ДигиталМэн Опубликовано 19 сентября, 2018 · Жалоба Из-за подобных "реформ" очень многие сайты могут запросто отключится от DNS. В общем опять что-то глобальное и непонятное ожидается в интернете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 19 сентября, 2018 · Жалоба Ну вы бы хоть немного разобрались в вопросе, прежде чем чушь писать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 19 сентября, 2018 · Жалоба Это нездоровый на голову человек пишет, по остальным темам видно. Лучше просто игнорировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ДигиталМэн Опубликовано 19 сентября, 2018 · Жалоба Цитата Решением специальной международной комиссии создана группа из шести человек, члены которой обладают полномочиями и специальными кодами для перезагрузки сети интернет. Каждый член группы имеет фрагмент ключа, способного перезагрузить глобальную сеть после ее остановки, возможность которой предусмотрена новой системой безопасности DNSSEC – Domain Name System Security Extensions (Система безопасного расширения доменного имени), которая была запущена в текущем месяце, сообщает британская телерадиокорпорация BBC. Фрагменты ключа записаны на микросхемах, впечатанных в пластиковые карты. DNSSEC создана на случай выключения мирового интернета в случае чрезвычайных обстоятельств – технологической катастрофы или крупной террористической атаки на телекоммуникационные объекты. Шесть избранных комиссией специалистов, собравшись вместе, смогут вновь запустить глобальную сеть. Британским журналистам стало известно имя одного из обладателей фрагмента ключа. Это некий Пол Кейн, проживающий в английском городе Бат и преподающий в местном университете. "Ключом для перезагрузки интернета", поясняет в этой связи Вебпланета, СМИ в данном случае объявили так называемый "ключ подписи ключа" (Key Signing Key, KSK), который является важным элементом криптографической системы DNSSEC. По сути это ключ корневой зоны, фундамент, обеспечивающий достоверность и целостность данных DNS. ICANN полтора месяца назад провела торжественную церемонию генерации KSK. После генерации KSK был хитрым образом разделен на части, которые были записаны на специальные карты и розданы нескольким доверенным представителям. В случае если KSK каким-то непостижимым образом потеряется, его всегда можно восстановить: для этого достаточно будет собраться любым пяти доверенным представителям с фрагментами корневого ключа. Что касается системы DNSSEC, то она пока еще только начинает накладываться на существующую инфраструктуру, поэтому в ближайшее время вряд ли случится что-то действительно страшное. Кроме того, по задумке, KSK будет периодически меняться: ICANN говорит, что церемония генерации ключа будет проводиться четыре раза в год. Это необходимо для снижения вероятности того, что какие-то тёмные силы смогут подобрать его брутфорсом. Соответственно, будет постоянно меняться и состав "специальной группы программистов". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 19 сентября, 2018 · Жалоба В этом тексте перемешаны правда и туфта. И да, вы все умрёте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 19 сентября, 2018 · Жалоба Да всем пох, никто ключи не валидирует и не собирается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
A_Max Опубликовано 20 сентября, 2018 · Жалоба 9 часов назад, Ivan_83 сказал: Да всем пох, никто ключи не валидирует и не собирается. Точнее те единицы которые валидируют (тем кто беспокоится за безопасность), спокойно добавят новый ключ без шума и пыли. У основной массы новый ключ прилетит при обновлении системы. Ну а непонятные индивидумы которые заморочены безопасностью, но при этом не следят за новостями в ИБ сами себе злобные буратины и гнать таких в шею. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 25 сентября, 2018 · Жалоба On 9/20/2018 at 8:26 PM, Ivan_83 said: Да всем пох, никто ключи не валидирует и не собирается. 50% валидирующих резолверов в мире - это, конечно, никто. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 25 сентября, 2018 · Жалоба В 20.09.2018 в 09:27, A_Max сказал: Точнее те единицы которые валидируют (тем кто беспокоится за безопасность), спокойно добавят новый ключ без шума и пыли. Нету там безопасности. Эту проблему раздули вообще на ровном месте: типа если заслать 100500 невалидных ответов в секунду то можно поймать момент когда жертва запрашивала этот самый домен и наш левый ответ прилетит первее. Ну ОК, правда можно. Это легко митигируется вообще без крипты - просто переходим на резолвинг по TCP, оно дольше зато такой проблемы нет, как и максимальный размер пакета не ограничен. В unbound это дополнительно даже в UDP можно митигировать включив рандомизацию регистра в запросе, правда не все днс сервера в ответ пихают текст из запроса и ответ может прилететь запросто в какомнить одном регистре. Ещё вроде у анбоунда есть какие то рейтлимитеры на предмет получения незапрошеных ответов, но я тут не копал глубоко, потому что считаю что как минимум этот вектор для целевой атаки, а я никому не нужен чтобы так стараться и профита с меня в случае успеха не будет. Подмена на уровне сети (про случаи когда, скажем, провайдер заворачивает все DNS запросы себе) - так валидор тут не поможет, он просто будет выдавать ошибку как минимум для подменённых хостов. И вообще это давно вылечено с помощью долбаного TLS и SSH ключей хостов. Вся тема с ключами ДНС мало того что раздута, она ещё и опоздала лет минимум на 20. Сейчас это выглядит попыткой сохранить контроль на инетом, один из многих рычагов. 7 часов назад, ipaddr.ru сказал: 50% валидирующих резолверов в мире - это, конечно, никто. Что случилось с марта по май? В попсовом дистре поменяли дефолтный конфиг бинда/анбоунда? Они поменяли методику чтобы щёки надувать?) Я тебе сходу могу сказать что там не 50% а 0,0000005%. Потому что к ним на рут сервера ходят не просто резолверы а резолверы-рекурсеры, которые как правило у всяких провайдеров стоят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 25 сентября, 2018 · Жалоба Ну, не знаю, не знаю... У меня резолверы ключики валидируют. Новый ключ приехал сам в каком-то из очередных обновлений. Руками ничего не делал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 25 сентября, 2018 · Жалоба Ну, судя по тому, что dig @8.8.8.8 dnssec-failed.org a не прокатывает, один из самых популярных ресловеров валидирует... :) Вот яндекс нет... 1.1.1.1 тоже да... В центоси (и по всей видимости во всех Рхел) бинд идет с включенной по умолчанию в конфиге опцией dnssec-validation yes;. ubound тоже Насколько мне рассказали наши виндовые коллеги, в свежих вин серверах DNS сервер идет с [x] напротив валидации DNSSec.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 25 сентября, 2018 · Жалоба 4 часа назад, st_re сказал: Насколько мне рассказали наши виндовые коллеги, в свежих вин серверах DNS сервер идет с [x] напротив валидации DNSSec.. И даже круче: в графическом интерфейсе нет опции выключить DNSSEC, только через консоль. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 25 сентября, 2018 · Жалоба 1 час назад, jffulcrum сказал: И даже круче: в графическом интерфейсе нет опции выключить DNSSEC, только через консоль. Эээ.. мне именно показали именно опцию и имено в графическом интерфейсе... Сам я лично имею счастье не заниматься виндами последние 7 лет вообще. (ну кроме домашнего ноута) По тексту на крыжике было что да, вкл-выкл валидацию DNSSec.. дословно текст не помню, естественно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 25 сентября, 2018 · Жалоба @st_re В 2012 - да, есть галочка, по дефолту снята. В 2016 - галочки нет, по дефолту включено. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 25 сентября, 2018 · Жалоба Ну может быть и 12 версия там у них.. спрошу при случае.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 26 сентября, 2018 · Жалоба On 25. 9. 2018 at 1:49 PM, Ivan_83 said: Потому что к ним на рут сервера ходят не просто резолверы а резолверы-рекурсеры, которые как правило у всяких провайдеров стоят. Нда, видно, кто-то не озаботился получить лицензию на обращение к рут-серверу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 26 сентября, 2018 · Жалоба On 9/25/2018 at 10:46 PM, st_re said: Насколько мне рассказали наши виндовые коллеги, в свежих вин серверах DNS сервер идет с [x] напротив валидации DNSSec.. Галочка то есть. Однако Trust points пустое, посему и не работает по умолчанию. Windows Server 2012 R2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 11 октября, 2018 · Жалоба ну чё ? Кажется сегодня жахнем ? Очень в "удобное" для нас время, в 19.00 по Москве и еще позже в более восточных ЧП.. Но на самом деле у большинства то не жахнет, или все настроено и обновлено или нет проверок dnssec. Да и у остальных то не сразу, а по мере протухания ответов с NSами доменов первого уровня. Как раз гденить к выходным... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 11 октября, 2018 · Жалоба Ну вроде как жахнули.... https://mm.icann.org/pipermail/ksk-rollover/2018-October/000545.html Из замеченных проблем, у меня дома из обоих кранов льет кипяток... Кажется в жеке что то забыли обновить.. Но врядли ДНС :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 11 октября, 2018 · Жалоба Ещё мыло ру позавчера похерило все клиенты со старым протоколом: миранда, пижин и наверное какие то транспорты жабера, боты написанные во времена когда паша ещё только вк поднимал с братом и спамботы сдохли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 12 октября, 2018 · Жалоба DNSSEC - это не rocket science, правда? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 12 октября, 2018 · Жалоба А ни у кого нет жалоб от абонентов пользователей андроидов и всевозможных "приставок" на андрюше? На предмет недоступности ютуб и плей-маркет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 12 октября, 2018 · Жалоба У наших электриков на подстанции авария, трансформатор сгорел. Но мне кажется, что это не из-за DNS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 12 октября, 2018 · Жалоба 4 часа назад, alibek сказал: У наших электриков на подстанции авария, трансформатор сгорел. Но мне кажется, что это не из-за DNS. Ну да, как же это я позабыл, что андроид - это единственная ОС, которая НЕ использует DNS для доступа в Интернет.. Видимо, действительно, трансформатор сгорел.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 15 октября, 2018 · Жалоба Простите, джентльмены, а мы уже умерли?:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...