V CZ.NIC používáme Hadoop převážně k ukládání provozu z našich autoritativních DNS serverů pro doménu .CZ a provozu z našich veřejných resolverů ODVR. Ke sběru dat používáme náš vlastní nástroj DNS Probe, který nasbíraná data odesílá na Hadoop servery. K tomuto účelu provozujeme vlastních 7 až 8 serverů s instalací Hadoopu a několika podpůrných nástrojů (Hive, Spark, Impala,…). Proces sběru dat DNS provozu je ilustrován na obrázku níže.
Anymon
Dovolím si volně navázat na blogpost kolegy Zdeňka Brůny, který se před časem pokusil přiblížit problematiku generování a podepisování .CZ zóny pomocí lidsky pochopitelné metafory. I já bych rád poodkryl jednu z oblastí správy DNS, tentokrát zdokonalování monitoringu jednotlivých nodů našeho anycastu. Představme si, že provozujeme řetězec obchodů, poboček, a zajímá nás, jestli opravdu zaměstnanci pracují a pobočky mají otevřeno. Kontrolu můžeme dělat interně, tedy aby nám zaměstnanec nebo nějaký systém vždy po určitém intervalu odpovídal. To může zdatnější zaměstnanec nafixlovat, aby to vypadalo, že vše funguje, jak má. Ve skutečnosti ale zaměstnanci budou už doma s nohama na stole. Během toho budou naštvaní zákazníci zlověstně ťukat a lomcovat s dveřmi pobočky a pak psát nerudné komentáře, že je zavřeno, i když má být otevřeno. Ideální řešení by bylo, kdybychom měli někoho, kdo pravidelně půjde, vezme za kliku dveří a zkontroluje, že je otevřeno. Případně zburcuje manažera pobočky nebo nahlásí nefunkční pobočku firmě, která zmíněný řetězec provozuje.
Generování a podepisování zóny .CZ prošlo servisní prohlídkou, původní součástky nahradil systém Knot DNS
Základní stavební kameny správy registru naší národní domény se ve svém okolí snažím popisovat poměrně často. Přesto (nebo právě proto) je stále „tečka cézet“ vnímáno jako něco, co prostě funguje. Obdobně jako když ráno sednete do auta a odvezete děti do školy. Počítáte s tím, že vám cesta zabere obvyklých 10 minut (nebo 15 pokud potřebujete doplnit palivo) a nebudete muset řešit žádné trable. I když víte, že je třeba pravidelně měnit olej, kontrolovat a měnit opotřebovávané součástky nebo opravovat závady vzniklé provozem, většina z vás tahle „vykolejení ze stavu funguje“ nechává na odborníky v servisu nebo aspoň na šikovného souseda a vyvaruje se mytí rukou od kolomazi nebo potřeby znát jaký typ brzdových destiček potřebuje. Moderní vozy vás dokáží o nutnosti zásahu informovat a vy potřebujete jen znát správné telefonní číslo. Přesto, že člověku na druhé straně úplně nerozumíte, protože máte základní povědomí o fungování auta, dokážete ho pochopit.
Využití FIDO klíče GoTrust IdemKey pro digitální podpis (…např. DNSSEC)
Před několika měsíci došlo ke spuštění možnosti využití mojeID pro přístup ke službám státní správy pomocí technologie FIDO. Velká část uživatelů může za tímto účelem použít FIDO klíč integrovaný do svého operačního systému, jako např. Windows Hello případně Android klíč na telefonu nebo tabletu. Jednoznačně se jedná o nejpohodlnější cestu k elektronickým službám státu – bez nutnosti pořizovat jakékoliv zařízení (čtečky, karty) nebo instalovat něco dalšího do svých zařízení (obslužný software, potvrzovací mobilní aplikace). Pro uživatele, kteří možnost využití systémového klíče nemají, jsme chtěli nabídnout dostupnou alternativu v podobě externího klíče použitelného přes USB nebo NFC rozhraní, a to jak v počítači tak v telefonu. K tomuto účelu byl zvolen FIDO klíč GoTrust IdemKey, který si nyní každý může velice jednoduše pořídit. Tento klíč totiž není jen FIDO klíč určený pro potvrzení autentizačních transakcí, ale může také plnit roli čipové karty pro digitální podepisování dokumentů podobně jako např. elektronický občanský průkaz, nebo může fungovat jako HSM (Hardware Security Modul) pro podepisování DNS záznamů technologií DNSSEC.
Jsme ARM pozitivní…
…, tedy zatím jen v infrastruktuře našeho .CZ DNS anycastu. Ale začněme pěkně od začátku.
V letošním roce nás čeká pravidelná obměna DNS serverů po uplynutí supportu v neveřejné lokalitě. V této naší třetí české lokalitě neběží žádný DNS stack, ale takzvané standalone DNS servery. Abychom dodrželi požadovanou redundanci, pro každé písmenko DNS anycastu (A, B a D) jsou tu v provozu dva servery. Celkem tedy šest serverů. Pokud bychom nechtěli nic měnit, obměníme prostě stejný počet serverů, provedeme instalaci a konfiguraci a jsme hotovi. Byla by však škoda nevyužít příležitost a v této lokalitě „postavit“ DNS servery trochu jinak.
Efektivnější sběr informací z DNS serverů
Od konce ledna 2021 se ze všech autoritativních DNS serverů provozovaných sdružením CZ.NIC sbírají informace o DNS transakcích (dotazech a odpovědích) s využitím nového standardního formátu Compacted-DNS (C-DNS). Jeho specifikace je obsažena v RFC 8618. Pro sběr těchto dat používáme software DNS Probe vyvinutý v Laboratořích CZ.NIC ve spolupráci s FIT VUT Brno. Završila se tím zhruba půlroční etapa přechodu od tradičního a námi dříve používaného formátu PCAP, během níž jsme testovali výkon a stabilitu DNS Probe a porovnávali výsledky získané v obou formátech.
Deset nejčtenějších článků roku 2020 aneb Co vás nejvíce zaujalo?
Už několik let si v našem internetovém zápisníku můžete přečíst pravidelnou dávku novinek a zajímavostí ze světa (českého) Internetu a internetových technologií. Nebylo tomu jinak ani v roce 2020, ve kterém vzešlo z klávesnic našich autorů celkem 52 článků. Mezi nejvyhledávanější pak patřily ty, které se věnovaly vypnutí starých ODVR a obecně oblasti DNS. V těsném závěsu pak zůstaly příspěvky zabývající se projektem Turris, infrastrukturou nebo bezpečností a s ní související osvětou. Také stojí za zmínku nový seriál Krátké vlny, který přinášel pravidelný přehled novinek z digitální džungle.
DoH na ODVR ostře a v Chrome
Od loňského května, kdy jsme oznámili spuštění experimentálního provozu DNS over HTTPS (zkráceně DoH) na našich Otevřených DNSSEC Validujících Resolverech (ODVR) byly na těchto našich resolverech odbaveny miliardy DNS dotazů. Za tu dobu ale jen neplynul čas a DNS, ale ODVR jsme kompletně přesunuli na novou anycast infrastrukturu, oddělenou od infrastruktury pro .CZ doménu. Navíc jsme průběžně optimalizovali provoz jak celého ODVR, tak již zmíněného DoH. Jeho implementace v Knot Resolveru, který naše ODVR pohání, nebyla, hlavně z počátku, úplně stabilní a jsme moc rádi, že nám naši uživatelé pomáhali s jejím laděním. Podíl DoH na celkovém provozu ODVR jen výjimečně přesahuje dvě procenta.
Šifrované DNS v Knot Resolveru: DoT a DoH
V tomto příspěvku popíšeme rozdíly mezi dvěma rozšířenými protokoly pro šifrování DNS: DNS-over-TLS (DoT) a DNS-over-HTTPS (DoH). Porovnáme technické aspekty těchto protokolů a jejich vliv na soukromí uživatelů. Představíme také novou vestavěnou podporu DoH v Knot Resolveru a vysvětlíme některá naše rozhodnutí při její implementaci.
Follow the DNS
V dnešní době již to tak „nefrčí“, ale na začátku tohoto tisíciletí přinesla sílící globalizace společně s rozmachem moderních technologií a hlavně Internetu pojem „Follow the Sun“. Pro mladší nebo starší, co to již zapomněli, ve stručnosti o co šlo. Například při provozu online služeb, které musí typicky fungovat nepřetržitě a uživatelé k nim mohou přistupovat odkudkoliv a kdykoliv, se může stát, že služba přestane fungovat nebo ji uživatel neumí použít. Kdykoliv. Jak zajistit technickou podporu takové službě, aniž byste v jednom časovém pásmu nutili pracovníky bdít, když je noc? Rozprostřete takové pracovníky po světě tak, že máte kdykoliv někoho, kdo má den (the Sun nad hlavou) a může tedy podporu online služby zajistit. A když to ten pracovník nezvládne dořešit, předá to dalšímu, který je směrem po sluníčku, aby práci dokončil. To, že se pak neměřil čas vyřešení požadavku v hodinách, ale v počtu oběhnutí požadavku kolem Země, je věc podružná.