Etikettarkiv: dns

älskar du Internet?

Om du, precis som jag älskar Internet så tycker jag att du ska bli medlem i ISOC-SE (The Sweden Chapter of the Internet Society). Själv blev medlem första gången för ungefär 10 år sedan då jag som tonåring var nyinflyttad till Stockholm. Jag ville lära mig mer om DNS, IPv6 och vilka nya protokoll som var på gång.

ISOC-SE anordnar seminarier flertalet gånger varje år då fokus ges på olika områden. ISOC-SE har även bildat stiftelserna Netnod och .SE vilket är en anmärkningsvärd del i svensk Internethistoria. ISOC-SE är en ideell förening och att närvara vid seminarium är kostnadsfritt och även ibland öppna för icke medlemmar.

I dag så hade även ISOC-SE årsmöte och fram valdes ett antal nya styrelsemedlemmar och en ny ordförande vid namn Predrag Mitrovic. Östen Frånberg avsade sig omval efter 15 år som ordförande.

DNSSEC ökar säkerheten men även komplexiteten

CC-BY 2.0 Flickr @kylehase

Att en övergång till DNSSEC är något som just nu är något som diskuteras för fullt på bl.a. Internetdagarna 2011 där jag närvarade för några dagar sedan. Att DNSSEC är rätt väg att gå är nog något som ingen ifrågasätter och även så har E-delegationen skrivit om införande av DNSSEC.

Dock så stötte jag problem i helgen då en svensk registrar infört DNSSEC på många av sina .SE-domäner och jag flyttade över till en extern DNS som var Amazon Route 53 i detta fall. Och då blir det problem: för domänen ser då ut att ha DNSSEC men namnservern i detta fall svarar att det inte finns (DS finns men inte DNSKEY) och att stänga av DNSSEC var omöjligt.

Som tur var så kunde jag snabbt flytta över domänen till Frobbit som hjälpte mig.

Läs även mer om DNSSEC hos .SE.

Så vad kan vi lära oss av detta? DNSSEC ökar säkerheten men även komplexiteten och risken för problem ökar då många fel leder till att domänen slutar fungera.

Så här uppenbarade sig mitt problem med SERVFAIL:

dig www.dnssec-failed.org

; <<>> DiG 9.7.2-P2 <<>> www.dnssec-failed.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 17692
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.dnssec-failed.org.        IN    A

;; Query time: 108 msec
;; SERVER: 192.168.1.2#53(192.168.1.2)
;; WHEN: Fri Nov 19 16:08:29 2010
;; MSG SIZE  rcvd: 39</pre>

Populära inlägg på Utvbloggen

Genom alla år som jag har bloggat här på Utvbloggen.se så har jag skrivit mer och mindre populära blogginlägg. Här kommer en mindre sammanställning på några av de blogginlägg som är populärast sett gällande hänvisningar från Google:

Optimera STHLM 2011

I går gick konferensen Optimera STHLM 2011 av stapeln som uppföljning på förra årets lyckade konferens. Även i år så var konferensen lyckad och fokus var mer på säkerhet och prestanda i exempelvis SSL. Årets lokal stod Nalen för.

Dagen började med att Måns och Copylinda hälsade alla välkomna och berättade lite om .SE:s verksamhet som bl.a. omfattar projekt såsom Webbstjärnan och Internetfonden.

Efter introduktionen så pratade Patrik pawal Wallström om vad som gör Internet långsamt då han fokuserade på CDN, DNS samt SSL där Ivan Ristic genomfört en SSL-analys av alla https-sajter i Sverige.

Övriga talare under dagen var Andreas Jonsson från Romab, Per Buer från Varnish, Tobias Järlund  från pappaledighet (Aftonbladet), Michael Sjölin från Guldskeden, Mikael ”Miken” Berggren från Spotify och sist men inte minst så pratade Ragnar Lönn om när biltvätten förstörde hans bil samt Amazon-haveriet.

Video från dagen finns hos Bambuser som SocialVideo vackert stod för.

Bilder (klicka på bild för förstoring):

Reflektioner efter DNS-testet

Irene Fertik, USC News Service. Copyright 1994, USCSom bekant så testade jag DNS-tjänsterna hos Binero, Loopia, Frobbit och GleSYS igår. Här kommer några av de reflektioner som jag och andra har gjort:

1. Troligtvis är anycast DNS det enda som skulle förhindrat den överbelastningsattack som genomfördes mot Loopia.

2. Att bara använda en enda TLD för sina namnservrar är inte bra om denna TLD skiter i det blå skåpet, som .SE – Stiftelsen för Internetinfrastruktur gjorde. Ingen av de leverantörerna jag testade igår har det som med standard. Observera dock att detta enbart gäller om du har domäner i andra TLD:er som är beroende av namnservrar i .SE-zon.

3. Jag tog aldrig pris, svarstider, upptider eller support i beaktning vilket du som beställare av en DNS-tjänst bör göra om du anser att det är viktigt. Se exempelvis det test som Christian Davén genomförde på upptider för webb.

4. Det framgår ej om en DNS har åtskilliga leverantörer för failover som GleSYS har.

5. 25% av alla .SE-domäner har problem och vi måste göra något åt det. Se pressrelease från .SE

6. Via ett så kallat BGP-looking glass så går det att se hur många vägar det finns till en specifik namnservers nät.  Sunet har en sådan tjänst exempelvis.

Bilden är på Jon Postel och det är honom vi kan tacka för att vi har DNS och många andra standarder i dag.

Postel’s Lag: ”be conservative in what you do, be liberal in what you accept from others” (ungefär ”be conservative in what you send, liberal in what you accept”).

Hur redundant är DNS hos webbhotellen?

Eftersom både Binero och Loopia har haft driftstörningar på sina DNS-tjänster (bl.a.) de senaste veckorna så tänkte jag att snabbt kolla hur det ligger till med redundansen hos några av de svenska webbhotellen som jag själv använder för mina domäner (>200 st). Det finns otaliga RFC:er som berättar och hjälper till vid uppsättning och konfigurering av DNS-servrar.

Bild från http://www.flickr.com/photos/70266899@N00/3672689387/

Binero DNS

Binero har följande DNS-servrar ns1.binero.se samt ns2.binero.se med IP-nummer 195.74.36.250 samt 195.74.37.250. Tittar vi på traceroute så kan vi se att de är anslutna bakom olika brandväggar men har en router em1.br1 som är gemensam nämnare. Geo IP lookup säger att båda återfinnes i Kista.

Även så ligger Bineros namnservrar på samma AS41528 (autonomous system). Tittar vi på antalet routrar etc som kan gå sönder mellan Telia och Binero så är det minst två enheter.

Namnservermjukvara är troligtvis Bind 9.4.2-P2.1 (enligt dig @ns2.binero.se version.bind txt chaos)

  • Betyg för Bineros DNS-tjänst: 1/4

Loopia DNS

Loopia har fyra DNS servrar där två av dem har samma IP-nummer, detta ger en falsk känsla av trygghet anser jag, så vi koncenterar oss på ns1.loopia.se samt ns2.loopia.se.

Den första namnserververn har IP-nummer 93.188.0.20 och andra har 93.188.0.21. På en traceroute så ser vi att hela vägen till namnservrarna som återfinnes i Västerås enligt Geo IP lookup har alla routerhop’s gemensamt. Dock så har Loopia enbart ett routerhop hos sig vilket kan ge en fingervisning om ett mindre antal komponenter som kan gå sönder. AS-nummer hos båda namnservrarna tillhör AS39570.

Loopia använder Bind version 9.6.1-P3.

  • Betyg för Loopias DNS-tjänst: 1/4

GleSYS DNS

GleSYS har tre namnservrar där alla är på olika /24 vilket kan båda gott. Vid en traceroute så kan vi se att GleSYS har minst två routerhop som är gemensamma och GeoIP samt min egen gissning säger att servrarna är i Falkenberg samt Stockholm. Alla tre namnservrar ligger under AS43948.

GleSYS använder PowerDNS samt Bind 9.4.2-P1 vilket ger lite extrapoäng.

  • Betyg för GleSYS DNS-tjänst: 2/4

Uppdaterat: Jonas från GleSYS har skrivit en kommentar som förtydligar att de använder fyra olika Internet-leverantörer (kan inte utläsas via traceroute).

Frobbit DNS

Frobbit har tre namnservrar där alla är utspridda på olika /8. Traceroute avslöjar att det inte finns några gemensamma komponenter och GeoIP lookup avslöjar att alla tre namnservrar är utspridda över världen USA bl.a. Även så är det olika AS. Frobbit ska även ha ett pluss i kanten för att två av tre namnservrar stödjer IPv6.

Namnservermjukvara är Bind med olika versioner: 9.4.3-P3, 9.7.2-P3 samt 9.4.3-P4.

  • Betyg för Frobbit DNS-tjänst: 3/4, bra jobbat!

Slutord

Kanske inte helt oväntat att Frobbit får bäst betyg när det gäller redundant DNS-leverans. Vad jag vet så är det ingen leverantör i Sverige som erbjuder anycast-DNS (för litet land? Finns excedodns.se som använder Dynect). Värt att tillägga är också att jag inte betalar specifikt för DNS-tjänsterna hos GleSYS, Loopia och Binero.

Jag anser att anycast bör användas för att erhålla 4/4 som betyg samt använda olika leverantörer av DNS-mjukvara.

Vad anser du?

Vidare läsning:

Seedcamp, TradeDoubler, DNS, iPhone och Geolokalisering

Bloggen Disruptive.nu tipsar om att ni som har webbstartups kan söka till SeedCamp 2008. Ansökan hittas här och ska vara inne före 10’de Augusti.

**

Åtskilliga bloggare är lite småsura på TradeDoubler och Travelpartner som snuvar (av misstag) annonsörer på pengar. Magnus Lundin, vVD och grundare för TravelPartner förklarar att något har varit fel.

**

Dan Kaminsky hittar en läskig bugg relaterad till designen av DNS-protokollet vilket gör att det är möjligt att styra om godtycklig domän/hostnamn.

**

Den ”inofficiella” iPhone software 2.0 går nu att köra: http://lifehacker.com/398280/iphone-20-software-update-unofficially-available

**

Var är festen? Nu behöver du inte fundera längre på vart festen är: http://www.primidi.com/2008/06/29.html