Forwarded from Эшер II
#dns 🔥🔥🔥 Есть такая технология — DNSSEC. Она позволяет подписывать ответы DNS (это то, что отвечает например за связь домена и IP-адреса), чтобы ответ нельзя было подделать. Внедрение слабое, но есть (требуйте у вашего регистратора или хостера). Но множество клиентов настроены на проверку DNSSEC, если она есть. Корневая зона подписана. Все основные зоны первого уровня — подписаны (включая RU и РФ). Буквально вчера на Дне Кибербезопасности я рассказывал про DNSSEC
Сегодня должна была состояться церемония переподписи корневой зоны. Это выглядит так — избранные «офицеры» имею свои части секретных ключей. Работает это только если сложить всё вместе. Но что-то пошло не так:
https://twitter.com/theiana/status/1227600447289974786
Ключи хранятся в специальном хранилище (HSM), ключи доступа к хранилищу (токены активации) хранятся в специальной сейфе (простите за терминологию, но мне по другому не объяснить, там ларец, заяц, утка и яйцо). СЕЙФ СЛОМАЛСЯ. Криптоофицеры обсуждают, как взломать сейф. Если корневую зону не подписать до 11 апреля, мировой DNSSEC превратится в тыкву. А с ним прекратит нормальное функционирование значительная часть всей системы доменных имен
Кстати. Посмотрел, что пишет об этом российский НЦКЦКЦКЦКЦ и ГосСОПКА:
http://www.gov-cert.ru/
Примерно такая же информация размещена на сайтах Минцифры, Роскомнадзора и Спортлото. Собственно и не то чтобы должны, но при риторике «мимо нас муха не проскочит» я бы назвал это групповым пафосным словоблудием
Сегодня должна была состояться церемония переподписи корневой зоны. Это выглядит так — избранные «офицеры» имею свои части секретных ключей. Работает это только если сложить всё вместе. Но что-то пошло не так:
https://twitter.com/theiana/status/1227600447289974786
Ключи хранятся в специальном хранилище (HSM), ключи доступа к хранилищу (токены активации) хранятся в специальной сейфе (простите за терминологию, но мне по другому не объяснить, там ларец, заяц, утка и яйцо). СЕЙФ СЛОМАЛСЯ. Криптоофицеры обсуждают, как взломать сейф. Если корневую зону не подписать до 11 апреля, мировой DNSSEC превратится в тыкву. А с ним прекратит нормальное функционирование значительная часть всей системы доменных имен
Кстати. Посмотрел, что пишет об этом российский НЦКЦКЦКЦКЦ и ГосСОПКА:
http://www.gov-cert.ru/
Примерно такая же информация размещена на сайтах Минцифры, Роскомнадзора и Спортлото. Собственно и не то чтобы должны, но при риторике «мимо нас муха не проскочит» я бы назвал это групповым пафосным словоблудием
Forwarded from Эшер II
#dns И раз уж я начал про DNS, сделаю пост для интересующихся (ВНИМАНИЕ — по ссылкам много узкоспециализированной технической информации)
✅ DNSSEC. Руководство регистратора доменов. Декабрь 2016:
Слайды: https://www.slideshare.net/schors/dnssec-71055077
(доклада не существует)
✅ DNSSEC. Руководство оператора. Октябрь 2017:
Слайды: https://www.slideshare.net/schors/enog14-dnssec
Видео Часть 1: https://youtu.be/rrDL7ymvm0A
Видео Часть 2: https://youtu.be/I2UEGPM0_ic
Видео Часть 3: https://youtu.be/RsPEoPWuxoY
Видео Часть 4: https://youtu.be/7e1Wj1wNRaA
Видео Часть 5: https://youtu.be/1b6G4VZJOt0
✅ Безопасность DNS. Популярный обзор современных практик. Сентябрь 2018:
Слайды: https://www.slideshare.net/schors/a-popular-dns-security-overview-modern-theory-and-practice-116166410
Видео: https://youtu.be/wkN1Yqcpj2c
👍 Возможно, под шумок, кто-нибудь решит внедрить DoH, или даже DNSSEC :)
✅ DNSSEC. Руководство регистратора доменов. Декабрь 2016:
Слайды: https://www.slideshare.net/schors/dnssec-71055077
(доклада не существует)
✅ DNSSEC. Руководство оператора. Октябрь 2017:
Слайды: https://www.slideshare.net/schors/enog14-dnssec
Видео Часть 1: https://youtu.be/rrDL7ymvm0A
Видео Часть 2: https://youtu.be/I2UEGPM0_ic
Видео Часть 3: https://youtu.be/RsPEoPWuxoY
Видео Часть 4: https://youtu.be/7e1Wj1wNRaA
Видео Часть 5: https://youtu.be/1b6G4VZJOt0
✅ Безопасность DNS. Популярный обзор современных практик. Сентябрь 2018:
Слайды: https://www.slideshare.net/schors/a-popular-dns-security-overview-modern-theory-and-practice-116166410
Видео: https://youtu.be/wkN1Yqcpj2c
👍 Возможно, под шумок, кто-нибудь решит внедрить DoH, или даже DNSSEC :)
Forwarded from Записки админа
🎯 Псс, парень, это ночные заметки (те самые, что выходят без уведомлений), и сегодня с нами вместе не спят админы резольверов, потому что случилась очередная уязвимость - NXNSAttack.
Всё что есть по уязвимости в одном месте доступно на отдельном сайте. Доступное объяснение происходящего можно прочитать, например, в блоге nic.cz - у них получилась хорошая статья.
#security #dns #nxnsattack
Всё что есть по уязвимости в одном месте доступно на отдельном сайте. Доступное объяснение происходящего можно прочитать, например, в блоге nic.cz - у них получилась хорошая статья.
#security #dns #nxnsattack
Forwarded from Записки админа
🔑 Хороший ресурс, который даёт представление о том, как работает система корневых DNS - 13 корневых серверов управляются двенадцатью независимыми организациями и состоят из 1084 инстансов, расположенных по всему миру.
На сайте доступна интерактивная карта и информация по каждому из корневых NS: https://root-servers.org/
#dns #линк #напочитать
На сайте доступна интерактивная карта и информация по каждому из корневых NS: https://root-servers.org/
#dns #линк #напочитать
Forwarded from Записки админа
📎 А ещё, вот прямо с утра, хорошее чтиво о TTL в DNS. В каких ситуациях и какой TTL имеет смысл выставить - Stop using ridiculously low DNS TTLs.
#dns #напочитать
#dns #напочитать
Forwarded from Записки админа
📧 Email Authenticity 101: DKIM, DMARC, and SPF. И ещё вот тут неплохо так про SPF, DKIM, DMARC записи для домена. #email #dns #будничное
Через реки, через лес прямо к PowerDNS
Как построить высокодоступный dns сервис.
https://habr.com/ru/companies/ozontech/articles/722042/
#dns #powerdns #bgp #anycast #cache #loadbalancer
Как построить высокодоступный dns сервис.
https://habr.com/ru/companies/ozontech/articles/722042/
#dns #powerdns #bgp #anycast #cache #loadbalancer
Хабр
Через реки, через лес прямо к PowerDNS
Всем привет! Меня зовут Максим, я руководитель одной из групп эксплуатации инфраструктурных сервисов в Ozon. Наша команда занимается поддержкой и развитием нескольких базовых сервисов компании, одним...
OctoDNS
Тул позволяет организовать управление зонами через несколько провайдеров, хранить конфиги в гите, и организовать гитопс процессы вокруг управления днс зонами.
https://github.com/octodns/octodns
#dns #git #powerdns #bind #gitops
Тул позволяет организовать управление зонами через несколько провайдеров, хранить конфиги в гите, и организовать гитопс процессы вокруг управления днс зонами.
https://github.com/octodns/octodns
#dns #git #powerdns #bind #gitops
GitHub
GitHub - octodns/octodns: Tools for managing DNS across multiple providers
Tools for managing DNS across multiple providers. Contribute to octodns/octodns development by creating an account on GitHub.
https://www.redhat.com/en/blog/global-load-balancer-approaches
#openshift #k8s #kuber #network #loadbalancing #anycast #bgp #gslb #dns
#openshift #k8s #kuber #network #loadbalancing #anycast #bgp #gslb #dns
Redhat
Global Load Balancer Approaches
When working with Kubernetes or OpenShift in a multicluster (possibly hybrid cloud) deployment, one of the considerations that comes up is how to direct traffic to the applications deployed across these clusters. To solve this problem, we need a global load…