Vlákno názorů k článku Upgrade DNS serverů domény .CZ: nákup potřebného hardware od lupa.cz jsou už jako čučkaři - Sice bych jako obranu proti DoS vyuzil spis...
-
Sice bych jako obranu proti DoS vyuzil spis velke mnozstvi vyrazne levnejsich zarizeni, ale budiz. Sice bych ponechal na ISP, aby si sami zainvestovali a implementovali AA CZ - je to totiz jejich konkurecni vyhoda, a sledoval bych jen, ze poskytuji aktualni zonu. ... sice bych delal mnoho veci jinak, ale chapu, ze stejne jako na vojne je potreba vykazovat cinnost. Jenze stejne jako vojaci neumi postavit stroj, ktery by byl zaroven lod, letadlo, tank, BVP a lehky kulomet, tak mozna nema cenu bojovat na jedine fronte s DDoS a snazit se postavit nepretizitelne AA DNS boxy. Mozna by to chtelo resit komplexem opatreni, ktere by v souctu vysly radove levneji.
-
DannyStříbrný podporovatelAle vzdyt cely ten DNS stack je clusterem levnejsich stroju, mezi ktere se rozklada aplikacni zatez. Lepsi odolnost proti DDoS je dana primarne onou "hrubou" silou v konektivite navenek, kde to router rozhazi provoz na jednotlive stroje - velmi jednoduche a pritom elegantni reseni. Nelze zapominat na to, ze cela .CZ je anycast a ta zatez se rozklada i geograficky. Nikde neni receno, ze boxy jsou "nepretizitelne" - ale na skutecne uspesny utok na .CZ je potreba pomerne velke mnozstvi zdroju - a o tom to cele je...
-
DannyStříbrný podporovatel
Cena odpovida kriticnosti (tedy dulezitosti) infrastruktury. S nefungujicim DNS toho na internetu drtiva vetsina uzivatelu veru mnoho neudela. Zbastlit to co mozna nejlevneji skutecne neni znamka profesionalniho pristupu. Kdyz se podivate na L-root, tak ten ma v Praze vyskladany podobne taky cely rack - a to je jen jeden anycastovy uzel z mnoha.
-
Znamkou profesionalniho pristupu rovnez neni, pokud se delaji technologicke ostruvky (=stack) na uzemi, ktere je stale pod jednou a touz jurisdikci. To nema pravni, technicky ani financni smysl.
Skutecne chcete uvazovat o "drtive vetsine uzivatelu"? Pro ne je prece sahani na L3/OSI uplne zbytecne, protoze tem staci replika v rekursivnim DNS jejich ISP.
Co mate na mysli "nefungujicim DNS"? Problem CZ TLD ovlivni prece jen CZ hinty. Navic proc by to melo zustavat rozbite? Nechava snad ISP schvalne nefunkcni linky a routovani? Proc by tedy mel nechat rozbitou repliku, pokud by ji chtel u sebe provozovat? To pro nej nemuze mit ekonomickou logiku.
-
DannyStříbrný podporovatel
Vzhledem k tomu, ze CZ.NIC coby organizace spada pod jurisdikci Ceske republiky je nesmysl naopak to co pisete Vy. Jednak pozadavek statni spravy musi CZ.NIC resit - a to i v pripade serveru umistenych v Africe. Rozhrani pro registratory taky bezi z CR. A v neposledni rade, v pripade DNS musi byt obsah zony na vsech serverech konzistentni - tedy stejny. Jiny stav znamena velky prusvih.
Nefunkcni (rozbity) nameserver 1,3 milionu .cz domen je pomerne zasadny a ne zrovna maly problem. A jejich vypadek v dusledku znamena ekonomicke ztraty pro vsechny subjekty na .cz domene zavisle - zejmena v e-commerce prostredi. V pomeru k moznym ztratam okolo jsou vydaje CZ.NICu jeste zanedbatelne.
-
Hm, obavam se, ze dochazi k nejakemu dramatickemu nedorozumeni. CZ.NIC (jako organizace) podleha ceske jurisdikci a navic jeho legalita spravy domeny vyplyva ze smlouvy, kterou ma s ceskym statem.
To se Vam samozrejme muze nelibit, nicmene je to fakt. Pokud se stat rozhodne predelegovat spravu domeny na jiny subjekt, muze to udelat, nebot ICANN bude respektovat rozhodnuti ceskeho statu.
Predpokladam, ze tusite, ze CZ.NIC ma dalsi stacky serveru i na dalsich mistech na zemi.
Zaroven vetsina dotazu na zonu .cz chodi z uzemi CR, tudiz je logicke, ze provozovatel zony .cz ma v CR robustnejsi infrastrukturu nez jinde (tri-ctyri repliky jsou dle meho nazoru zcela v poradku). A to, ze zaroven nekteri ISP chteji mit mensi cluster u sebe je dobre, ale CZ.NIC nesmi byt zavisly na libovuli ISP.
Moje cca 26 lete pusobeni na cesko(slovenskem) Internetu me naucilo nespolehat na "ekonomickou logiku". Je treba mit hotove vlastni domaci ukoly.
Samozrejme respektuji Vas nazor, ze to CZ.NIC dela spatne, nicmene muj nazor je takovy, ze spravu domeny CZ.NIC dela dobre v souladu s technickymi "best current practices" a s peci radneho hospodare.
-
Petr M (neregistrovaný)
"Ja vsak kritizuji cenu a zpusob provedeni, tam vidim velke slabiny."
Není to náhodou špatně proto, že to dělá CZ.NIC?
Furt píšete, že cz.nic dělá věci, co nesouvisí s doménou a její správou. A že peníze mají dávat na ni. A když je dají do DNS (bez kterýho doména nefunguje), tak je to najednou moc drahý? A mít víc redundantních serverů je špatně?
-
Budte trosku soudny. BMW vyrabi auta, a je to dobre. Kdyby zacali z nudy montovat jen auta s diamantovym volantem potazenym soboli kozesinou, tak by vam to asi taky prislo nevhodne...i kdyz by porad vyrabeli kvalitni auta.
Rovnez neni pravda, ze furt pisu, ze NIC dela neco co nema. Mne se (jako pozorovateli) nelibi, ze utraci penize v projektech bez dostatecne meritelneho impaktu. Kdyby sel zisk do nezavisle agentury pro podporu internetovych projektu, je to hned jina situace.
-
Petr M (neregistrovaný)
"Mne se (jako pozorovateli) nelibi, ze utraci penize v projektech bez dostatecne meritelneho impaktu. Kdyby sel zisk do nezavisle agentury pro podporu internetovych projektu, je to hned jina situace."
Aha.
Polovina root serverů ICANN běří na DNS serveru, který vyvinulo nic.cz. Je to měřitelný?
Dá se měřit, kolik registrátorů jiných TLD používá FREDa?
Dá se měřit, kolik bezpečnostních incidentů ročně řeší CSIRT.CZ a jak si stojí na bezpečnostích cvičeních?
Dá se měřit, jak dlouho je TLD .cz bez výpadku?
Dá se dohledat, kolik a jakých školení uspořádala jejich akademie a jaký byl impakt na účastníky?Myslím, že toho dělají hodně a impakt je docela velký.
Takže problém je v tom, že neexistuje nekontrolovaná agentura, kde si management stanoví požadavky na projekty tak, že rozdá 20% a 80% jim zůstane na "provoz agentury", hlavně na náklady na personál?
-
Martin Kalenda (neregistrovaný)
To je jistě řada záslužných činností ale nevidím nikde zásah do menšího a středního podnikání. Pak se totiž jedná častou duplikaci s těmi co mají technické a organizační prostředky si poradit sami.
Turris je krásnej příklad jak by kombinace turris báze a csirt a dohledu cz.nicu mohla být k užitku.
-
1) cz.nic nema v popisu "zasah do maleho a stredniho podnikani"
2) Pokud Vam bezvypadkovy provoz zony .cz prijde jako maly cil, tak ehm ... jak to jen slusne rict - mozna - snad prectete si, s jakym cilem je cz.nic zalozen
3) Mozna Vas prekvapi, ze muj stary turris (a nejake ty dalsi turrisy) doma pod stolem je napojen na bezpecnostni aktivity cz.nicu
Pokud samozrejme jedete linku "cz.nic ma byt znicen", tak chapu, ze nenajdete zadna pozitiva, na druhou stranu staci tu linku opustit a najdete jich spoustu.
-
Martin Kalenda (neregistrovaný)
Jedeš jak zaseklá deska Michale, pořád do kola. Nepíšu nic o středním a malém podminkání ale že jsou to segmenty kde jsou s bezpečnostní na štíru nejčastěji.
Turris je pěkná hračka, u routeru za 8k bych čekal automatizovaný multiwan - přeci jenom problém většiny firem 5+ lidí.
-
DannyStříbrný podporovatel
Obcas by si to chtelo aspon precist dokumentaci. Pripadne to muzete vzit od zdroje. Ale chapu, ze pro nekoho muze byt strasny problem - tedy cist dokumentaci - nedejboze to podle ni nastavit :-)
-
Petr M (neregistrovaný)
"Turris je krásnej příklad jak by kombinace turris báze a csirt a dohledu cz.nicu mohla být k užitku."
Omyl, ono to tak je.
První Turris byl vytovřen jako kombinace SOHO router právě a bezpečnostní sonda v koncové síti. Mám doma T1.0 a i když už je po letech mým majetkem, pořád na něm jede honeypot na nepoužívaných portech a reportuje csirt.cz, kdo se pokouší nabořit po Telnetu, webu a SSH.
A protože o takový železo za korunu nájmu byl velký zájem, vyšel z toho T1.1
A protože byl pořád zájem, ale kasička nebyla bezedná, vylezla z toho Omnia, kterou už si člověk musel koupit za svoje, ale možnost automatickýho reportování tam pořád je. A protože pro některý je to všechno overkill, přišla stavebnice MOX...
