Příprava síťové infrastruktury a základní osazení racku

Po všech přípravách „na sucho“ začínáme skutečně pracovat na síťové infrastruktuře privátního sálu aneb dokud se netahají kabely není to žádná práce! Minulý týden jsme se tedy pořádně protáhli a vyzkoušeli si práci na štaflích, když jsme do předem připravených žlabů pečlivě zaváděli metalické a optické kabely a také jsme do racků namontovali předem připravené switche a vyvazovací panely.

TOP 10 roku 2018

Začátek roku bývá časem, kdy se můžeme ohlédnout za uplynulými dvanácti měsíci. A protože si myslíme, že si takové ohlédnutí zaslouží i náš blog, pojďme na něj. Suma sumárum v roce 2018 vyšlo na blogu zaměstnanců CZ.NIC 55 příspěvků od 28 autorů, které si zobrazilo úctyhodných 51 000 čtenářů (nejvíce z České republiky a ze Slovenska). Hojně navštěvované byly příspěvky, které se vztahovaly k bezpečnosti, systému DNS a technologii DNSSEC a ty, které se týkaly vzdělávání a osvěty na Internetu nebo projektu Turris. Jaký je tedy onen TOP 10 našich blogpostů roku 2018?

Reinstalace Openldap v CZ.NIC

Jelikož se na začátku roku objevila „výzva“ reinstalovat LDAP, který nám v CZ.NIC běžel na starším OS, řekl jsem si, že takto zajímavou „challange“ nechci minout. A takto natěšený jsem byl zhruba do doby, než mi došlo, že na stejném serveru běží zřejmě „jako bonus“ Freeradius a Radsecproxy s připojením k Eduroamu. Ten se měl samozřejmě přepisovat také, jelikož se syntaxe mezi verzemi Freeradius v2 a v3 v lecčems změnila. Až teprve nyní jsem pochopil a obdivoval trpělivost lidí, kteří tyto věci v CZ.NIC nastavovali přede mnou a je mi jasné, že si s nimi celkem „užili své“. Ale to je jiná kapitola, tento blogpost má být výhradně o instalaci LDAP. Zdůrazňuji, že tento článek pojednává pouze o základním nastavení LDAP.

Aplikace Open Nettest měřila rychlost Internetu až ve Francouzské Polynésii

Kdo si chce otestovat rychlost svého připojení k Internetu, nabízí se mu v obchodě s aplikacemi hned několik možností. V rámci mezinárodního projektu “Open crowdsourcing data related to the quality of service of high-speed Internet” (zkráceně MoQoS) vznikla aplikace na měření vysokorychlostního Internetu s názvem Open Nettest. Pomocí této aplikace je možné otestovat např. rychlost připojení v telefonu, které nám poskytuje mobilní operátor, či rychlost připojení prostřednictvím Wi-Fi sítě.

Případová studie: CSIRT.CZ a statická analýza malware

Na základě upozornění nejmenované hostingové společnosti jsme se dostali k analýze souboru WindowsDefenderService.ini), který aktuálně není rozpoznán žádným z běžných antivirů, a dále souboru (EventManager.dll), jenž rozpoznají pouze tři antivirové systémy. Po prozkoumání obou jsme se rozhodli publikovat tento blogpost, který by měl ostatním pomoci zjistit, zda jejich servery nebyly napadeny; v závěru článku jsou uvedeny IoC, s jejichž využitím by mělo být možné ověřit, zda i vaše servery nebyly kompromitovány.

Tox a jeho použití v CZ.NIC

Před nějakou dobou jsme se v CZ.NIC rozhodli k testování našich projektů v Pythonu použít projekt Tox. Tento projekt umožňuje sjednotit testování projektů v různých prostředích (lokálních vývojových i těch na integračních serverech) a také usnadňuje testování možných kombinací závislostí. Obzvláště druhý bod se nám s přechodem na Python 3 zdál důležitý.

Kolektor DNS provozu

Vydáváme dns-collector, vstupní část našeho systému pro monitorování a analýzu provozu našich DNS serverů. Spolu s pokročilou analýzou shromážděných dat můžeme nejen sledovat provoz DNS a detekovat naléhavé problémy, ale také zjišťovat a zkoumat dlouhodobé trendy a problémy (například nesprávnou konfiguraci vnějších serverů). Tento systém jsme prezentovali už na konferenci IT 15.2 (video a prezentace v češtině).

Přechod na eliptické křivky v doméně CZ

Historie nasazení technologie DNSSEC v doméně CZ je již víc než desetiletá a v jejím průběhu došlo k několika důležitým změnám. Vezměme například rok 2010, který byl z pohledu nasazení DNSSEC přímo nabitý událostmi. V první řadě proběhlo v červenci podepsání kořenové zóny a hned vzápětí také vůbec první rotace KSK klíče se změnou algoritmu mezi doménami nejvyšší úrovně, kterou jsme v doméně CZ provedli v srpnu. Po uplynutí osmi let si tento „double“ letos zopakujeme, jen v opačném pořadí. Na říjen je naplánována odložená první rotace KSK klíče kořenového zóny (bez změny algoritmu). No a v červnu provedeme v CZ doméně již avizovanou rotaci KSK klíče, opět se změnou algoritmu. Tentokrát ale jako první správci domény nejvyšší úrovně použijeme algoritmus ECDSA založený na eliptických křivkách.