Vlákno názorů k článku Více než polovina domén v .CZ je zabezpečena DNSSEC od Bohužel… - …poskytovatel mého hostingu patří to té druhé poloviny...
-
Bohužel… (neregistrovaný)
…poskytovatel mého hostingu patří to té druhé poloviny :-( Slibuje už od roku 2011 https://cs-cz.facebook.com/gigaserver/posts/10150156280123015
-
Na provozovatele hostingu není nutné čekat. Stačí si DNS zařídit tam, kde DNSSEC podporují. Registrátorů je celá řada, stačí si vybrat. Převod mezi nimi je v .CZ zdarma.
-
Jenže tam to není přesně uvedené. My DNSSEC podporujeme několik let, ale ikonku tam nemáme:
https://www.nic.cz/whois/registrars/list/1/
Proč? Protože nemáme podepsané DNS servery u naší domény. Je to tam pomíchané a nepřesně uvedené. -
Je vidět, že se v tom vyznáte a to je moc dobře. Třeba nám (a ostatním) poradíte jak lépe chránit IPv6 sítě a provoz na nich a to v síti, kde máte stovky fyzických serverů, tisíce virtuálních a přes sto tisíc aktivních webů... a to vše využívající IPv6.
V každém případě je také moc dobře, že tady nejvíce připomínek mají lidé, kteří všemu rozumí a zároveň se neumějí ani podepsat a představit.
-
Lol Phirae (neregistrovaný)
Pane Grille, upřímně, neporadím jak to dělat a nechtěl bych dělat babysitting u toho IDS/IPS, ale pruzením lidí s registrací IPv6 adres na VPS a přidělováním obskurních miniprefixů místo normální /64 ten výkon určitě nezlepšíte. Co je za rozdíl v tom zaříznout registrovanou IP adresu nebo zaříznout celý zákaznický prefix? Jo aha, no to byste museli ten IPS opatchovat, on prefixy neumí sám o sobě blokovat, no...
Ani voláním zpět na stromy, pryč s IPv6 to tedy moc nevylepšíte.
-
Děkuji za podnět, ale moc jste nepomohl a neporadil. Ale nic jiného jsem nečekal.
Pletete si DDoS ochranu a IDS/IPS. Obojí máme na jiných systémech a na jiných místech v síti a každé slouží k něčemu jinému. Prefixy to umí obojí, ale pokud znáte jak IPv6 funguje, pokud víte jak fungují routery a pokud jste četl náš příspěvek, tak byste nikdy nemohl tvrdit, že to tak není...
Ano, prefixy dáváme malé, ale i tak se bavíme o 65.536 IP adresách, které přidělujeme jednotlivým VPS. A potom každý může všechny tyto IP použít. A ve výsledku z každé dělat "neplechu" nebo na každou může být útočeno. K jednomu VPS je to až až velký počet IP adres. Není potřeba dávat 1,844674407×10¹⁹ IP adres...
Ano, provedli jsme omezení a evidenci. Jinak to nejde. Dává to smysl.
Byli jsme propagátorem IPv6. Byli jsme jedni z prvních, kteří měli vše 100% IPv6 ready. Byli jsme možná jediní, kteří přistoupili k tomu, že u VPS byly IPv4 za příplatek... Fungovalo nám tam cca 17% provozu. Prošli jsme si nepříjemný útokem...
U IPv6 je ochrana složitější (z hlediska počtů, z hlediska chování IPv6 provozu) a náročnější (na hardware, výkon apod.). Tečka. To je fakt.
Tady nakopíruji část našeho vysvětlení:
"O co šlo? Trochu teorie
Pokud použijeme informaci o IPv6 z Wikipedie: "Běžně jsou uváděny příklady ukazující, jak absurdně velký je adresní prostor IPv6. Obsahuje celkem 2128 (zhruba 3,4×1038) adres, což odpovídá počtu 5×1028 adres pro každého ze 7 miliard dnes žijících lidí. Nebo také 252 adres pro každou hvězdu ve známém vesmíru (milionkrát více adres pro každou hvězdu, než umožňoval protokol IPv4 pro naši planetu). Případně srovnání s počtem atomů ve známém vesmíru (1078 až 10100).", tak zjistíme jak obrovský počet IPv6 je připraven pro použití. Ve srovnání s cca 4 miliardami IPv4 je to naprosto diametrální rozdíl.U WEDOS máme přidělený rozsah sítě pro IPv6 /32, což je neuvěřitelných 4 294 967 296 podsítí /64, příčemž každá z podsítí /64 má 18 446 744 073 709 551 616 IPv6. Výsledkem je tedy to, že WEDOS má přiděleno 7,922816251×10²⁸ IPv6 adres a všechny k WEDOS směřovaly a teoreticky na jakoukoliv z nich mohl vést útok. Pro takový počet IP adres není v silách žádné technologie počítat pakety proti těmto IP adresám a chránit je před DDoS útoky.
Srovnejme to s IPv4, kde máme k dispozici 10 240 IPv4 adres.
Jistě chápete, že je rozdíl na jedné straně chránit 7,922816251×10²⁸ nebo 10 240 IP adres a zároveň to chráníte proti jinému počtu útočníků, U IPv6 máte 3,4×1038 potencionálních útočníků a u IPv4 jich máte pouhé cca 4 miliardy (232 adres (cca 4×109 = 4 miliardy adres)). To jsou rozdíly. Velké rozdíly.
Když řešíte DDoS ochranu, tak musíte pro každou IP adresu nebo rozsah, který chráníte počítat počty paketů a sledovat (a počítat) o jaké pakety jde a jak jsou škodlivé. U IPv4 to snadno spočítáte (vzhledem k výše uvedeným počtům), ale u IPv6... Můžete to vždy nějak seskupovat, ale u IPv6 narážíte na obrovská čísla a když to seskupíte hodně, tak je ochrana neúčinná.
Když chcete ochranu řešit a nechcete použít jen obyčejný blackholing (zrušení IP adresy), ale chcete pakety filtrovat a doručit jen ty nezávadné, tak musíte počítat mnohem více a musíte počítat i další záležitosti. Neřešíte tedy jen cílové IP adresy, ale i zdrojové rozsahy, provoz na jednotlivých protokolech a další parametry (provoz na portech a velikosti paketů). A to jsme u jádra problému. Na počítání potřebujete výkon a paměť. Položme si otázku, zda v dnešní době existuje (ve světě) možnost jak to spočítat a docílit."
Nyní bych to asi ukončil a budu se věnovat užitečnější činnosti. Děkuji za pochopení.
-
Lol Phirae (neregistrovaný)
Když řešíte DDoS ochranu, tak musíte pro každou IP adresu nebo rozsah, který chráníte počítat počty paketů a sledovat (a počítat) o jaké pakety jde a jak jsou škodlivé. ... Když chcete ochranu řešit a nechcete použít jen obyčejný blackholing (zrušení IP adresy), ale chcete pakety filtrovat a doručit jen ty nezávadné, tak musíte počítat mnohem více a musíte počítat i další záležitosti.
No jo, tak já už tomu rozumím. Vy si ten DDoS na sebe vlastně vyrábíte sami sledováním úplných pitomostí.
-
Lol Phirae (neregistrovaný)
Docela maso, nestačím se divit. A to v tom jejich PR výkřiku má i jasné chvilky, kdy mu dochází, že problémy jim způsobuje právě to nesmyslné přehrabování se v paketech na úrovni jednotlivých IP adres. No a pak z toho vyplodí tohle. A captchu při registraci IPv6 adres pro přihlášené zákazníky, aby si jich náhodou nepřihlásili moc. (Sice třeba DNS mají standardně omezené na 50 záznamů - WTF?!?! ale implementovat totéž do tabulky s IPv6 adresama by asi už nezvládli.)
-
pr (neregistrovaný)
hele grille to tvoje pr posledni dobou dost uvada... skoro vsude kde na tebe narazim zacnes nejdriv machrovat, potom brecet a chces po ostatnich rady jak to mas vyresit
chces mi teda rict ze k takovy 0 jako ses ty si da nekdo normalni neco normalni? to snad ne
tvuj nepodepsany anonym -
Petr M (neregistrovaný)
He? To nestačí napsat, že cizí domény podepsat umíte, ale vlastní ne?
Jako potenciální zákazník, se na to dívám takhle (a každý NE je důvod jít ke konkurenci):
- Je v mým zájmu, aby doména, přes kterou jedou registrace, management jiných domén atd., měla slabinu v zabezpečení?
- Je v mým zájmu, abych od nějakýho patly dostal /16 prefix pro svoje servery na IPv6, když se do toho nevejde ani standardně vygenerovaný IPv6 suffix z MAC adresy?
- Je v mým zájmu, abych musel nestandardně konfigurovat servery v nestandardně nakonfigurované síti?
- Je v mým zájmu, aby přístup k mým datům zajišťoval někdo, kdo o bezpečnosti nemá páru a snaží se zoufale evidovat traffic z každé existující IPv6 adresy?
- Je v mým zájmu svěřit přístup k datům zoufalci, který nepochopil, že IPv6 adresa je v podstatě jako IPv4, kde jsou hierarchicky organizovaný bloky jako "transparentní NATy" a stačí při problémech odstřihnout se stejným výsledkem, jako byla jedna IP adresa, jeden blok?Na IPv4 se taky při útoku blokuje IP adresa a neřeší se, že je za ním CGNAT, za CGNATem domácí NAT,... Stačí vyhodit standardní podsíť a hotovo.
- Je v mým zájmu, aby provozovatel datacentra místo hlídání trafficu do mojí podsítě převzal iniciativu a monitoroval traffic na jednotlivý stroje? A třeba při testu novýho serveru do toho zasahoval?
- Je v mým zájmu ztrácet čas, když na jasnou otázku poslouchat výmluvy, pseudoargumenty a 100x ohranou pohádku o obchodním tajemství jako bonus? -
j (neregistrovaný)
2Petr M: To mas tezky, kdyz spousta tupcu ani po vic nez 20 letech co tu je IPv6 nepochopi, ze je v ni 64 bitu pro sitovani a ten zbytek zajima koncovou stanici, ale to je tak vsechno. A proto setrvale rozbijej site, protoze by prece zakaznik moh dostat zbytecne moc adres ... a jak by to pak chudaci evidovali, zejo.
