 tisíc, 300 tisíc a 1 milion korun.

Takto vysoké částky mohou být vyplaceny jen bezhotovostně. Proto je pro jejich předání nutné ověřit totožnosti výherce a to jednoduše prostřednictvím naší služby mojeID.

Abyste měli plně ověřený účet mojeID, musíte projít takzvanou validací. Tu provedete díky žádosti, kterou si generujete v sekci Nastavení ve správě účtu mojeID.

Validaci účtu je možné provést několika způsoby:

Přes datovou schránku. Žádost o validaci zašlete do datové schránky sdružení CZ.NIC, kterou naleznete pod ID h4axdn8.

Druhou možností je CzechPoint. V tomto případě je nutné žádost vytisknout a zajít s ní na nejbližší pobočku. Není třeba se obávat vyplňování, na každé žádosti je podrobný popis toho, co po každém pracovníkovi pobočky chtít. Validaci přes CzechPoint také podrobně popsal kolega Petr Peterka ve svém blogu; do něj přidal i názorné ukázky s podrobným návodem.

Díky spolupráci se sítí městských knihoven lze podat žádost o validaci i na některé z poboček. V tomto případě je třeba mít vytisknutý formulář a občanský průkaz. Žádost s údaji je pak zaslána na naše pracoviště.

Validovat účet mojeID lze i na pobočkách České pošty. Vytištěnou žádost si necháte úředně ověřit a originál žádosti zašlete na naši adresu CZ.NIC z.s.p.o., Milešovská 5, Praha 3, 130 00.

Poslední možností je přímo naše sdružení. Pokud máte cestu kolem, stavte se a my vám zde vytiskneme žádost a rovnou vás také ověříme (zvalidujeme). Potřebujete jen občanský průkaz.

Validaci účtu, tedy ověření vaší osoby jakožto „hráče“, je nutné provést a výhru si vyzvednout ve lhůtě 60 dnů od okamžiku, kdy se dozvíte, že jste něco vyhráli.

Veškeré informace o mojeID jsou k nalezení také na webu služby. Zde je uveden podrobný návod a zároveň odpovědi na nejčastější dotazy.

Pro úplnost uvedu, že pokud je výhra nižší než 20 tisíc korun (100 korun nebo 1 000 korun), je zasílána na účet, nebo si ji můžete vyzvednout osobně v sídle společnosti SAZKA (K Žižkovu 851, Praha 9). V tomto případě tedy není třeba provádět validaci účtu mojeID.

Věřím, že vám tento stručný návod pomohl zorientovat se v tom, v jakém vztahu je mojeID a portál uctenkovka.cz a také, jak se zachovat v případně výhry. Nyní už jen zbývá popřát hodně štěstí!

Kategorie:

Nové ODVR již odbavuje více než 20 procent provozu

Čt, 10/03/2019 - 11:37

Dnešní krátký článek bych rád pojal jako velké poděkování! Komu? Všem těm, kteří nejen že pomohli s otestováním nových Otevřených DNSSEC Validujících Resolverů po jejich spuštění v květnu tohoto roku, ale dále zkouší nově zavedenou podporu DNS-over-TLS a DNS-over-HTTPS a v neposlední řadě systematicky přecházejí na systémech ve své správě právě na nové ODVR.

Nové ODVR nabízí, kromě podpory výše zmíněných nejmodernějších protokolů, výkonově silnější infrastrukturu, zcela oddělenou od infrastruktury anycastu pro .CZ doménu. K oddělení jsme přistoupili zejména ve vazbě na pokračující zvyšování robustnosti DNS infrastruktury pro .CZ doménu. Nyní postupně směřujeme k vypnutí původního ODVR, zejména anycast části, která sdílí prostředky (hardware, IP adresy) s částí anycastu pro .CZ doménu. Proto jsme minulý týden zveřejnili výzvu k přechodu na nové ODVR a rozeslali ji i správcům TOP 30 sítí, ze kterých přichází největší provoz na původní ODVR. Jsme velice rádi, že ji celá řada vyslyšela (například Vodafone & UPC, Master Internet nebo VSHosting) a jak ukazuje graf rozložení požadavků mezi jednotlivé části ODVR infrastruktury, zvýšení provozu na novém ODVR anycastu za poslední týden výrazně vzrostlo, přesahuje již 20 procent.

Opravdu nás těší, že měníte nastavení svých zařízeních a pomáháte tak přibližovat moment, kdy původní ODVR platformu, zejména původní anycast část, vypneme. Právě u té původní anycast části předpokládáme, že by její podíl na celkovém odbavování provozu mohl poklesnout do řádu jednotek procent ještě do konce tohoto roku a to by tedy byl pro nás jednoznačný impuls pro její vypnutí.

Proto prosím znovu, zapomeňte na původní IP adresy ODVR, přejděte na nové! Zapomeňte prosím na: 217.31.204.130, 2001:1488:800:400::130 a 193.29.206.206, 2001:678:1::206, přejděte včas na: 193.17.47.1, 2001:148f:ffff::1 a 185.43.135.1, 2001:148f:fffe::1.

Kategorie:

Můj Den offline

Čt, 09/26/2019 - 09:00

Během seminářů, které pořádáme v projektu „Bezpečně na netu“ radíme, aby si děti i rodiče vyzkoušeli, jaké je to být třeba jen jeden jediný den bez mobilu. Přiznávám se, že sám jsem se k tomu zatím nikdy nedostal. Až do minulé soboty 21. září, na kterou připadl český Den offline.

Zprvu jsem si říkal, že pro odpojení od všudypřítomné „sítě sítí“ jsem si nevybral zrovna nejlepší den. Čekala mě totiž cesta z ICT Proposers Days v Helsinkách. A cestování člověka k používání mobilu svádí mnohem více, než kdyby byl např. jen doma na zahrádce. Nicméně jsem to vzal jako výzvu a nyní se rád podělím o své postřehy potvrzující, že na mnoho činností mobil skutečně nepotřebujeme. Byť to tak na první pohled nevypadá.

Vstávání

Ráno mi letí letadlo v půl desáté, což znamená vyrazit před půl osmou z hotelu. Budíček tedy nejpozději na sedmou. Mobil mám již od večera preventivně vypnutý, takže zvažuji, zda požádat recepci o buzení klasickým telefonem (ano, z domácností vymizely, ale na většině hotelových pokojů ještě jsou) nebo se spolehnout na svůj vnitřní budík. Nakonec vítězí druhá možnost, neboť moje svědomí bojuje s tím, že i starý dobrý telefon je vlastně telefon. Můj budík mě naštěstí nezklame a probouzím se před půl sedmou. První meta dosažena.

Cesta na letiště

Bez mučení přiznávám, že při používání MHD jsem si již zvykl na Google navigaci. Moji výhodou v Helsinkách je, že bydlím asi jen 5 minut chůze od stanice vlaku, který jede přímo na letiště. Večer si tak zjišťuji intervaly, abych si mohl cestu lépe naplánovat. Ve skutečnosti vlak jede jinak, než podle jízdního řádu, který mi den předtím našel Google, ale nevadí. Čas odjezdu svítí na tabuli a finským dráhám věřím. První okamžik, kdy zalituji toho, že nemohu použít mobil, přichází, když v protisměru přijíždí vlak, na kterém je obrázek krtečka s deštníkem. Myslím, že v Čechách by fotka sklidila úspěch.

Check-in

Na letiště přijíždím s plánovaným předstihem. Finské letiště Vantaa je již do vysoké míry digitalizované, takže celý check-in probíhá za využití samoobslužných automatů téměř bez lidské přítomnosti. Nejdříve si vytisknout palubenku (naštěstí funguje načtení občanky a systém nevyžaduje rezervační kód, který jsem si zapomněl přepsat z mobilu) i štítek na kufr. Pak si štítek sám nalepím, na dalším automatu zvážím a pošlu do útrob letiště. Při pohledu na mizející kufr přemýšlím o tom, co asi budou za pár let dělat slečny a mladí pánové, kteří sedí za check-inem v Praze i dalších městech. A neubráním se vzpomínkám na mizející pokladní, které jsou již v mnohých supermarketech nahrazovány samoobslužnými pokladnami. Zatímco tato povolání mizí, z nás se pomalu nevědomky stávají pokladní a pracovníci letištního odbavení.

Čekání a let

Absenci mobilu začínám trochu výrazněji pociťovat při téměř hodinovém čekání na letadlo. Chvíli mi zabere obcházení duty-free obchodů, pak čas místo surfování zaháním pozorováním lidí a přemýšlení nad tím, co je k dnešní cestě vedlo, případně, zda se jedná o pár či kolegy. V letadle mobil většinou nepoužívám a tak mi ani nechybí. Zato vedle mě sedící mladík stále dost znuděně kouká do svého přístroje a na mě až příliš často přepíná mezi čtením a hrami. Já se jen usmívám :-).

Zatím asi nejvíce absenci mobilu pociťuji po přistání, kdy je má rodina zvyklá obdržet zprávu, že jsem v pořádku přistál. Na to, že budu offline jsem je připravil a jak se nakonec ukázalo, SMSka typu „Právě jsem přistál v Praze“ jim nakonec ani moc nechyběla. Ruku na srdce – kdyby náhodou naše letadlo spadlo, tak už stejně žádnou SMSku nepošlu a ve zprávách to bude pravděpodobně dříve, než bychom měli přistát.

Cesta z letiště

Cesta z pražského letiště je pro mě bez mobilu přirozeně snazší, než na letiště v Helsinkách. Jediný moment, kdy trochu lituji absence mobilu a IDOSu je ve chvíli, kdy by se mi hodilo ověřit, zda je z Dejvické výhodnější jet tramvají či autobusem. Nakonec intuitivně volím autobus. I přes delší čekání nakonec jede dříve, než tramvaj, byť další přestup stíhám s vyplazeným jazykem. Ale ani zde by mi ale mobil nepomohl.

Odpoledne doma

Udělat si oběd z polotovaru naštěstí zvládám i bez internetové kuchařky. Odpoledne plánuji cestu za rodiči a tak řeším co s volnou hodinou a půl. Nebýt Dne offline, asi bych se vrhnul na promazávání e-mailů, zpracování fotek či bezcílné procházení Internetu. Místo toho si chvilku čtu časopisy a pak jdu na zahrádku udělat věci, které mi již delší dobu žena připomíná. Byť si nemyslím, že bych patřil mezi náruživé uživatele telefonu nebo sociálních sítí, v tento okamžik si uvědomuji, kolik času mi, byť často po malých kouskách, mobil bere a že i za půl hodiny se dá udělat spoustu práce. Ostatně, věděli jste, že průměrný Čech stráví na sociálních sítích 143 minut? Tj. téměř dvě a půl hodiny denně!

U rodičů

Na cestu k rodičům většinou mobil nepoužívám ani v jiné dny a tak mi to nedělá problém ani na Den offline. U našich pak přichází obdobný efekt, jako po obědě se zahrádkou. Místo chvilek na mobilu si více povídáme či si čtu.

Druhý den

Nevím, zda za to může absence modrého světla, změna prostředí či únava z cesty, ale ráno spím téměř do osmi, což se mi již delší dobu nepodařilo. Když pak dopoledne po více než 24 hodinách offline zapínám mobil, zjišťuji, že mi nikdo nevolal, neposlal žádnou SMSku ani vzkaz přes WhatsApp či Facebook a v pracovním e-mailu mám jen jednu zprávu. Zároveň si uvědomuji, že jsem předchozí den měl mnohem více příležitostí na přemýšlení a věnování se vlastním myšlenkám. Připomínám si rozhovor se socioložkou Karolínou Presovou na iHned, který jsme nedávno odemkli všem našim příznivcům. Při tom si uvědomuji, kolik dobrých nápadů jsem dříve dostal např. ve vlaku.

Den offline tak mohu všem jen doporučit. Věřte, že vám nic neuteče a naopak možná dostanete pár dobrých nápadů. Pokud příští rok do dne offline zapojíte nejen sebe, ale i svoji rodinu, možná vám ani nepřijde, že jste offline. Jak jsem si sám vyzkoušel, odpojit se jde i při cestování, kde jsme se postupně naučili na mobil v nejedné situaci spoléhat.

Kategorie:

Agentura ENISA školila v Akademii CZ.NIC bezpečáky

St, 09/18/2019 - 08:55

Jednou z hlavních úloh CSIRT.CZ je pomoc s řešením incidentů, a aby taková činnost mohla být maximálně funkční a profesionální, zasednou občas i členové CSIRTu „do lavic“. Letos Národní bezpečnostní tým CSIRT.CZ poprvé uspořádal ve spolupráci s evropskou agenturou ENISA dvě technická školení. Co se školilo? Kdo se školení účastnil?

Ve dnech 5. a 6. září proběhlo v prostorách Akademie CZ.NIC celodenní školení v anglickém jazyce pod vedením zahraničních lektorů, které bylo zaměřené na Mobile Threats & Incident Handling a Malware Analysis and Memory Forensics.

Jsme velmi rádi, že se v České republice dlouhodobě daří budovat kvalitní infrastrukturu bezpečnostních týmu CSIRT a proto, když jsme dostali nabídku agentury ENISA na bezplatné proškolení členů našeho týmu, rozhodli jsme se, že se o tuto příležitost podělíme a nabídneme kurz také všem bezpečnostním týmům, které jsou v ČR oficiálně konstituovány.

Mimo samotné vzdělávání členů CSIRT.CZ bylo cílem aplikovat myšlenku rozšíření bližší spolupráce CSIRTů v ČR (ale také i na Slovensku), která dosud probíhá především v technické rovině řešení incidentů apod. a formálního setkávání se na konferencích, dále do roviny edukační. Každé takovéto školení je totiž zároveň příležitostí vyměnit si vlastní zkušenosti s danou problematikou.

Co se týká samotného školení, zúčastnili se ho technicky zaměření členové z CSIRTů z celé republiky a také zástupce jednoho CSIRT týmu ze Slovenska.

Kurz Mobilní systémy a Incident handling byl zaměřen na:

  • práci s mobilními platformami,
  • seznámení se s nástroji používanými pro Mobile Incident Handling,
  • seznámení se s mobilními aplikacemi,
  • statickou analýzu malware na mobilních systémech.

V rámci druhého kurzu na téma Forenzní analýza operační paměti se účastníci obeznámili s:

  • aplikací klasifikačního schématu pro incidenty,
  • konceptem triage a základy incident handlingu,
  • způsoby získání obsahu operační paměti,
  • práci s nástrojem Volatility.

Školení ve spolupráci s ENISou se stalo prvním a rozhodně ne posledním v řadě kroků, kterými bychom rádi přispěli k výměně zkušeností a šíření znalostí mezi bezpečnostními týmy. Závěrem mi dovolte poděkovat kolegům z Akademie CZ.NIC za skvělou přípravu kurzu a agentuře ENISA za její ochotu bezplatně sdílet vlastní know-how.

Kategorie:

Mozilla řeší problémy IoT pomocí routeru Turris Omnia

Čt, 09/05/2019 - 13:20
IoT

Internet věcí nebo-li IoT je dnes hojně diskutované téma a nejen to, jako by se s těmito důmyslnými přístroji roztrhl pytel. Hlavně společnosti vyrábějící různá elektronická zařízení, jako jsou žárovky, elektrické vypínače, teploměry, váhy, kamerové systémy a tak podobně, se je snaží udělat chytřejší. Vždyť cokoli může být chytré – dokonce i záchod. Jediné, co je potřeba udělat, je něco změřit, nebo nahradit manuální vypínač za elektronický, a potom ho připojit k Bluetooth, ZigBee, ZWave nebo dokonce Wi-Fi a máte chytré zařízení, za které lidi zaplatí nemalý peníz. Má to ale pár háčků (kromě toho, že ne všechna tato zařízení dávají smysl).

Společnosti, které dnes vyrábějí inteligentní zařízení, obvykle vědí, jak udělat skvělý hardware. Mají s tím dlouhodobé zkušenosti a jsou oprávněně hrdé na to, co dělají. Ale co software? To je pro ně typicky velká neznámá. Ale přece to nemůže být tak těžké, ne? U někoho se najde čip, na kterém je Wi-Fi a nějak se připojí ke kusu hardwaru. Někdo jiný má zase na Internetu hezkou webovou službu, která dělá zhruba to, co je potřeba. Spojí se to tedy dohromady a je tu chytré zařízení – problém se softwarem je vyřešen, vrátíme se k té důležité části – hardwaru.

Problém tohoto přístupu je ale v tom, že softwarový průmysl je tady už také dlouho. Naučili jsme se, že nesmíme podceňovat bezpečnost. To, co bylo považováno za bezpečné před deseti lety, je dnes vysoce zranitelné. Udržování aktualizovaného softwaru je pro zabezpečení velmi důležité. Soukromí je také něco, co dnes vyžadují i běžní uživatelé, takže nad odesíláním osobních údajů službám třetích stran se leckdo pozastaví.

Mozilla mění svět IoT

Jaký je tedy pohled na současný stav světa IoT? Dost často nezabezpečený chaos, ve kterém zařízení nemohou navzájem komunikovat jinak než přes několik cloudů. Společnost Mozilla se rozhodla tomu pomoci a napravit tuhle zmatenou situaci. Problémy s IoT, které jsem uvedl v předchozí části, jsou dány nekompatibilitou – absencí standardizovaných API a nedostatečnou důvěryhodností, kdy jsou osobní údaje nebezpečným způsobem odesílány bůhví kam.

Ve snaze o řešení těchto problémů přišla Mozilla s Web Thing API. Abstrakční vrstvou pokrývající různá zařízení IoT. Pokud by se spojily jednotlivé brány/zařízení/cloudy různých majitelů, mohla by být interakce mezi zařízeními napříč dodavateli mnohem jednodušší. Zároveň by to otevřelo prostor pro to, aby vznikly další služby využívající toto API – třeba aplikace pro správu chytré domácnosti a podobně. Pomohlo by to také dalšímu problému – bezpečnosti. Mohly by vzniknout bezpečné služby a možná dokonce i takové, které poběží u vás doma a budou bezpečně uchovávat data lokálně. Máte-li software, který ovládá všechna data z vašeho chytrého domova umístěný fyzicky doma v nějakém zabezpečeném zařízení, příležitostí na vás útočit je mnohem méně. Bez automatických aktualizací jsou ale jednotlivá zařízení stále lokálně zranitelná, nicméně útočník by vás musel fyzicky navštívit u vás doma, aby mohl útok vůbec vyzkoušet.

Mozilla šla ve své snaze ještě dále. Vytvořila také aplikaci, která přijímá data z vašich IoT zařízení, následně je shromáždí a zobrazí. Plus vám umožní kontrolu samotných zařízení. Lze si je hezky zobrazit na půdorysu a můžete si vytvořit bezpečný tunel pro přístup k vlastní bráně z celého světa. Je to uživatelsky přívětivé, a to přímo u vás doma.

Na scénu vstupuje Turris

Jakou roli tedy v tomto úsilí hraje Turris? Mozilla udělala spoustu zajímavých a užitečných věcí. Ale koneckonců software musí někde běžet. Turris Omnia je router, který má automatické aktualizace a i jiná bezpečnostní opatření, jako je distribuovaný adaptivní firewall a honeypoty. Je také zcela otevřený. O výkonu ani nemluvě. Hezky se k Mozille hodí nejen svojí filozofií, ale také z praktického hlediska. Pro Turris je velice snadné vytvořit vlastní software a i obecně si router přizpůsobit.

A přesně to udělala Mozilla. Vzali náš operační systém, začlenili do něj svůj software a vytvořili vlastní obraz se všemi již integrovanými funkcemi. To je jedna z velkých výhod open source – umožňuje lidem řešit problémy, které jsou důležité pro ně.

Samozřejmě preferujeme spolupráci, při které balík může být hezky integrován do distribuce a UI a v míru koexistovat s ostatními věcmi, které dodáváme. To je něco, na čem pracujeme s Mozillou, ale nástroje, které poskytujeme, jim umožňují velmi snadno vytvořit vlastní vydání s využitím toho nejnovějšího a nejlepšího z obou projektů.

Jedno varování na závěr. I když to je snadné, oficiálně na našem zařízení nepodporujeme jiné OS, jelikož u softwaru jiných výrobců nemůžeme zaručit shodu se všemi předpisy a také se může stát, že si nainstalujete něco, co bude silně opotřebovávat vnitřní flash paměť (jako databáze a jiné aplikace náročné na diskové operace). Takže se dobře zamyslete nad možnými důsledky než si nainstalujete jiný software.

Kategorie:

Příprava síťové infrastruktury a základní osazení racku

St, 08/28/2019 - 06:50

Po všech přípravách „na sucho“ začínáme skutečně pracovat na síťové infrastruktuře privátního sálu aneb dokud se netahají kabely není to žádná práce! Minulý týden jsme se tedy pořádně protáhli a vyzkoušeli si práci na štaflích, když jsme do předem připravených žlabů pečlivě zaváděli metalické a optické kabely a také jsme do racků namontovali předem připravené switche a vyvazovací panely.

Pro jednotlivé typy kabeláže máme vyčleněny dva kovové žlaby nad racky výhradně pro IT technologie. Horní žlab je určený pro metaliku, spodní pak pro optiku, kde předpokládáme větší množství kabelů. Sem také ústí vlákna z centrálního propojovacího místa budovy datacentra. Abychom zabránili nežádoucímu ostrému zalomení optických kabelů, máme nad každým rackem umístěné tzv. kabelové svody, viz obrázek níže.

Kabelový svod z drátěného žlabu nad racky

Metalická kabeláž

Metalické kabely Cat6 používáme převážně pro oddělenou managementovou síť, tj. pro IPMI/iDrac/iLo rozhraní serverů, dále k připojení konzolových serverů, managementů switchů a pro uplinky serverů, které nejsou osazeny 10Gbit síťovou kartou a čekají na svojí pravidelnou obměnu. Jednotlivé patchcordy rozlišujeme barevně dle použití:

  • šedá: páteřní propojení managementové sítě a nebo první uplink k serverům,
  • modrá: druhý uplink k serverům,
  • červená: připojení IPMI/iDrac/iLo rozhraní serverů,
  • zelená: připojení konzolových serverů, patchordy jsou zapojené jako rollover,
  • bílá: připojení managementů switchů.

K dnešku máme zavedeno 18 páteřních metalických kabelů, v délkách 5 až 16 metrů, do sedmi racků a ke čtyřem konzolovým serverům. Ke každému management switchi v racku vedou dva patchordy. Jeden je zapojený, druhý připraven pro případné pozdější použití. Tyto kabely končí v páteřním racku, kde je umístěn (zatím) jeden hlavní MGMT switch. Jakmile provedeme všechny plánované migrace a obměny zařízení, doplníme jej o druhý kus kvůli redundanci.

Optická kabeláž

V optické infrastruktuře, kterou budeme používat výhradně pro připojení switchů a serverů, jsme zatím položili 6 páteřních optických kabelů MTP-MTP, MM, OM4 v délkách 12 až 14 metrů do třech racků, kterými začínáme 1. fázi migrace. Do každému racku vedou dva tyto kabely, abychom zajistili redundanci access switchů a jsou stejně jako metalické kabeláže ukončeny v páteřním racku.

Dále jsme propojili tzv. breakout kabely MTP-4xLC(D), v délkách 3 až 7 metrů, páteřní rack s 1. velkým DNS stackem (10 kabelů) a s produkcí FRED/mojeID (8 kabelů).

Vedení optické infrastruktury v drátěném žlabu nad racky

Zakončení optické a metalické infrastruktury v páteřním racku

Optické breakout kabely MTP-4xLC(D)

Základní osazení racku

Ve většině racků jsou umístěny dva access switche, jeden management switch a horizontální vývazovací panely. Vybrané racky mají navíc zepředu umístěn také konzolový server.

Konkrétní základní osazení racku v jednotlivých U vypadá následovně:

Pozice U Zařízení 52-49 volno 48 back: management switch 46-47 back: 2U vyvazovací panel (47) (front: konzolový server) 45 back: access switch 44-43 back: 2U vyvazovací panel 42 back: access switch 41-40 back: 2U vyvazovací panel

Základní osazení síťových prvků v racku

První výjimkou jiného rozložení je páteřní rack, ve kde se nacházejí páteřní management a access switche, ODF (mimo jiné s vlákny vedoucí do centrálního propojovacího místa budovy datacentra) a router.

Pozice U Zařízení 52-51 volno 50 back: ODF … … 32-28 front: 5U router 27 back: páteřní switch 26-25 back: 2U vyvazovací panel 24 back: páteřní switch 23-22 back: 2U vyvazovací panel 21 back: páteřní management switch 20 front: konzolový server 20-19 back: 2U vyvazovací panel 18-1 volno

Další výjimkou je rack s prvním velkým DNS stackem a rack s produkcí FRED/mojeID. Oba mají na pozici 50U ODF a na pozici 48U MGMT switch/e spolu s horizontálními vyvazovacími panely. Oba racky však neobsahují access switche. Uplinky k serverům budou realizovány LC-LC patchordy mezi jednotlivými servery a ODF. ODF je pak připojeno výše uvedenými breakout kabely k páteřním switchům.

Servery začínáme umisťovat odspodu nahoru, přibližně do pozice 32U. Je to z důvodu, že osazené dvojice PDU v každém racku začínají přibližně na pozici 40 a končí u země.

Kategorie: