Hosting

Přihlášení

@ IN SOA domény.dns.enum.mojeid.internet. nic.cz.
Aktualizace: 59 min 42 sek zpět

Aktuální statistiky o celosvětovém vývoji COVID-19 na jednom místě

St, 04/08/2020 - 15:10

Na Internetu se v souvislosti s koronavirem vynořilo mimo jiné i mnoho webových stránek, které se snaží zpracovávat data do různých statistických výstupů. Jen v českém registru se jich objevilo hned několik. Jestliže patříte mezi ty, kteří rádi sledují aktuální „koronavirová“ čísla nebo z nich čerpáte informace při své práci, můžete narazit na několik překážek. Některé statistiky totiž sice přináší údaje, které zrovna potřebujete, ale jsou staré a pravidelně se neobnovují. V případě dynamických vizualizací jste zase při práci svázáni pevně danými mantinely. Pokud vám to nevyhovuje, můžete vyzkoušet nově vytvořený nástroj na generování dynamických vizualizací z dílny sdružení CZ.NIC, který má široké možnosti a lze jej různě nastavovat. Můžete si tak navolit například libovolné světové území, vzorec pro danou křivku, můžete kopírovat URL a samozřejmě pro update stačí zmáčknout F5.

Jak to funguje?

Prioritou pro nás bylo umožnit zobrazit všechna dostupná území. Chtěli jsme tak dosáhnout toho, aby si ladné křivky mohly zobrazit všechny země, které mají statistiky veřejně dostupné, ale nejsou třeba dostatečně atraktivní pro běžně prezentované vizualizace na Internetu.

A teď už k funkcionalitě. Z důvodu velké složitosti je většina ovládacích prvků zpočátku skryta. Vpravo naleznete menu, kde lze zapnout jednotlivé panely.

1. Axes

V panelu Axes si vyberete varianty použitých os. Osa Y je buď lineární, logaritmická nebo procentuální. Logaritmickou použijete, když chcete srovnat malé a velké území – například Českou republiku s Evropou. Takže i přesto, že je naše země mnohem menší, tvar obou křivek je patrný.

Procentuální zobrazení doporučujeme v případě, že chcete zobrazit informace, které porovnávají více faktorů najednou. Například kontinenty utvoří sloupce, rozdělené podle počtu potvrzených a skončených případů. Nebo naopak (počty potvrzených a skončeným utvoří skloupce, rozdělené podle kontinentů).

Na ose X lze pak volit buď čas, nebo počet potvrzených případů. Můžete si zobrazit křivku nově potvrzených případů vůči jejich celkovému množství. Přehledně tak můžete vizualizovat, zda se země veze na vlně exponenciálního růstu (což z časové osy není vizuálně snadné odvodit), či zda se jí daří změnit průběh epidemie.

Přepínačem si můžete navolit, zda monitorujete vývoj trendu pro rozsah dní, či zda zobrazíte situaci v jeden konkrétní den. Posuvník pak graf překreslí pro daný časový rozsah.

2. Computation

Záložka Computation umožňuje ovlivnit výpočet dvěma způsoby. Přepínač „Average“ zapne průměrování dat za poslední týden, přesněji je použitý klouzavý průměr sedm dní zpětně. I v zemích, které reportují poctivě, se vyskytnou výpadky a chyby. Kupříkladu Itálie nahlásila 11. března přírůstek 3 000 potvrzených případů, o dva dny později 6 000, ale 12. března není ve statistikách uvedeno nic.

Druhý přepínač „Outbreak“, česky bychom řekli prudké šíření, posune všechny datasety tak, že začínají v den, kdy v daném teritoriu bylo hlášeno jisté množství případů. Jaké? To si určíte buď konstantou absolutní, nebo vztaženou k populaci. Například lze ukázat vývoj v evropských státech v momentě, kdy dosáhly sta nakažených nebo kdy na jejich území byl hlášen počet případů odpovídající promile populace, což bylo v případě Itálie 8. března. V březnu to ale z evropských států stihlo, jak je vidět z grafu, ještě dalších deset od Islandu po Monako.

3. Equation

Neméně zajímavé menu je Equation, jež umožňuje nastavit elegantní rovnici, kterou graf konkrétně vykreslí. Do rovnice zadáte libovolné aritmetické parametry a některé ze 17 připravených proměnných.

Základní rovnice zní prostě: C (confirmed cases) neboli počet potvrzených případů. Analogicky k ní je RD, to jest případy, které skončily uzdravením či smrtí. Z nich předpona N (new) udělá rovnice v daný den nově se vyskytující případy a předpona dN jejich derivaci.

Tedy kupříkladu pokud se včera nově uzdravilo pět lidí a dnes sedm, nabude proměnná dNR hodnoty +2, neboť počet nově uzdravených se o dva zvýšil. Proměnná P obsahuje populaci (pokud ji pro dané území máme) a T počet testovaných (dostupné jen pro ČR).

Nyní si uveďme několik příkladů s vysvětlením, abychom věděli, co jsme si vlastně zobrazili.

Rovnici je možno agregovat, to jest sečíst data ze všech použitých území do jediné datové sady. Lze tak snadno porovnávat severní a jižní Evropu nebo jak si vede ČR oproti jejím sousedům a vykreslit přitom jen dvě čáry. Případně sloupce, které je možné skládat na sebe, ať už podle rovnice (potvrzené případy na potvrzené) nebo podle území (Evropa na Evropu).

Můžeme se pustit do vytváření vícera rovnic naráz. Užitečným příkladem je porovnání tří různých kontinentů podle počtu případů daného typu. Každá rovnice pak může být na vlastním grafu. Místo, aby se tísnilo devět čar na jednom grafu, můžeme mít tři grafy o třech čarách. Nebo mohou být jednotlivá data na nezávislé ose Y, jak je možné vidět na grafu vývoje ČR a Evropy. Všimněte si, že každá spojnice má vlastní osu Y, takže můžeme vidět přehledně data z ČR i z Evropy, přestože zobrazení není lineární.

4. Display menu

Menu Display přináší další užitečné volby. Můžete popsat křivky hodnotami či názvy jejich rovnic. Změnit, pokud nejste spokojeni s implicitním nastavením, při kterém jsou v grafech bez spojnicových grafů popsány názvy sloupců. Dále si můžete určit barevná schémata a barvit křivky podle rovnice či podle teritoria. Nebo si můžete určit, jak mají být seřazeny položky, zobrazené při najetí myši. Vyberte si.

Jak zobrazím data pro jinou zemi?

To byla v návrhu aplikace poměrně složitá věc. Nakonec jsou území členěna do tří celků – kontinenty, země a státy nebo řekněme provincie. Každou rovnici lze spojit s množinou území nebo jejich agregací. Pokud má území závislá teritoria, najdeme vedle něj ikonku oka a fajfky. Oko zobrazí a skryje všechna závislá území, která nejsou spojena s aktivně editovanou rovnicí. Fajfka pak asociuje k rovnici všechna závislá území. Implicitně jsou zobrazeny kontinenty a všechna území spojená s aktivní rovnicí.

Tento mechanismus napomáhá orientaci ve stovkách možností, zvlášť, když dochází k následujícím případům:

  • Čínská lidová republika – skládá se z jednotlivých závislých území jako je například Chu-pej. Můžeme si zobrazit tedy celé území Čínské lidové republiky nebo jen Chu-pej.
  • Francouzská republika – je také složena z několika území. Lze tedy zobrazit Francii jako zemi a jako region (kam je zahrnuta země i její provincie) nebo třeba Reunion jako provincii, případně jednotlivé provincie.
  • Teritorium patří pod více nadřazených území.
A co možnosti sdílení?

Aplikace je navržena tak, aby se veškerá vaše činnost okamžitě promítla do URL. Jakmile jste spokojeni, stačí si nastavit záložku nebo zkopírovat URL a až přijdete příště, najdete editor, jak jste jej opustili. Pokud chcete s daty dále pracovat po svém, v každém okamžiku je lze vykopírovat z dynamické tabulky. Nebo stáhnout jako CSV, JSON či obrázek.

Teď už nezbývá než si novinku vyzkoušet a dostat se tak k datům, na která už netrpělivě čekáte. Stále však platí, že až budete mít na světě svoji vysněnou vizualizaci, to, co popisuje, není skutečný svět, ale jenom jeho digitální odraz. Jsou to data získaná z dostupných zdrojů. Mohou tak být zpožděná, neúplná a v některých případech i manipulovaná. Je důležité si uvědomit jednotlivé souvislosti. Například, jestliže je dnes nově uvedeno 1 000 otestovaných jedinců a 500 potvrzených, neznamená to, že se dnes nakazilo 500 lidí. Protože testy byly prováděny před několika dny a testovaní se nakazili ještě dříve. Naopak těm, co se nakazí dnes, se příznaky projeví až za pět dní, budou testováni za týden a v kolonce otestovaní se tak objeví v lepším případě za deset dní. V tom horším i za dvacet, nebo také nikdy. Také se může stát, že budou ve statistikách dvakrát, pokud se testuje dvakrát stejný pacient. Je nutné si uvědomit i fakt, že se metodika měření v různých zemích liší. Tudíž například někde nemusí být mezi nakažené započítaní ti jedinci, kteří jsou sice pozitivně testovaní, ale zrovna nevykazují příznaky. Takže buďte obezřetní a mějte na paměti, že to jsou jen data.

Kategorie:

Vývojáři ACTIVE 24 představili nového EPP klienta pro komunikaci s registrem domén .CZ

Út, 04/07/2020 - 13:00

Jeden z doménových registrátorů, společnost ACTIVE 24, nedávno z vlastní iniciativy vytvořil nového open-source klienta v jazyce Java pro komunikaci s doménovým registračním systémem FRED. Tento klient umožňuje komunikaci se systémem FRED pomocí protokolu EPP a je alternativou ke klientu napsaném ve sdružení CZ.NIC v jazyce Python. Oba slouží k provádění běžných operací registrátorů ve vztahu k registru: vytváření, aktualizace, převod, obnova či mazání domén, kontaktů a dalších objektů v registru. Nový Java klient nabízí vylepšené příkazy přípravy dat, oproti Python klientovi již není nutné po zavolaní příkazu „prep_domain_by_nsset“ a dalších volat příkazy „get_results“ pro získání výsledků. Java klient toto volaní udělá automaticky a vrátí kompletní ucelené výsledky.

Aby kolegové ze společnosti ACTIVE 24 zajistili co nejvyšší kvalitu svého nového klienta, požádali naše testery o aplikaci stávajících automatických testů, které jsou používány k testování systému FRED přes protokol EPP a které využívají knihovnu klienta v Pythonu. Jelikož je registrační systém FRED vytvořený jako open-source a my velmi rádi podporujeme každé open-source rozšíření našeho softwaru, rádi jsme této žádosti vyhověli a pustili se do práce. Stávající automatické testy vytvořené pro Python klienta bylo potřeba přizpůsobit vytvořením vlastní vrstvy s použitím knihovny tohoto klienta upravené tak, aby posílala data do nového Java klienta. Testování nového klienta jsme samozřejmě prováděli na operačním systému Linux a testy jsme my i autor spouštěli vůči veřejné testovací instanci systému FRED.

Již v průběhu „ohýbání“ stávajících automatických testů z dílny sdružení CZ.NIC na nového Java klienta jsme získali poznatky o drobných nedokonalostech našeho testovacího frameworku, které mohou ve výjimečných situacích způsobit nesprávný výsledek testů, na který však test neupozorní. Vývojář Java klienta ze společnosti ACTIVE 24, Radek Novotný, také odhalil několik nedostatků v dokumentaci systému FRED, které jsme díky němu mohli opravit. Dále pomohl identifikovat chování v XML schématech pro protokol EPP, které přesně neodpovídá standardům dle RFC. Naopak naše testování Java klienta odkrylo několik jeho slabin, ale protože byl Radek v opravách neuvěřitelně aktivní, jsou již všechny minulostí. Například bylo nutné umožnit v nastavení Java klienta vypnutí validace vrácených dat z registru. Registr .CZ domén může obsahovat velmi stará a stále platná data, která by se vyhodnotila jako nevalidní.

Spolupráce mezi sdružením CZ.NIC a registrátorem ACTIVE 24 byla a i nadále může být oboustranně prospěšná – náš testerský tým získá lepší pohled na procesy registrátora a druhá strana zase rychlou technickou pomoc od .CZ registru při nasazování Java klienta do ostrého provozu.

Klient je volně ke stažení na githubu autora, kde je k dispozici i stručná nápověda. Stejně tak je k dispozici i na stránkách projektu FRED, konkrétně v sekci Get FRED. Podrobnější informace o protokolu EPP implementovaném pro komunikaci s registračním systémem FRED poskytne jeho dokumentace.

Pro ilustraci uvádím ukázku implementace příkazu check_domain a create_domain:

import fred.client.FredClient;
import fred.client.FredClientImpl;
import fred.client.data.check.CheckRequest;
import fred.client.data.check.CheckResponse;
import fred.client.data.create.domain.DomainCreateRequest;
import fred.client.data.create.domain.DomainCreateResponse;
import fred.client.exception.FredClientException;

public class FredClientTest {

public static void main(String[] args) throws FredClientException {
FredClient client = new FredClientImpl(„conf/fred-client.properties“);

# Check domain
CheckRequest domainCheckRequest = new DomainCheckRequest(„nic.cz“, „active24.cz“);
CheckResponse domainCheckResponse = client.callCheck(domainCheckRequest);
System.out.println(domainCheckResponse);
# Create domain
DomainCreateRequest domainCreateRequest = new DomainCreateRequest(„testdomainname.cz“, „A24-CONTACT“);
DomainCreateResponse domainCreateResponse = (DomainCreateResponse) client.callCreate(domainCreateRequest);
System.out.println(domainCreateResponse);

Kategorie:

DNS crawler: tři, dva, jedna, start!

Po, 04/06/2020 - 09:40

V rámci projektu ADAM (Advanced DNS Analytics and Measurements) uvádíme do produkčního provozu nástroj DNS crawler. Naším záměrem je periodicky procházet všechny domény 2. úrovně pod TLD .cz, získávat o nich různá veřejně dostupná data a ta pak dále zpracovávat.

I když to jeho jméno přímo nenapovídá, DNS crawler bude kromě sběru dat z DNS také komunikovat s webovým a e-mailovým serverem každé domény. Počítáme s pravidelnými běhy ve dvou periodách: většina datových položek se bude sbírat každý týden, pouze obsah hlavních webových stránek <doména>.cz nebo www.<doména>.cz se bude stahovat jen jednou měsíčně. Zvláštnímu dohledu budou navíc podrobeny nově zaregistrované domény, u nichž je větší pravděpodobnost výskytu nějakého problému – jejich data se budou po dobu prvních dvou týdnů jejich existence stahovat denně. Software i režim jeho použití jsou navrženy tak, aby dopady na provoz domén druhé úrovně a síťovou infrastrukturu obecně byly prakticky zanedbatelné.

Získaná data budou využita ke třem hlavním účelům:

  • pro různé statistiky a analýzy, které budou  pravidelně i jednorázově zveřejňovány a poslouží mimo jiné k efektivnější správě a plánování dalšího rozvoje služby DNS, kterou sdružení provozuje
  • pro včasné odhalování problémů a anomálií v DNS, které mohou být způsobeny jak poruchami zařízení nebo chybami v konfiguraci a zónových datech, tak i zlovolnými aktivitami
  • pro klasifikaci webových stránek metodami strojového učení, především s cílem zvýšení bezpečnosti zóny .cz (např. odhalováním falešných e-shopů nebo domén využívaných malwarem).

Jsme si dobře vědomi toho, že podobné skenování síťových zdrojů ve velkém je dvojsečná záležitost – profylaktické skenování (náš případ) se na první pohled téměř neliší od vyhledávání vhodných obětí pro síťové útoky. Proto se snažíme o maximální otevřenost:

  • Software DNS crawleru, který ke skenování zóny .cz používáme, je open source – každý si ho proto může vyzkoušet, případně prohlédnout jeho zdrojový kód (v jazyku Python).
  • Zveřejňujeme kompletní soupis všech dat, která sbíráme, i interní pravidla pro jejich použití.
  • Zveřejňujeme i identitu (IP adresy) serverů, které skenování provádějí.
  • Jediná věc, kterou nedáváme každému k dispozici, je aktuální seznam domén v zóně .cz.

Podrobné informace týkající se provozu DNS crawleru včetně kontaktních adres jsou k dispozici na webové stránce https://adam.nic.cz/dns-crawler-operation.

Chtěli bychom touto cestou požádat o spolupráci operátory sítí, ISP a poskytovatele služeb, kterých se bude tak či onak tato naše aktivita dotýkat. Zjistíte-li jakékoli problémy spojené s provozem DNS crawleru, dejte nám o nich prosím vědět, například e-mailem na adresu dns-crawler@nic.cz. Děkujeme!

Kategorie:

„Kritické“ opkg CVE a Turris

Po, 03/30/2020 - 13:10

Možná jste již někde slyšeli o „kritické“ zranitelnosti v systému OpenWrt. Můžete si tak právem dělat starosti s tím, jestli se to týká i Turrisu. A to je důvod, proč je slovo „kritické“ v uvozovkách. Ve zkratce: Turrisu žádné nebezpečí nehrozí.

Kontext

Jak to celé funguje? Kdykoli chcete nainstalovat balíček v systému OpenWrt, musíte mít nejdřív aktuální kopii seznamu dostupných balíčků. Tento seznam obsahuje název, velikost a kontrolní součet všech souborů v úložišti. Balíček, který si chcete nainstalovat, lokálně vyhledáte, pak se balíček během instalace stáhne, je ověřena jeho velikost a kontrolní součet, a pokud vše sedí, instalace proběhne.

Ale kde jsou tu kontroly zabezpečení? Seznam balíčků je podepsán a ověřen pokaždé, když ho stahujete. Jelikož tento seznam obsahuje i kontrolní součty a velikost všech balíčků, jste schopni s jeho pomocí ověřit balíčky, které stahujete. Dokonce i při stahování přes obyčejné http. Právě to totiž na některých zařízeních systém OpenWrt provádí, jelikož https vyžaduje zahrnutí knihovny SSL, která může v zařízení s omezenou pamětí zabírat příliš drahocenného místa.

V čem je tedy problém? Zmíněné CVE ovlivňuje ověření kontrolního součtu, takže když router stahuje balíček přes http a dojde k útoku typu „man in the middle“, může tento bug vést k tomu, že nedojde k ověření kontrolního součtu. Díky tomu bude útočník moci oklamat oběť a donutit ji nainstalovat jiný balíček se zadními vrátky (pokud je schopný vytvořit škodlivý balíček se stejným názvem a stejnou velikostí jako ten, který chcete nainstalovat).

Turris

Proč to neovlivňuje routery Turris? Zaprvé, většina správy balíčků na našich routerech používá updater. Ten používá stejný formát souborů a stejný seznam balíčků, ale je implementován úplně od začátku, takže neobsahuje zmíněnou chybu.

Ale i v případě, že se rozhodnete použít na routerech Turris starý dobrý opkg, je tu ještě jedno protiopatření, které už máme dlouhou dobu zavedené: jak seznam balíčků, tak i samotné balíčky stahujeme přes https. Proto nebude jednoduchý „man in the middle“ fungovat – museli byste nejdříve získat platný a podepsaný certifikát pro https://repo.turris.cz.

Takže přestože to představuje docela velké riziko pro osekané verze systému OpenWrt, operačního systému Turris s jeho výchozím nastavením se to tolik netýká.

Kategorie:

Jak zabavit děti v období koronavirových prázdnin? Bezpečně.

Čt, 03/19/2020 - 14:23

Mnozí z nás teď řeší situaci, jak doma zabavit své děti a zároveň je účinně vést ke vzdělávání. Se životy nás všech se již neodmyslitelně pojí digitální technologie a Internet. Využijte volných chvil doma a zaměřte se spolu s dětmi na svou kyberbezpečnost.

Níže vám dáváme náměty, jakým způsobem můžete s dětmi pracovat a o čem si s nimi povídat. Zadejte jim nejprve úkol (najdete v odkazech) a poté ho s nimi rozeberte. Popovídejte si o tom, co je nejvíce zaujalo a čemu případně nerozuměly. Bude vás to nakonec všechny bavit, nebojte se.

Materiály jsme rozdělili dle doporučených věkových kategorií dětí:

1) Děti ve věku 5 – 9 let

Pro předškoláky a děti mladšího školního věku máme k dispozici výukovou audioknihu ON-LINE ZOO. Pusťte dětem nahrávku s příběhy zvířátek, která používají moderní technologie, a nechte je vytvořit si svůj vlastní názor. Poté si knihu poslechněte spolu nebo ji svým ratolestem přečtěte sami. Najdete ji ke stažení v naší Edici CZ.NIC. Popovídejte si o tom, k čemu zvířátka v knize používala Internet, a řekněte si, k čemu jej používají vaše děti. Vysvětlete jim, že to, co se v knize přihodilo zvířecím hrdinům, se může stát i lidem v reálném světe. Ať si raději stále dávají pozor. Především jim zdůrazněte, že jste tu pro ně a že jim kdykoli s čímkoli pomůžete, aby se vám v případě potřeby nebály svěřit.

2) Děti ve věku 10 – 12 let

Vytiskněte dětem křížovku a nechte je v klidu si projít otázky a vyluštit tajenku. V případě, že budou chtít poradit, pomozte jim. Digitální gramotnost se u dětí velice liší. Někdo křížovku vyluští bez sebemenších obtíží, zatímco jinému zabere trochu více času. Potom si s nimi projděte jednotlivé pojmy, které jim z křížovky vzešly: Wi-Fi, kyberšikana, digitální stopa, heslo, Minecraft, antivir, fake-news, závislost. Postupně si o všech tématech popovídejte, ale také naslouchejte, co vám bude dcera či syn říkat. Mnohdy je dobré se nechat od dětí poučit a na oplátku jim zase sdělit svůj vlastní názor.

Co je to digitální stopa, mohou děti zjistit i pomocí online kurzu Digistopa, který je navede, jak si mají chránit své digitální soukromí a jak mají bojovat proti kyberšikaně. Kurzem provází komiksová postava Bára Bezhlavá, která musela nastoupit do nové školy a seznámit se s novými spolužáky. Jestli to mělo hladký průběh už se vy i děti dozvíte právě v tomto vzdělávacím kurzu.

Hrají vaše děti rády online hry? Také u vás doma „frčí“ Brawl Stars, Roblox či Minecraft? Zkuste si některou z her nainstalovat a společně se svými potomky zahrát. Zpočátku zřejmě zjistíte, že nechápete smysl hry, ale nechte své děti, aby vám ji vysvětlily. Budou to dělat ochotně a rády, uvidíte. Také vám jistě prozradí své taktiky a možná vás i vpustí do svého virtuálního týmu. Je to dobrá příležitost, jak s dětmi navázat dobrý vztah a utužit vzájemnou důvěru. Třeba se vám pak budou doma lépe nastavovat některá pravidla. Zároveň je však poučte o tom, co o sobě smí ostatním hráčům sdělovat a co je již jejich soukromá záležitost.

3) Děti ve věku 13 let a výše

Mají vaše děti rády komiksy? Ukažte jim naši knihu Jak na Internet, kde se například dozvědí, jak a kdy vznikl Internet, co je to cloudové úložiště, jak bezpečně nakupovat online a mnoho dalšího. Možná i vy zjistíte, že jsou pro vás některé informace nové, a necháte se spolu s dětmi vtáhnout do světa digitálních technologií. Kniha je nejen poučná, ale i zábavná a vtipná.

V současné době se všichni potýkáme s plížícím se útokem koronaviru. Osvojili jsme si během krátké doby důsledné dodržování hygienických pravidel, která nás mají ochránit před šířící se nákazou. Ale ruku na srdce, hlídáme si stejně pečlivě i svůj chytrý telefon? Zkontrolujte si raději platnost svého antivirového programu a v případě, že ho ještě nemáte, zkuste to co nejdříve napravit. Přeci byste si do domu nechtěli přizvat nevítaného hosta.

Podívejte se například na video s Romanem Zachem, který vás poučí o tom, jaké nástrahy na nás mohou číhat v mobilních aplikacích a jak si na ně dát pozor a svůj mobil ochránit.

Přejeme vám klidný průběh tohoto pro všechny nelehkého období a nezoufejte, zase bude lépe.

Hodně zdraví.

Kategorie:

DNS hosting NIX.CZ a ccTLD .gt

St, 03/18/2020 - 10:46

V nedávné době se na nás shodou okolností obrátily hned dva subjekty, zda bychom jim nepomohli s hostováním jejich DNS zón; v obou případech jsme rádi vyhověli. Jednalo se totiž o český neutrální peeringový uzel NIX.CZ, se kterým často sdílíme technické know-how a vzájemně si vypomáháme tam, kde to dává smysl. Dále pak o doménový registr státu Guatemala provozující ccTLD .gt, kterému jsme vyšli vstříc v rámci naší dlouhodobé podpory rozvíjejícím se registrům, stejně jako tomu bylo dříve v případě registrů Angoly, Malawi, Tanzanie nebo Severní Makedonie.

V případě NIX.CZ se jednalo o přibližně dvacet SLD domén (tedy domén II. úrovně) a motivací byla konsolidace stávající infrastruktury v jiném datovém centrum, kde provozují slave DNS instanci v jiném autonomním systému.

Guatemalský registr chtěl rozšířit dostupnost svých TLD (tedy domén nejvyššího řádu) a SLD domén v rámci dalších DNS uzlů běžících ve světě. Registr spravuje osm zón o celkovém počtu přibližně 20 000 doménových jmen.

V mém blogpostu se pokusím popsat, jak je takováto spolupráce technicky provedena.

DNS infrastruktura

Ze všeho nejdříve je potřeba stanovit, na kterých DNS slave instancích mají být požadované domény dostupné. Rozlišujeme totiž dvě prostředí; DNS anycast a SLD servery, které se liší počtem serverů (výpočetním výkonem), geografickým rozmístěním a požadovanou dostupností.

DNS anycast je naše hlavní DNS prostředí, na kterém provozujeme ccTLD .CZ a nejvýznamnější domény II. řádu (např. nic.cz, mojeid.cz apod.) a je dostupné na čtyřech nezávislých IP rozsazích, které označujeme písmeny A–D. V rámci anycastu a pomocí protokolu BGP pak jednotlivé servery v různých lokalitách ve světě oznamují daný IPv4 prefix /24 + IPv6 prefix /48 a stahují na sebe DNS provoz. Celkem je v DNS anycastu zahrnuto více než 100 serverů, na kterých provozujeme vzhledem k diverzitě různé DNS démony (KNOT, BIND, NSD) a routing démony (BIRD, QUAGGA, FRROUTING). Pro hosting ccTLD zón využíváme vyhrazené IP adresy z rozsahu D anycastu.

Naopak SLD servery používáme pro ostatní domény II. řádu a jedná se o samostatně fungující DNS servery, bez routing démona. Dva servery jsou umístěné v obou našich pražských datacentrech a jeden server pak mimo naši síť, tedy v rámci jiného autonomního systému. Na rozdíl od DNS anycastu nejsou servery provozovány v zahraničních lokalitách a i zde zachováváme diverzitu DNS démonů.

Proč tedy máme dvě prostředí, když by stačilo mít pouze DNS anycast? Důvodem je poměrně velká časová náročnost pro přidání/odebrání byť jedné DNS zóny na DNS anycastu a nenulové riziko vzniku chyby, která by s ohledem na nejvyšší důležitost tohoto systému mohla mít fatální dopad na provoz domény .CZ. Správa domén na SLD serverech naopak zabere našim administrátorům méně času a případný negativní dopad plynoucí z konfigurační chyby je také menší. Správa zón na DNS anycastech totiž znamená upravit konfigurace postupně na více než 100 serverech a vždy pečlivě zkontrolovat, zda se změna úspěšně provedla. Ačkoliv je to DNS anycast, žádný z administrátorů si „netroufne“ konfiguraci a reload DNS zón provést na všech serverech najednou.

Změny konfigurace DNS serverů

O tom, na jakém DNS prostředí poběží jednotlivé zóny, máme již jasno. Zóny ccTLD .gt budeme provozovat na celém D anycastu, podobně jako např. ccTLD .mk, .tz, .ao nebo .mw. Domény II. řádu NIX.CZ budou dostupné jen na SLD serverech.

Jaké kroky jsou potřeba k tomu, aby se zóny dostaly až na DNS servery?

Nejdříve musíme nakonfigurovat naše hidden master servery (dále jen „HM“). Jedná se o servery, které běží „schované“ uvnitř naší sítě, udržují zónové soubory aktuální a posílají je na všechny servery v DNS anycastu nebo na SLD servery.

Jednotlivé kroky jsou následující:

  • Sdělíme IP prefixy našich HM serverů, které si subjekt na své straně povolí ve firewallu, a umožní nám tak aktualizaci zón.
  • Získáme IP adresy DNS masteru, odkud budeme stahovat obsah zón pomocí AXFR na naše HM servery.
  • Domluvíme si TSIG klíč pro zabezpečení přenosu zón.
  • Vyzkoušíme získání zóny, např. utilitou dig: hm> dig @DNS_MASTER axfr TLD -y TSIG_ALG:TSIG_KEYNAME:TSIG_SECRET
  • Připravíme konfigurační soubory pro jednotlivé domény.

Jakmile se objeví všechny požadované zóny na našich HM serverech, můžeme připravit konfiguraci pro cílové DNS servery, které budou tyto zóny hostovat uživatelům v Internetu. Vzhledem k různým DNS démonům máme v našem Ansible připraveny jednotlivé role, které na základě provozovaného démona připraví již finální konfigurace pro každou zónu tak, aby DNS servery získávaly aktualizace zón přímo z našich HM serverů. Zbývá pak jen spustit Ansible playbooky na požadované servery.

Následující schéma ukazuje zjednodušené workflow aktualizace zón.

 

Kategorie:

Ochraňte své děti před spamovou kampaní na Viberu

Po, 03/09/2020 - 17:05

Jen co se děti ve škole naučí číst a psát, často zatouží po tom mít ve svém chytrém telefonu aplikaci, která jim umožní komunikovat se svými kamarády. V Google Play najdou celou řadu tzv. „messengerů“, co jim jejich sen splní. Mezi nejrozšířenější a nejoblíbenější patří Messenger, Snapchat, Viber, WhatsApp, ale i další.

Já si dnes „posvítím“ na Viber, ale ostatní zmíněné platformy fungují často velmi podobně. Již při výběru aplikace na Google Play jsem si všimla upozornění, že tato aplikace by měla být používána pod dohledem rodičů. Po instalaci a spuštění mě Viber vyzval k zadání jména a data narození. Aplikace však neumožní zadat nižší věk nežli 13 let, což rovnou navádí k obcházení. Toto teď pomiňme a pojďme se věnovat vyplnění a nastavení profilu.

Na besedách s dětmi si často povídáme o tom, že je v některých případech vhodné používat přezdívky, případně jen křestní jména. A místo své fotografie umístit do medailonku raději fotku zvířátka, oblíbené komiksové postavy nebo si vytvořit svoji vlastní „profilovku“ či „avatar“ v jednom z programů na tvorbu kreslených portrétů. Zamezíme tak proniknutí těchto informací směrem k neznámým lidem, kteří se náhodou dostali k našemu telefonnímu číslu.

Avšak Viber myslí i na to, aby si cizí lidé (které nemáme v kontaktech) nemohli prohlížet naše profily. Stačí si jen dobře projít nastavení soukromí a odstranit zatržítko u kolonky „Ukázat vaši fotografii“. Dále zvažte, zda chcete, aby vaše dítě sdílelo s ostatními svůj aktuální stav. Tedy to, zda je momentálně online nebo offline a zda si přijatou zprávu přečetlo či nikoli. Všechna ohlášení se dají v nastavení potlačit.

Po vyplnění profilu můžeme rovnou začít chatovat, posílat hlasové zprávy, fotky, videa, emotikony, nálepky a „GIFy“ (krátké animace s pointou). Komunikace na Viberu je šifrovaná, tudíž nikdo, ani poskytovatel služby, by neměl mít možnost odezírat naši konverzaci a odposlouchávat audio i videohovory.

Mezi dětmi jsou hojně využívané a oblíbené tzv. skupinové chaty. Nerozlučné kamarádky se snadno domluví, co si vzít druhý den na sebe, aby společně ladily. Kluci si zase můžou dohodnout, v kolik hodin si zahrají svou oblíbenou „onlinovku“. Třídní skupina slouží k dotazům na domácí úkoly a akce ve škole. Vše je velice zábavné a mnohdy i užitečné, dokud však nezačne docházet k různým sporům a urážkám. Ale to je již téma kyberšikany (pozn.: Učte své děti nepokračovat v těchto konverzacích a poučte je, že v případě překročení hranice únosnosti se vám mají svěřit).

Do skupin nás smí lidé přidávat automaticky, aniž bychom jim to schválili. Zde už vidím zádrhel a ráda bych na tuto skutečnost upozornila. Chvíli po založení profilu na Viberu jsem byla přidána do skupiny „We Love Viber Stickers!“ čítající více než pět miliónů osob. Ze skupiny jsem okamžitě odešla a odstranila ji ze svého profilu. Co ale dělat, když vás někdo přidá do skupiny, která se již tak nevinně netváří? Jak se asi cítí a zachová dítě, jemuž někdo pošle zprávu s odkazem na sexrandění (viz obrázek) a s informací, že rozhodně nebude litovat, když se připojí?

Mladší dítko bude buď vyděšené, nebo na odkaz ze zvědavosti klikne (čímž si může zavirovat mobilní telefon), aby se přesvědčilo o tom, zda je to pravda. Vysvětlete dětem, že za vámi mají v této situaci okamžitě přijít a že nemají nic odklikávat a nikam odpovídat. Společně pak chat buď odstraňte, nebo nahlaste provozovateli jako závadný (klikněte na tři svislé tečky v pravém horním rohu a zvolte možnost „Nahlásit komunitu“).

Závěrem bych chtěla podotknout, že určité nebezpečí číhá všude, i ve zdánlivě neškodné aplikaci. Tomu se však nevyhneme. Stále dětem vysvětlujte, jak se mají na Internetu chovat. Zajímejte se o to, s jakými kamarády chatují a v jakých skupinách se nacházejí. Ale především je ujistěte, že se na vás můžou v případě nejistoty kdykoli obrátit.

Kategorie:

Knot DNS slaví deset let své existence

Pá, 02/28/2020 - 11:36

Projekt autoritativního DNS serveru Knot DNS patří mezi nejstarší projekty Laboratoří CZ.NIC. Dnes je tomu právě deset let od uložení prvotního prototypu serveru commitem 2da03d5da do veřejného repozitáře Git. Jde o software, který nemá vizuální výstup a běžný člověk s ním vědomě nepřijde do kontaktu, proto si připomeňme jeho význam a kde se s ním můžete setkat.

Dnes již všudypřítomná počítačová sít Internet je závislá na spolehlivém chodu systému DNS. V minulosti byl velmi omezený výběr implementací DNS serveru. S tím, jak se Internet postupně rozšiřoval a rostly nároky na DNS, a jelikož CZ.NIC je úzce spojen s jeho provozem, bylo rozhodnuto o navýšení diverzity dostupných implementací vývojem nového serveru — Knot DNS, který bude veřejně dostupný jako open source pod licencí GNU GPL-3. Mezi jeho přednosti patří vysoký výkon, a to jak odbavení velkého počtu DNS dotazů, tak i obsluhy velkých zón či velkého počtu zón. Důraz je dále kladen na robustní design, uživatelskou přívětivost, modulární rozšiřitelnost a podporu moderních funkcí — speciálně DNSSEC.

Knot DNS se od svého vzniku rozvinul v komplexní software, zahrnující sdílené knihovny a podpůrné nástroje pro práci s DNS. Výčet veškerých funkcí by byl nad rámec tohoto příspěvku, a proto si dovolím případné zájemce odkázat na aktuální seznam změn a dokumentaci. Kvůli vysokému výkonu a stabilnímu provozu je Knot DNS převážně nasazován v roli pasivního sekundárního DNS serveru. V tomto režimu jste s vysokou pravděpodobností nepřímo využili jeho služeb při dotazování kořenových DNS serverů, velkého počtu národních domén (včetně té české), domén provozovaných registrátory a hostingy, nebo dokonce při přístupu ke globálním sítím CDN. V posledních letech se však díky pokročilé funkci automatického DNSSEC podepisování začíná rozšiřovat i v roli primárního DNS serveru. V loňském roce přibyly minimálně dvě evropské národní domény (včetně té největší) na seznam „podepisováno Knotem“. Sluší se poznamenat, že významní uživatelé využívají nadstandardní placené podpory, čímž významně přispívají do rozpočtu projektu.

Každá správná oslava se neobejde bez dárků! Prvním byl nedávno obdarován samotný projekt, konkrétně novým hardwarem pro testování a zkoumání nových směrů vývoje našeho serveru. Druhý dárek je určen uživatelům a jmenuje se režim XDP. Následující graf zobrazuje porovnání nového (XDP) a konvenčního režimu v připravované verzi Knot DNS 3.0 na novém hardware. Vývoj tohoto režimu je stále v plném proudu a vyžaduje řešení několika technických problémů, nicméně v některých konfiguracích je již schopen nabídnout překvapivé zrychlení při zpracovávání DNS dotazů po UDP:

Závěrem bych rád poděkoval všem, kteří se podíleli a podílejí na vývoji a jakékoli podpoře tohoto projektu. Pevně věřím v další úspěšnou budoucnost Knot DNS a spokojenost jeho uživatelů :-).

Kategorie:

O FREDovi – od laika pro laiky

Út, 02/18/2020 - 09:30

Před patnácti lety sdružení CZ.NIC na valné hromadě rozhodlo o zahájení vývoje vlastního systému pro technický provoz domény .CZ. O dva roky později, tedy v roce 2007, spatřil světlo světa registrační systém FRED – Free Registry of ENUM and Domain. Přesněji se jedná o software, který používá registr decentralizované správy .cz ccTLD a ENUM domén 0.2.4.e164.arpa. Jenže co si pod tím vlastně má běžný uživatel představit a proč je pro nás všechny, kdo používáme Internet, tak důležitý? Pojďme si na tyto a možná i další otázky odpovědět v následujících řádcích.

Ráda bych, aby se nejednalo jen o poučku z encyklopedie, kterou se naučíme, ale přitom nebudeme chápat jednotlivé souvislosti. Dovolte mi tedy začít poměrně zeširoka a pro někoho možná až příliš zjednodušeně.

Pro zopakování malý slovníček pojmů:
  • Doménové jméno (zkráceně doména): unikátní adresa na Internetu, která má textovou podobu. Jako příklad můžeme uvést: mojeID.cz, nic.cz, dobradomena.cz. Zastupuje numerické umístění serveru takzvanou IP adresu.
  • IP adresa: jedinečný identifikátor, který je přidělený každému zařízení, které je připojeno k Internetu. Je složena z kombinací různých čísel, zapsaných ve formátu IPv4 217.31.205.1 nebo IPv6 2001:1488:fffe:3:5481:c344:6714:4df2.
  • Systém DNS (Domain Name System): jedná se o systém, který zajišťuje překlad doménového jména na IP adresu.

Připomeňme si, že všechna zařízení připojená na Internet, ať už jde o osobní počítač, router, chytrý telefon nebo server s uloženými doménami, spolu komunikují pomocí internetového protokolu, a aby se správně propojovali, musí mít svou IP adresu. Například zařízení, na kterém běží webové stránky www.nic.cz, má IP adresu 217.31.201.43. Abychom si nemuseli pamatovat číselný formát, vznikl systém doménových jmen (DNS), který slouží jako překladač písmenek na číslice. Tím pádem stačí vyťukat do počítače libovolnou doménu a systém DNS začne vyhledávat odpovídající IP adresu, načež se nám v rámci sekund zobrazí hledané stránky. Jenže, aby k tomu mohlo dojít, musí se domény do systému DNS nějak dostat. Za tímto účelem vznikly databáze, lépe řečeno registry domén prvního řádu, neboli nejvyšší úrovně (TLD – Top Level Domain). Ty se dělí na registry generických domén, které souhrnně označujeme gTLD, a jsou společné pro celý svět (např. .com, .net, .org) a na registry národních domén, které označujeme ccTLD (např. .cz, .sk, .at).

Domén je na světě čím dál tím víc a logicky se musí o ně někdo starat. V tento moment přicházejí na řadu organizace, které zajišťují správu výše zmíněných registrů na nejvyšší úrovni neboli správci domén – v České republice je to sdružení CZ.NIC. Jeho hlavním úkolem je vedení registru, komunikace s držiteli domén a tvorba pravidel samotné registrace. A právě v těchto činnostech jim má pomáhat registrační systém, který shromažďuje informace o jednotlivých doménách. Jedná se tedy o hlavní pracovní nástroj správců domén.

Sdružení CZ.NIC používá registrační systém FRED. Slouží ke správě nejvyšší domény .CZ, ale také českých ENUM domén, které jsou určené pro pokročilou internetovou telefonii. Mimochodem, vedle českých správců ho využívají také registry v Argentině, Kostarice, Albánii, Severní Makedonii, Tanzanii, Angole, Malawi, Lesothu a Macau. FRED je systém, který si sdružení CZ.NIC navrhlo podle svých představ a potřeb, tedy i na základě podmínek registrace. Ta se realizuje elektronicky a komunikace probíhá přes prostředníky (tzv. registrátory). Tedy uživatelé, kteří si chtějí pořídit doménu musí kontaktovat registrátora a skrze něj proběhne takzvaná registrace domény, případně řeší jiné složitější požadavky klientů. Role sdružení je tedy spíše koordinační, udržovací, zabezpečující a vyvíjející. Jinými slovy, jedná se o decentralizovanou správu domén.

Na první pohled se může zdát, že se registrační systém FRED týká pouze zaměstnanců CZ.NIC. Úplně tak tomu ale není. Registrační systém FRED je složený ze čtyř základních částí a dalších nástavbových aplikací. Jednotlivé části slouží různým skupinám uživatelů:

Jelikož v něm jsou uložené veškeré domény .CZ, tak se nepřímo týká každého uživatele, který chce vyhledat na Internetu českou doménu, ale nenechme se příliš unést. Ve skutečnosti si běžní uživatelé Internetu mohou na FREDa „přímo sáhnout“ skrz tzv. rozhraní PIF (Public Interface), které obsahuje především WHOIS. Jedná se o službu, kterou může využít každý, kdo potřebuje vyhledat údaje o registrovaných doménách. Například zjistit, kdo je vlastníkem domény, adresu majitele domény a podobně. Součástí veřejného rozhraní je také doménový prohlížeč, který slouží majitelům domén. Mohou přes něj provádět jednodušší úkony, jako jsou transfer domény či zablokování a odblokování objektů v registru, a které nemusí řešit přímo s registrátorem.

Registrátoři pracují v prostředí RIF (Registrar Interface), které slouží především pro zapisování a spravování domén koncových držitelů (tj. běžných uživatelů Internetu).

Pro práci administrátorů je určeno rozhraní ADIF (Admin Interface). Jedná se o část systému, která slouží pracovníkům sdružení, aby mohli provádět úpravy nastavení systému či dalších údajů, které jsou v něm uložené. Toto rozhraní se pak dále dělí do různých úrovní podle typu oprávnění, které daný pracovník má. Něco jiného tedy mohou vidět/dělat kolegové ze zákaznické podpory, testeři či administrátoři.

Nad vším stojí poslední část, jež propojuje ostatní – centrální registr. Ten zajišťuje ukládání dat a provádí automatické úlohy v pravidelných intervalech, jakými jsou kontrola expirace domén, správa ochranných lhůt nebo třeba technické nastavení konkrétních domén. Zde se vracíme k otázce, odkud se v DNS berou všechny domény. Tato část FREDa je totiž napojená na tolik důležitý systém DNS, s kterým přicházíme každý den do styku, a to ve chvíli, kdy zadáváme internetovou adresu do prohlížeče.

Jaké by tedy mělo být hlavní sdělení, které si dnes odnesete? Pojďme si to ještě jednou shrnout. Registrační systém lze připodobnit k jiným velkým registrům např. vozidel nebo nemovitostí. Jedná se totiž především o velkou databázi všech domén s koncovkou .CZ a jejich vlastností. Kolem této databáze jsou pak aplikace, které umožňují s uloženými údaji dále pracovat. Dalo by se nadneseně říci, že pokud by registrační systém FRED nefungoval správně, nebylo by možné si zobrazit webové stránky na českých doménách a dostat se tak k informacím, které potřebujeme. Jedná se o hlavní pracovní nástroj správce domény, ale může ho využít i veřejnost, především pokud si chce někdo ověřit, zda je jeho vysněná doména volná a tedy je možné si ji zaregistrovat nebo zjistit další informace. Naopak pro ty, co už doménu mají, může posloužit doménový prohlížeč.

Doufám, že alespoň někomu dnešní příspěvek pomohl se zase o něco lépe zorientovat ve spletitém fungování Internetu a internetových domén. Věřím, že budou mít během roku moji kolegové, kteří stáli nebo stojí u vývoje samotného softwaru, chvilku a připraví nějaký další blogpost k tomu letošnímu výročí.

Kategorie:

Po Dni bezpečnějšího internetu míří seriál #Martyisdead do škol

Út, 02/11/2020 - 11:25

Nedávno odvysílaný osmidílný seriál #Martyisdead, který mohli diváci zhlédnout na MALL.TV a koprodukčně se na něm podílelo i sdružení CZ.NIC, se chystá do škol.

Od poloviny února si mohou školy objednat speciálně upravenou projekci seriálu, po které bude následovat debata se studenty. Seriál, který je inspirovaný skutečnými případy kyberšikany, získal nedávno hlavní cenu na mezinárodním festivalu Serial Killer za nejlepší webseriál střední a východní Evropy.

Mezi témata, o nichž budeme se studenty po projekci diskutovat, patří nejen kyberšikana, ale i rizikové chování na internetu, vydírání nebo sexting; mimo to se také pokusíme popsat metody internetových predátorů. Dětem také ukážeme, jak se chovat ve vybraných situacích a kam se mohou případně obrátit se svými problémy.

I když jsou témata internetových predátorů poslední dobou často propírána v médiích, je situace obdobná jako před patnácti lety. Útočníci používají v několika variantách stále stejné postupy, pouze k tomu využívají jiné prostředí, například mobilní telefon či aplikace. Když děti naučíme tyto situace rozpoznat a ukážeme jim, kde a jak se mohou bránit, můžeme dost případů eliminovat již v počátku. Nejhorší jsou situace, kdy děti mlčí, nechtějí nebo se stydí někomu svěřit. Výsledkem jsou pak případy, které mohou mít i desítky poškozených.

Doporučená věková kategorie pro projekci je 12 let a výše. Ideálním prostorem je kino pro maximálně 120 žáků. Poptat projekci seriálu s debatou můžou zájemci buď na webových stránkách www.martyisdead.cz nebo na e-mailu bezpecnenanetu@nic.cz. O projekci a přednáškách určených pro školy, tedy jak pro žáky, tak pro pedagogy, se dozvíte více z propagačního letáku.

Kategorie:

Staré ODVR definitivně vypínáme 23. března 2020

Út, 02/11/2020 - 10:20

Na konci ledna jsme ukončili provoz anycast části starých Otevřených DNSSEC Validujících Resolverů, tzv. ODVR, a zvýšili tak bezpečnost provozu DNS anycastu pro českou národní doménu .CZ, se kterým byla tato část technologicky svázána. O plánovaném vypnutí jsme mnohokrát psali a dále komunikovali, ale nakonec jsme se rozhodli ukončit provoz pouze té části, která měla méně uživatelů, tedy anycast části. Zbývá vypnout unicast část a tento krok provedeme 23. března 2020 v 9:00.

Kromě oznámení na tomto blogu budeme samozřejmě informovat správce všech IP adres, ze kterých nám ještě stále provoz na starý ODVR unicast přichází a pokusíme se informovat i koncové uživatele pomocí sociálních sítí a dalších dostupných a relevantních médií. Přesto, že jsou nyní počty uživatelů starého unicastu ODVR v řádu jednotek tisíc, víme, že pro zrychlení přechodu na nové ODVR je třeba oznámit pevný termín ukončení původní platformy.

Apelujeme tedy znovu na správce sítě a uživatele. Prosíme zkontrolujte si, zda jako DNS resolver nevyužíváte IP adresy starého ODVR unicastu. Pokud neumíte zjistit, jaký používáte na svém počítači resolver, využijte našeho pomocného nástroje, který vám odpoví, zda máte změnu nastavení provádět nebo ne. Pokud vám test vrátí zelené „fajfky“ u starého unicastu, nemusí se zmíněného 23. března obávat. Pokud se ale u starého unicastu ve výsledcích testu objeví červené „křížky“, měli byste zbystřit a zajistit si okamžitou změnu nastavení u sebe nebo svého poskytovatele připojení. Návod, kde se DNS resolvery nastavujív naleznete například na stránkách projektu ODVR.

Pro ty zkušenější, ještě znovu opakuji výzvu pro změnu zcela konkrétně. Zapomeňte při DNS resolvingu prosím na: 217.31.204.130, 2001:1488:800:400::130 a (193.29.206.206, 2001:678:1::206 – již vypnuto), přejděte ihned na: 193.17.47.1, 2001:148f:ffff::1 a 185.43.135.1, 2001:148f:fffe::1.

Vypnutí starého unicastu ODVR nemůžeme bohužel odkládat, běží na velmi starém serveru, který doslova přesluhuje a je jen otázkou času, kdy by se na něm mohla objevit závada. To je v případě unicastu nepříjemné, protože se skutečně jedná o jeden kus hardware. Jeho následovníky, tedy několik serverů nového ODVR anycastu, spolehlivě provozujeme již od dubna 2019 a pojmout zbývající uživatele pro ně nebude nejmenší problém. Děkujeme, že změnu nastavení nenecháte až na termín po letošním 23. březnu.

Kategorie:

Opouštíme původní klec v datacentru

Čt, 02/06/2020 - 14:14

A je tady poslední díl seriálu o stěhování našich technologií do privátního sálu v ČRa Tower. Dle plánu nás v prosinci a lednu čekalo přestěhovat několik testovacích prostředí, interní systémy, přeložit zbývající optické propoje a uklidit původní klec.

Testovací prostředí

Testovací prostředí máme celkem tři – větší pro testování nových funkcionalit registru FRED, webů a služby MojeID, menší pro systémové administrátory a síťové pro network administrátory.cNejnáročnější bylo přestěhovat právě to větší prostředí čítající dvacet 1U serverů a jeden 2U router. Je to zkrátka hodně těžkého železa. Odstávku celého prostředí jsme předem domluvili s našimi testery na takový termín, aby jim to co nejméně zasáhlo do jejich naplánovaných činností.

Stěhování testovacího prostředí

Pro tyto servery jsme zvolili jeden z racků o šířce 600 mm, do kterého nelze umístit oblíbené vertikální 2U vyvazovací panely pro metalickou a optickou kabeláž. Použili jsme tedy alespoň tzv. „hřeben“, za který se veškerá kabeláž vyváže.

Pohled na switche a vyvázanou metalickou kabeláž

Tento rack jsme zaplnili z jedné poloviny, ale v letošním roce plánujeme i tuto část infrastruktury maximálně zvirtualizovat. Následně očekáváme, že rack obsadíme servery přibližně do velikosti 5U.

Všechny servery (vyjma routeru) jsou připojeny jen jedním uplinkem (modrý a šedý metalický patchcord) a samozřejmě červeným patchcordem pro IPMI management. Současně jsme použili jen jeden access switch a jeden management switch. Servery tedy nemají nastaven ether-channel. V rámci virtualizace a umístění nových serverů doplníme i druhý access switch dle našeho standardu.

Pohled na router a většinu serverů z teplé uličky

Většina zařízení jsou tak trochu muzejní kousky, jak ukazují následující dvě fotografie, ale pro testovací účely ještě slouží dobře.

Pohled na router a servery ze studené uličky

Pohled na další servery ze studené uličky

Servery pro systémové a síťové prvky pro network administrátory jsme museli dočasně umístit do vedlejšího racku, abychom rovnoměrně rozložili zatížení napájecí soustavy. Jakmile dokončíme již zmiňovanou virtualizaci, přesuneme i tuto část testovací infrastruktury do jednoho racku. Také tam umístíme pro účely testování i původní HW router z druhé pražské lokality, který máme zatím uložený ve skladu.

Pohled na část testovacího prostředí pro sys/net-administrátory

Optické propoje a interní systémy

Po přestěhování všech testovacích prostředí ještě zůstal v původní kleci optický propoj do našich kanceláří a optický propoj mezi oběma pražskými datacentry. V obou případech jsme přepojení provedli bez viditelného výpadku, neboť pro kanceláře máme ještě záložní linku a pražská datacentra jsou mezi sebou propojena dvěma nezávislými trasami v ether-channelu.

Dále jsme přesunuli časový server ntp.nic.cz, pro který jsme museli nechat připravit nový koaxiální kabel, na střechu k GPS anténě. Nebyla to úplně jednoduchá akce, správce datacentra natahoval kabel o délce 110 metrů a všechny prostupy ve zdech musel protipožárně ochránit.

Jako úplně poslední jsme přestěhovali několik serverů s interními systémy.

Úklid a předání původní klece

V průběhu ledna nastala ta nejméně oblíbená činnost, tj. odkabelovat všechny racky, propoje mezi nimi a do kabelovny a odvést poslední zařízení do skladu, která v kleci zůstala.

Všechny prázdné racky vypadaly trochu smutně…

Pohled na vystěhovaný původní rack

Žádné metalické a optické patchordy v původní kleci jsme v rámci stěhování již znovu nepoužili v privátním sálu. Jednak tam některé byly od začátku provozu, a potom jsme s většími racky a jiným rozložením zařízení v nich potřebovali jiné délky, odstupňované po 0.25m, pro perfektní vyvázání.

Zbylo nám tak opravdu hodně kabeláže, kterou necháme ekologicky zlikvidovat…

Metalické a optické patchordy z původní klece

Posledním zařízením, které jsme demontovali, byly původní páteřní switche, konzolový server (a dva obyčejné switche)…

Pohled na původní páteřní switche

Původní klec jsme opustili ve čtvrtek 30. ledna v 11:00, tedy 189 dní po převzetí vybudovaného privátního sálu. Splnili jsme tedy nejen všechny body z projektu, ale zvládli jsme to podle plánu. A z výsledku mám opravdu velkou radost. Moc děkuji všem, kteří se na tomto projektu podíleli!

Kategorie:

Letmé připomenutí ochrany osobních údajů, tentokrát s důrazem na e-shopy

Út, 01/28/2020 - 09:45

Před dvěma roky vrcholilo šílenství v souvislosti s nadcházející účinností předpisu Všakvyvítejakého. Takže u příležitosti 28. ledna, tedy Mezinárodního dne ochrany osobních údajů bylo jasné, o čem psát.

Léta plynou, nařízení Všakvyvítejaké je tady stále s námi, likvidační firemní a lidské tragédie se neodehrávají (a nebo ano, ale diskrétně) a můj názor na něj je kupodivu shodný s názorem ÚOOÚ, a to ten, že nešlo o žádnou revoluci a většina povinností už tady s námi byla dříve. Jisté pochybnosti mám o smysluplnosti pověřenců, což je ale na delší diskusi, stejně tak mne mrzí množství popsaného papíru, resp. vytížení datových úložišť a přenosových kapacit díky dokumentům typu „Privacy Policy“, jejichž četbě se věnuje málokdo, tedy pokud to nemá za povinnost.

Tím se volně dostávám k tomu, že i letos máme jedno nové nařízení, mezinárodně známé jako „CPC Regulation“ (Consumer Protection Cooperation Regulation), které už tedy účinnosti nabylo, a to 17. ledna. A taky k tomu, že se, rovněž mezinárodně, rozmohl takový nešvar, a to falešné e-shopy. To jsou na rychlo spíchnuté e-shopy s nabídkou nejčastěji oblečení a obuvi světoznámých značek, případně elektroniky, které jsou pověšeny na nově znovuzaregistrované domény (ano, znovuzaregistrované, protože jsou využívány domény, které dříve již registrovány byly) s nesprávnými či často dokonce fiktivními údaji držitele. Jako držitelé jsou ale uváděny fyzické osoby, na adresách, které někdy i existují, každopádně není možné jejich „falešnost“ jednoduše s minimálním zásahem lidské síly poznat.

A proč vlastně o tomhle píšu v souvislosti s ochranou osobních údajů?

Těch důvodů je několik:

  • Provozovatelé e-shopů, tedy ti opravdoví obchodníci, kteří jsou pro dozorové orgány dosažitelní, mají vůči spotřebitelům řadu povinností, včetně těch informačních. Napsat obchodní podmínky e-shopu tak, aby byly správně, a aby v nich bylo všechno, co má podle zákona být a vůbec v tomto smyslu nastavit funkčnost e-shopu, není úplně jednoduché. A v obchodních podmínkách je často opsán zákon. Nedostatky jsou sankcionovány. A co myslíte, že dělají spotřebitelé s takto pracně sestavenými obchodními podmínkami a dalšími dokumenty? Ano, správně… nečtou je. Spoléhají ve smyslu obecného právního povědomí na to, že můžou v určité lhůtě odstoupit od smlouvy a dostanou zpátky peníze. Jak by to mohlo být prosté, i bez těch stránek psaných drobným písmem (ne proto, že by neměly být čitelné, ale aby se vešly na rozumné množství stránek).
  • Titíž spotřebitelé zcela bez bázně a hany nakupují v zahraničních e-shopech. Hodně zahraničních, tedy neevropských, přesněji neevropskounijních. A platí tam kartou – nebo PayPalem. Třeba takový Aliexpress/Alibaba. A ono to funguje. Že by četli T&C AliExpresu/Alibaby… nemuselo by to být tak strašné, každopádně nějaké tam jsou, systém řešení sporů mezi prodávajícími a kupujícími je nastaven a z vlastní zkušenosti vím, že to funguje. I když tam není to, co vyžadují dozorové orgány po našich e-shopech. Privacy Policy, srozumitelnou, samozřejmě mají též. Spotřebitelé se s nimi můžou seznámit… jestli tak činí… úvahu nechám na vás.
  • Spotřebitelé vyhledávají zboží, které si přejí, prostřednictvím Internetu. Okamžitě získají přehled o nabídkách a cenách… a protože je známo, že peníze jsou vždy na prvním místě, jdou za nejlevnějším. A neváhají nakoupit oblečení třeba tady:

nebo boty třeba zde:

Další si můžete najít třeba na seznamu rizikových e-shopů, který vydává Česká obchodní inspekce. O něco horší, protože tam už bez legrace může jít o zdraví nebo život, je nelegální prodej léků (pozor, tady se ale nemusí vždycky jednat o falešné e-shopy, jen prodávající nemá příslušné oprávnění k prodeji daného přípravku, nabízí padělky, nejde o lék registrovaný v ČR a podobně) – seznamy zveřejňuje Státní ústav pro kontrolu léčiv.

Ceny jsou více než lákavé, takže je úplně jedno, že:

  • název domény nemá žádnou souvislost s nabízeným zbožím (že by si budoucí podvedený nakupující všiml, že prezentace není na stránce používající zabezpečený protokol https, o zeleném zámečku ani nemluvě, tedy vůbec nelze čekat… důležitá je cena a ta vidět je),
  • na žádném z e-shopů nejsou konkrétní údaje o provozovateli, že by se někdo podíval do registru domén na držitele je naprosté sci-fi, a to mám poměrně bujnou představivost,
  • obchodní podmínky, které tady v ČR musí všichni e-shopaři mít (viz výše), buď nejsou vůbec nebo je to elaborát ve stylu generátoru náhodných jmen s podivnou verzí češtiny (o tom, že by tam bylo vše, co má být, ani nemluvím), v horším případě jde o převzetí obchodních podmínek jiného subjektu, včetně jeho kontaktních údajů (a dotčený subjekt je pak skutečně velmi negativně dotčený, protože o tomto užití svých OP pochopitelně neví),
  • podobná situace, jako u obchodních podmínek, je s tzv. Privacy Policy – roztomilé, že?

A tak přesto, že tady máme nařízení Všakvyyvítejaké, spotřebitel nic nečte (a to ani název domény, na kterém se e-shop nachází), kliká, uvádí své osobní údaje Aninevíkomu, platí kartou Aninevíkomu (pseudoopatrnost v podobě dobírky jde stranou, je to láce) a pak se diví a já vlastně taky a taky dozorové orgány a OČTŘ.

Ano, osobní údaje, včetně údajů o platební kartě (a taky přihlašovacích údajů, které může používat i jinde) jsou v moci Kdovíkoho, který je použije kdovíjak, vybrané zboží nedostane, při troše štěstí dostane místo Adidasek žabky, když bude mít méně štěstí, nedostane nic, a když ho nebude mít vůbec, tak mu ještě někdo jiný začne užívat platební kartu.

K nařízení Všakvyyvítejakému nám tedy v lednu přibylo nové, které má zajistit ještě vyšší ochranu spotřebitele, ze kterého se nám možná trochu stává díky vší té regulaci a ochraně neopatrný jouda (i když náš občanský zákoník říká, že má rozum průměrného člověka… ehm). Implementace do českých právních předpisů zatím neproběhla, se stavem legislativního procesu se můžete seznámit zde.

Co by Vám v této souvislosti nemělo uniknout, je pravomoc, kterou příslušné orgány státní správy (v návrhu vymezeny § 24d, odst. 2), a to v § 24g (informační povinnost, a to i vůči bankám, která je přísnější) a v § 24i, zejména odst. 2):

a znění článku 9 odst. 4, písm. g) bod ii) a iii) nařízení, které je tímto…prováděno:

…a o tom si napíšeme příště.

Kategorie:

Jak se zapojit do Dne bezpečnějšího internetu?

Po, 01/27/2020 - 11:40

Již téměř tradičně si každé druhé únorové úterý připomínáme Den bezpečnějšího internetu. Ten letošní připadá na 11. února a v rámci projektu Bezpečně na netu bychom jej rádi využili především k osvětě a prevenci.

Zároveň bychom byli rádi, kdyby se každý zamyslel nad tím, jak může k tomuto dni přispět. Nebojte se, nežádáme vás o žádné finanční příspěvky, ale naopak. Nabízíme inspiraci, jak si vystačit i s málem a našimi bezplatnými materiály. Zde jsou naše tipy:

Pro rodiče
  • Máte menší děti a pouštíte jim večer televizi či videa z YouTube? Zkuste 11. února udělat změnu a pustit jim naši audioknihu ON-LINE ZOO. Když už knihu budete mít staženou, můžete ji využít i později při cestování autem.
  • Pro děti ve věku 9 – 12 let si stáhněte a vytiskněte naše bezpečnostní pexeso. Spolu s dětmi si jej pak vystříhejte a zahrajte. Pro oživení si zaveďte pravidlo, že ten, kdo daný výraz nejlépe vysvětlí, získá nejen bod za nalezení páru, ale i další za správné vysvětlení pojmu.
  • Vyzkoušejte digitální večerku. Po sedmé večerní zkuste celá rodina vypnout mobilní telefony, nesedat si k počítači ani k tabletu a místo toho si povídat. Zeptejte se třeba dětí na to, jak odhalují na sociálních sítích falešné účty nebo kolik mají účtů na Instagramu a proč.
Pro učitele
  • Zkuste uspořádat „hodinu na ruby“. Požádejte své žáky, aby pro vás, nebo ještě lépe další učitele a vedení školy, na 11. února připravili přednášku o bezpečnosti. Nechte na dětech, jaké konkrétní téma si zvolí. Pokud jim chcete trochu pomoci, napovězte jim – zda se setkali se šikanou ve hrách a jak se jí bránit, jak poznat reklamní posty na sociálních sítích a jak je vnímají nebo jaká rizika podle nich přináší TikTok.
  • Pusťte si s osmáky či deváťáky jeden nebo dva díly našeho seriálu #martyisdead o kyberšikaně (namátkou doporučujeme druhýtřetí díl). Poté se pobavte o tom, jak je snadné se v on-line světě vydávat za někoho jiného, zda se jim stalo, že po nich chtěl někdo intimní fotku či jim přišel vyděračský e-mail požadující zaplacení peněz nebo splnění nějakého úkolu.
  • Oživte hodinu výpočetní techniky novou aktivitou. Pokud jste ještě nebrali bezpečnost hesel, můžete zkusit hru zaměřenou na gesta pro odemykání telefonu. Nebo na (ideálně tvrdý) papír vytiskněte loutky lva a antilop z naší knihy ON-LINE ZOO a zahrajte si s dětmi divadlo o tom, jak je snadné se vydávat za někoho jiného (tzv. grooming).
Registrujte se, informujte a vyhrajte!

Pokud se chcete připojit k mezinárodnímu Dni bezpečnějšího internetu, zaregistrujte se na stránkách Safer Internet Day. V případě, že se rozhodnete uspořádat nějakou aktivitu, budeme rádi, když o ní budete informovat, ať již na Instagramu, Facebooku nebo Twitteru. Abychom se o vás dozvěděli, přidejte, prosím, hashtag #bezpecnenanetu nebo nás označte na Facebooku. Pokud na Twitteru přidáte i #SID2020 nebo #SaferInternetDay, aktivuje se speciální emotikon :o).

Jako národní koordinátor Dne bezpečnějšího internetu bychom vaši aktivitu rádi ocenili. Nezáleží přitom, zda se necháte inspirovat našimi tipy nebo přijdete s vlastním nápadem. Ze všech registrovaných škol, o jejichž aktivitě se díky sociálním sítím dozvíme, vybereme deset, které obdrží prezentér a dvě vybrané knihy z naší edice. Pět rodičů pak odměníme buď bezdrátovým reproduktorem nebo knihou ON-LINE ZOO v krásné pevné vazbě!

Kategorie:

Výměna kyberbezpečnostních expertů

St, 01/15/2020 - 10:30

Na konci předminulého roku se tým CSIRT.CZ zapojil do projektu CyberExchange. Jak už název napovídá, cíl projektu je motivovat pracovníky jednotlivých evropských kyberbezpečnostních týmů, aby podnikli výměnnou cestu k partnerům. Nejprve proběhla seznamovací fáze – každý tým vyslal zástupce, který prezentoval vyvíjené nástroje. Přestože se jako CSIRT.CZ s řadou ostatních týmů pravidelně setkáváme u jiných příležitostí, zde byl prostor představit všechny aktivity týmu naráz. Následovalo období zvažování a domlouvání, kterého experta kam pozvat. Každý subjekt by měl vyslat přibližně dva stážisty a dva další přijmout, přičemž výměny jsou myšleny jednostranně – málokdy se stane, že by tým stejnou zemi přijal i navštívil. Bylo třeba vyladit detaily, naplánovat rámcový rozvrh stáže, každá instituce zaslala partnerům svá očekávání, zřizovaly se vzdálené přístupy, aby při příjezdu pracovníka systémy běžely a neztrácel se čas čekáním na pracovní stanici nebo podpis certifikátu pro přístup do bezdrátové sítě. Pak už přichází na řadu samotná stáž – odlet, ubytování, nástup do cizí kanceláře. Za první rok se napříč Evropou realizovalo celkem 14 výměn, dvě z toho se týkaly CSIRT.CZ: CSIRTMalta a CERT.pl.

Během výměny panuje zvláštní atmosféra. Jednak se do hry dostávají subtilní rozdíly v denním fungování; zatímco CSIRT.CZ je provozován neziskovým českým NICem, CSIRTMalta spadá pod ministerstvo vnitra a bezpečnosti a CERT.pl pod výzkumný institut NASK ministerstva informatiky. A jednak je ve vzduchu zvláštní očekávání; stážista pořádně neví, kdy bude plnit roli učitele a kdy bude žákem. První den uběhne rychle – test pracovní stanice, seznámení s kolegy, představení firmy. Pak dojde na vzájemnou prezentaci znalostí a výměnu zkušeností z incident handlingu.

Je něco zcela jiného vidět cizí nástroje nejen z rychlíku (z prezentace), ale při jejich každodenním užívání. Mnohem snáze se pak rozhoduje, který nástroj či technika může být nasazena doma. Naopak svěží pohled externisty pomůže určit, zda ve workflow partnera není aspekt, na který se lze podívat ze zcela jiného úhlu, a díky tomu, že je člověk vytržen ze své denní agendy, může se zaměřit na konkrétní výzvy.

S maltskými kolegy jsme se zaměřili na vývoj IntelMQ; přáli si jej začít používat. Vzhledem k několikaletým znalostem získaným v projektu PROKI jsme mohli poskytnout bohaté zkušenosti. Nejprve jsme spolu prošli proces instalace software na čistý stroj. Což bylo překvapivě vysoce inspirativní, neboť zkušeného vývojáře netrknou do očí problémy, do nichž prvouživatel snadno zabředne. Dělali jsme poznámky o každém zaškobrtnutí a posléze do softwaru implementovali nový mechanismus zpracování chyb. Ten se snaží každou chybu kategorizovat a popsat s mnohem relevantnějšími informacemi než dříve. Pokud vyhodnotí, že se jedná o dobře známou past, přehledně vypíše tip, co se má udělat, a přímý odkaz na místo do dokumentace. Vždycky navíc vyprodukuje příkaz, s jehož využitím lze chybu přesně replikovat, aby si ji administrátor mohl snadno odladit a nemátlo ho např. nastavení uživatelů na vzdáleném serveru. Administrátor již nemusí marně koukat do zdrojového kódu programu a slepě zjišťovat, jak chybu nasimulovat, aby ji mohl vyřešit.Dále jsme poupravili proces nakládáním se zdroji ShadowServeru a navrhli čisté řešení pro přístup do relačních databází, abychom osvobodili IntelMQ od závislosti na PostgreSQL. Všechny změny jsme poskytli zpátky komunitě, takže jich využije každý uživatel software; včetně našich domácích kolegů.

Hlavní přínos stáže v CSIRTMalta je však dost možná knihovna Envelope, která začala jako malý skript umožňující jednosměrné GPG šifrování souborů, které by šly bezpečně zasílat partnerům. Řešení, které doposud CSIRTMalta používalo, bylo manuální; pátrali po automatizaci. Proč ale jenom šifrovat, když skript může přílohy rovnou rozeslat? Přestože na oficiálním repozitáři Pythonu PyPi existuje na 200 tisíc knihoven, žádná se nehodila na sto procent; některé byly nedotažené, některé byly skvělé, dělaly však jen část práce. A tak vznikla knihovna Envelope; jako vrstva nad několika specializovanými knihovnami týkajícími se e-mailu, podepisování a šifrování, s propracovaným programovacím rozhraním a dokumentací. Její cíl je sejmout z programátora tíži vědomostí, které chtě nechtě musí nasát, když chce udělat úkon, o němž by laik vůbec nepředpokládal, že je složitý. Například zašifrovat přílohu.

Polský kolega u nás objezdil hned tři různá oddělení. Kromě pražské centrály zajel na tři dny do pobočky v Českých Budějovicích a nakonec na vlastní žádost pracoval ještě s kolegy v týmu Turris. Dozvěděl se o interní infrastruktuře projektů jako HaaS a RPKISentry a podělil se s námi o přístup k některým polským interním systémům. Coby hmatatelná stopa po výměně zůstala aplikace Zone monitor, kterou jsme napsali a nasadili a s jejíž pomocí můžeme ohlídat, které domény se nově dožádaly HTTPS certifikátu a podle jména a screenshotu odhadnout, zda majitel domény hodlá provozovat phishing.

Výměny ještě nekončí, v tomto roce se za námi chystá řecký FORTH a náš zástupce pojede do chorvatského ISSB. Z anonymního jména spolupracovníka se stává další kolega a z e-mailové adresy konkrétní kancelář tisíc kilometrů daleko.

Kategorie:

20. ledna vypínáme staré ODVR. Nebo ne?

Po, 01/13/2020 - 14:00

Přicházím s posledním připomenutím nutnosti změny nastavení svých počítačů či síťových zařízení. V pondělí 20. ledna v 9:00 by Vám mohl přestat fungovat Internet, protože vypneme první část platformy starých Otevřených DNSSEC Validujících Resolverů, tzv. ODVR. Samozřejmě jen v případě, pokud tuto odstavovanou službu ještě využíváte.

Opakuji, že k tomuto kroku jsme se rozhodli přistoupit proto, abychom zvýšili bezpečnost provozu DNS anycastu pro českou národní doménu. Část staré instance ODVR totiž sdílí s DNS anycastem pro .CZ nejen fyzickou infrastrukturu, ale používá i IP adresu z rozsahu určeného primárně DNS anycastu pro .CZ. O nové instanci ODVR a konkrétních důvodech vypnutí původního ODVR informujeme poměrně intenzívně již tři čtvrtě roku, termín vypnutí staré jsme oznámili před více jak měsícem. Jak jsme na tom dnes s překlopením provozu na nové řešení, je vidět z následujícího grafu. Většina provozu, která směřuje na naše resolvery, je již odbavována z nového řešení a jsme tedy velmi rádi, že naši uživatelé vyslyšeli naše výzvy ke změně. Děkujeme!

Vhledem k faktu, že provoz na původním unicastu je ale stále poměrně silný, rozhodli jsme se v uvedený termín 20. ledna vypnout pouze starou anycast část. Analýzou provozu jsme totiž zjistili, že drtivá většina IP adres, ze kterých přicházejí požadavky na starou instanci ODVR, využívá jak anycast, tak unicast instancí. Tedy vypnutí anycastu by na těchto zařízeních nemělo způsobit problém. Pouze několik málo stovek IP adres (v pracovní dny cca 200 až 300) využívá ze původních ODVR pouze anycast instanci a jejich provoz nedosahuje ani tři procenta z celku. Ano, uživatelé za těmito IP adresami na problém po 20. lednu narazí, pokud ještě neprovedou změnu, viz níže, ale kvůli tak malému počtu uživatelů odkládat vypnutí nechceme (navíc, pokud mají doporučené nastavení svých DNS, mají v konfiguraci ještě alespoň jeden další server). Odložíme však vypnutí staré unicast části do doby, až její provoz dále výrazněji poklesne. Postup vypnutí anycastu provedeme, zjednodušeně řečeno, tak, že na anycast nodech zastavíme `unbound` a aby nedocházelo ke zbytečným timeoutům u uživatelů, přidáme do iptables `REJECT` na adresy 193.29.206.206 / 2001:678:1::206. Pár dní necháme takto odstavené, teprve pak přistoupíme k dalším krokům.

Apel na správce sítě a uživatele, i přes pokračující provoz staré unicast části, zůstává. Prosíme zkontrolujte si, zda nevyužíváte stále ještě onu vypínanou část ODVR. Pokud neumíte zjistit, jaký používáte na svém počítači resolver, využijte našeho pomocného nástroje, který vám odpoví, zda máte změnu nastavení provádět nebo ne. Pokud Vám test vrátí zelené „fajfky“ u starých instancí, nemusí se zmíněného 20. ledna obávat. Pokud se mu ale ve výsledcích testu objeví červené „křížky“, měl by zbystřit a zajistit si okamžitou změnu nastavení u sebe nebo svého poskytovatele připojení.

Pro ty zkušenější, ještě znovu opakuji výzvu pro změnu zcela konkrétně. Zapomeňte prosím na: 217.31.204.130, 2001:1488:800:400::130 a 193.29.206.206, 2001:678:1::206, přejděte včas na: 193.17.47.1, 2001:148f:ffff::1 a 185.43.135.1, 2001:148f:fffe::1.

Kategorie:

Naše nejúspěšnější články roku 2019

Po, 01/06/2020 - 11:37

Dnes jsme si pro vás připravili přehled nejčtenějších příspěvků našeho blogu za uplynulý rok. Celkem v našem internetovém zápisníku vyšlo 49 článků na různá témata, přičemž mezi nejvyhledávanější patřila osvěta v oblasti internetové bezpečnosti, systém DNS a technologie DNSSEC, nové datové centrum nebo projekt Turris. Nyní se pojďme podívat, co vás konkrétně zaujalo nejvíce.

1. Spouštíme nové ODVR

O tom, že se někdy musí vyměnit staré za nové, psal ve svém blogpostu vedoucí systémových administrátorů CZ.NIC Václav Steiner:

…V čem je nové ODVR jiné? Za prvé, všechny servery běží na novém DNS anycastu, který však není součástí .CZ anycastu. Propagují novou dvojici IPv4+IPv6 adres z nového ASN 20701. A protože, na rozdíl od situace před deseti lety, máme svůj vlastní resolver, nahradili jsme Unbound za KNOT Resolver (v době vydání tohoto blogpostu ve verzi 4.0), a to se zapnutou podporou DNS over TLS. …“

2. Upozornění před filmem „Kto je další“

Jiří Průša, náš projektový koordinátor, upozornil na to, že i mistr filmař se někdy utne a měli bychom vědět, na co se s dětmi podíváme:

„…Jako národní centrum zaměřené na bezpečnější internet nejen pro děti proto českým školám doporučujeme velmi pečlivě zvážit případnou hromadnou návštěvu promítání tohoto filmu či jeho využití např. ve výuce. …“

3. Nový seriál #martyisdead ukazuje drsnou tvář Internetu

Internet může být dobrý pomocník, ale zlý pán. Po letech praxe v oblasti online bezpečnosti dětí na Internetu o tom ví své Martin Kožíšek, koordinátor projektu Bezpečně na netu.

„… Čísla, která nás motivovala přenést toto téma na obrazovky, jsou děsivá. Až osm procent dětí má zkušenost s vydíráním. Odhadem přes deset dětí ročně spáchá v České republice kvůli problémům na Internetu sebevraždu. …“

4. Pohled do zákulisí návrhu a výroby krabiček Turris MOX

Pod pokličku výroby modulárních routerů Turris MOX nás nechal nahlédnout Petr Bílek, manažer hardwarového vývoje:

Už od počátku vývoje routeru Turris MOX jsme stáli před nelehkým úkolem – jak celý modulární systém poskládat do sebe, tak, aby se při manipulaci nerozpadl a zároveň, aby byl pro uživatele co nejvíce přívětivý, když jej budou chtít opakovaně skládat a rozebírat. …“

5. Vylepšení pro bezpečnější přihlašování do mojeID a další novinky

Bezpečnosti není nikdy dost a musí se na ní neustále pracovat. Zdeněk Brůna, technický ředitel sdružení, ve svém příspěvku představil bezpečnostní novinky služby mojeID:

„… Jedná se o metodu, v níž se využívá FIDO2, což je otevřený standard pro autentizaci, která umožňuje dvoufaktorové ověření pomocí specializovaných USB / NFC / Bluetooth zařízení (jsou pak bezpečnostním/autentizačním tokenem) v kombinaci s podporou webových prohlížečů. …

6. Téměř všechny .CZ domény jsou připraveny na únorovou údržbu DNS

Nejen skauti, ale i kolega Petr Špaček ví, že je dobré být připraven… na DNS Flagday 2019. Jak nakonec obstála .CZ doména, se dočtete v jeho textu:

„… K tomuto účelu Laboratoře CZ.NIC vyvinuly vlastní nástroj pro skenování a vyhodnocování domén, který z dílčích výsledků technických testů počítá celkový stav domény. Proces sběru a vyhodnocení dat detailně popisuje metodika (v angličtině). My se ale pojďme podívat na výsledky! Z měření provedených mezi 11. a 14. lednem vyplývá, že pouze 0,12 % všech domén v .CZ registru není připraveno. …“

7. Teplo je třeba uchladit

Aby se našemu privátnímu sálu takzvaně nezapalovala lýtka, je zapotřebí kvalitní chladící technologie. Jak jsme to vyřešili, informoval opět Zdeněk Brůna:

„… Distribuce chladného vzduchu z CoolTop jednotky je velice plynulá, protože máme přístup vzduchu rovnoměrný před všechny racky ve studené uličce. CoolTop má jednu obrovskou výhodu, tj. velký průtok vzduchu. Jen pro zajímavost, pokud bude v chodu jeden CoolTop na 100 %, tak se vzduch ve studené uličce vymění za šest sekund, což je výkonově více než dostatečné. …“

8. Kolik je 52U aneb Jaké budeme používat racky

Každý milimetr se počítá. S tím jsme počítali i my, když jsme do našeho privátního sálu instalovali nové racky. Více o tom napsal kolega Václav Steiner:

„ … A právě těch 10U navíc u všech devíti nově instalovaných racků nám dává požadovaný upgrade o více jak 50 % kapacity privátního sálu oproti výchozímu stavu se sedmi racky po 42U. …“

9. Chyba v implementaci DNSSEC v BIG-IP load-balancerech od F5

Některé chyby mohou být závažnější než jiné. Jednu z těch opravdu závažných se podařilo odhalit týmu Knot Resolver. O co přesně šlo, přiblížil vývojář Petr Špaček:

„… Celý příběh by se dal zkrátit do věty „příčinou chyby je nedodržení technického standardu RFC5155 sekce 3.1.8„, nejspíš jako důsledek snahy o zjednodušení si práce při implementaci. …“

10. Knot Resolver slaví páté narozeniny

Všechno nejlepší Knot Resolveru popřál ve svém blogpostu vedoucí Laboratoří CZ.NIC Ladislav Lhotka a nezapomněl ani na důležité milníky:

„… Na rozdíl od supernov se softwarové projekty obvykle rodí skromně, bez velkých spektakulárních efektů. Faktickou existenci Knot Resolveru zahájil tento commit v GitLabu …“

Na závěr dnešního příspěvku bychom vám rádi poděkovali za přízeň a pozvali vás k odběru našich blogpostů i v roce 2020. A jestli chcete být informováni o našich novinkách jako první, sledujte nás na sociálních sítích – Facebook, Twitter nebo LinkedIN.

Kategorie: