Wsparcie rejestru .pl dla IPv6

Nasz krajowy rejestr domen .pl, NASK, już dawno zadbał o pełną obsługę IPv6. Chodzi o możliwość rejestracji rekordów AAAA w registry .PL jak i dostępność serwerów domeny .pl w protokole IPv6.

Wsparcie rejestratorów domen .pl dla IPv6

Z pośród 30 firm, które wspierają rejestrację domen .pl z IPv6 tylko 14 to zarejestrowane w polsce podmioty. Należy jeszcze uściślić, że wsparcie to polega na możliwości rejestracji hosta w Rejestrze .pl z rekordem AAAA. Aby takie usługi świadczyć systemy partnerów (Registrarów) NASK muszą posiadać funkcjonalność obsługi IP w wersji 6 zaimplementowaną w NASK EPP.

Osobną sprawą jest późniejsza obsługa takiej domeny w systemie DNS, czyli dostępność serwerów nazw rejestratora w pod adresami IPv6, ale po kolei…

Polscy rejestratorzy domen wspierający IPv6 (wg listy NASK)

1. Agnat Sp. z o.o.
2. AMSNET Andrzej Szreter
3. AZ.pl Sp. z o.o.
4. Consulting Service Robert Siebielski
5. dhosting.pl Sp. z o.o.
6. DomainMaker Sp. z o.o.
7. eTOP Sp. z o.o.
8. Inteligo Financial Services S.A
9. MXK Maksymilian Kwiatkowski
10. Noria Sp. z o.o.
11. Power Media S.A.
12. PRIMUS Elżbieta Gabriel, (brak strony WWW)
13. Prot – o12.pl
14. WEBHOST.PL Grzegorz Król

Jeżeli mamy własną infrastruktuę DNS lub korzystamy z serwerów DNS z obsługą IPv6 dostarczanych przez ISP lub firmę hostingową, wtedy możemy skorzystać z obsługi swojej domeny u dowolnego z wyżej wymienionych Partnerów NASK.

Mimo obsługi, Partnerzy nie przyłożyli się do jej wsparcia w panelach klienta. Wiele z nich nie daje możliwości samodzielnego zarządzania, dodawania lub usuwania adresów hostów IPv6. Wydłuża to czas na poprawę konfiguracji naszych usług. To kolejny ważny powód aby zastanowić się przy wyborze registrara naszej domeny .pl.

Co z firmami, które nie mają własnych serwerów DNS?

Niestety, informacja o wsparciu IPv6 na liście partnerów NASK nie gwarantuje, że dany rejestrator faktycznie wpiera obsługę domeny (DNS) w protokole IPv6. Większość firm, oferuje tylko możliwość rejestracji adresu hosta w NASK (name serwera) w formacie IPv6, nie oferując jego obsługi w systemie DNS. Tylko 3 firmy z zestawienia poniżej: Agnat, Dhosting.pl oraz Domain Maker umożliwiają końcowemu użytkownikowi rejestrację hostów IPv6 oraz obsługują IPv6 w swoim systemie DNS.

Najlepszym więc rozwiązaniem jest wybór alternatywnego dostawcy DNS, który nie tylko może zaoferować DNS w IPv6, ale też zapewni dodatkową gwarancję działania sieci DNS. I to pojawia się kolejny problem. W dużej części polscy rejestratorzy do działania oferowanych przez nich usług, wymagają delegacji domeny na ich serwery DNS.

Za niespełna miesiąc (6.6.2012 ) odbędzie się Światowe Uruchomienie IPv6 (World IPv6 Launch) , tego dnia największe światowe firmy IT oraz operatorzy włączą natywne działanie swoich usług WWW, DNS w protokole IPv6. Jakże radośnie byłoby widzieć jak polskie firmy biorą czynny udział w takich przedsięwzięciach. Polscy rejestratorzy domen nie bardzo chcą się przekonać do wprowadzania technologii IPv6, która stanie się już niedługo koniecznością. Aż strach pomyśleć jak rejestratorzy podejdą do tematu oferowania klientom końcowym obsługi rozszerzenia DNSSEC w .pl?

Wpis pochodzi z bloga Quality DNS

Narzędzia i informacje:

http://check.dns.pl

Stanowisko Prezesa UKE w sprawie IPv6

http://www.ipv6actnow.org/

http://www.pl.ipv6tf.org/

Trafiłem dzisiaj na stronę www.dothiv.org. Inicjatywa ma na celu stworzenie nowej globalnej domeny .HIV. Rozumiem, że tworzenie nowych domen najwyższego poziomu (TLD) jest w wielu przypadkach uzasadnione ale bez przesady. Około 200.000 USD wydanych na samą aplikację do ICANN, i pytanie czy wprowadzenie takiego rozszerzenie ma jakiekolwiek biznesowe uzasadnienie?

Dlaczego środków, które pochłonie maszyna reklamowo medialna nie przeznaczyć na bezpośrednią pomoc dla potrzebujących?

Nie będzie to rozszerzenia znane globalnie, kto będzie chciał mieć domenę w tym rozszerzeniu (przewidywana cena za rok ok. 150 Euro)? koncerny farmaceutyczne? Na pewno nie będzie to komercyjny projekt, który zwróci nakłady na aplikację i stworzenie infrastruktury Rejestru.

Opisałem tylko przykład, spodziewam się jednak, że podobnych bezsensownych nowych domen powstanie więcej.

Serwery root nie miały żadnego problemu z odpowiedziami na zapytania DNS, co można zobaczyć na statystykach DNSMON. Poniżej statystyka odpowiedzi DNS z serwera j.root-servers.net.

Wielu specjalistów, mimo niektórych czarnych scenariuszy zapowiadanych w mediach, było też zgodnych co do ew. powodzenia takiego ataku. Obecna infrastruktura, wykorzystywana technologia i rozwiązania sieciowe nie dają szansy na przeprowadzenie takiego ataku na poziomie root serwerów.

Póki co możemy spać spokojnie, a właściwie korzystać z internetu bez przeszkód. Jeszcze jedno moje  spostrzeżenie, a właściwie zasłyszenie. Wczoraj w radiowej Trójce, pani  redaktor w wiedomościach przeczytała sensacyjną informację, cytat z pamięci:  ”dzisiaj może zostać wyłączonych 13 najważniejszych SERWISÓW internetowych„, więc spieszę donieść wszystkim słuchaczom: wczoraj nie zostało wyłączonych 13 najważniejszych SERWERÓW DNS!

Przewiduje się, że całkowita liczba złożonych do ICANN wniosków o nowe domeny najwyższego poziomu może osiągnąć nawet 1500! Takie wyliczenia można oprzeć na informacji z agencji FairWinds, której każdy klient będzie aplikował o średnio 2,72 domeny. Większość firm będzie chciało zarejestrować jedną domenę, są też firmy, które będą wnioskowały o 10 nowych rozszerzeń! Zdarzyć się może, że kilka firm, będzie starało się o identyczne gTLD, jak w przypadku domeny .NYC.

Co do nazw nowych domen, aplikacje dotyczą w większości nazw znanych przedsiębiorstw i korporacji. Niektóre z firm, aplikują o swoje nazwy własne, tak zwane „dot brand”,  oraz dodatkowo o nazwy usług lub produktów. Będzie spora grupa domen „etnicznych” np. .ARAB, .SCOT, .ZULU i nazw geograficznych, np: .BERLIN, wspomniany już .NYC, czy .PARIS. Pozostałe domeny będą dotyczyły społeczności, hobby i branż, np. .ECO, .GREEN, .MUSIC, itd.

Jednak najciekawsze jest to w jaki sposób domeny (po całym procesie aplikacji i rejestracji) zostaną wykorzystane przez firmy.

Można się spodziewadź, że firmy, które otrzymają od ICANN zielone światło na stworzenie rejestru domen z nazwami własnymi oraz geograficznymi będą oferowały usługi rejestracji domen w tych rozszerzeniach.  Można to porównać do rejestracji domen regionalnych i funkcjonalnych .pl.

Ciekawa też będzie polityka gigantów, np. Google’a , czy przeniesie swoje usługi na domeny typu gmail.google lub analytics.google? na light.coke?

Duże firmy, które stać na złożenie aplikacji (ok. 200.000 USD), będą też korzystały z nowych domen w wewnętrznej infrastrukturze, co pozwoli na większą kontrolę sieciowych zasobów i uniezależnienie od Rejestru, jako pośrednika z organizacją ICANN.

Grafika: dotgreen.org

Zapraszamy do sprawdzenia czy przypadkiem nie padliśmy ofiarą tego nieaktywnego już złośliwego robaka, który podmieniał serwery DNS, z których korzystamy na każdym komputerze, routerze lub smartfonie.

Zachęcamy do sprawdzenia swoich serwerów DNS, tym bardziej, że serwery te zostaną ostatecznie wyłączone 9 lipca br.

Wystarczy wejść na stronę www.dns-ok.pl i zobaczyć jaki komunikat otrzymamy.

W tym samym raporcie, 57% ankietowanych deklarowało zarobki poniżej 10 dolarów za RPM, w porównaniu do 2007 roku, kiedy tylko 1/3 deklarowała RPM poniżej 10 dolarów.

Domenowi inwestorzy byli tez zgodni co do przyszłości monetyzowania ruchu na parkingach domen i stwierdzil, że zarobki będą cały czas spadać. Ta opinia widoczna jest najwyraźniej (77%) wśród inwestorów, posiadających powyżej 500 domen w swoim portfolio.

Wszystko wskazuje na to, że po mału żegnamy się z parkingami domen w takiej formie jaką znamy od dawna…

Google wyłączyło swój kod po interwencji The Wall Street Journal, a kod znalazł Jonathan Mayer.

W wielu firmach, DNS to najsłabsze ogniwo w całej infrastrukturze IT

Między innymi taki wniosek wynika, z analizy raportów opublikowanych w zeszłym tygodniu przez 2 niezależne instytucje zajmujące się tematyką bezpieczeństwa infrastruktury sieci Internet.

Pierwszy z nich to 7 edycja „Worldwide Infrastructure Security Report” opracowany przez inżynierów z firmy Arbor Networks, Inc.
Raport jest bardzo szerokim opracowaniem, napisanym na podstawie ankiet wypełnionych przez 114 operatorów Tier 1, Tier 2, Tier 3 oraz firmy hostingowe, centra kolokacji (DC) i hostingu oraz operatorów DNS.
Kolejnym ciekawym materiałem na temat bezpieczeństwa i ataków DDoS, jest opublikowany przez firmę Neustar, raport „2011 DDoS Attacks:Top 10 Trends & Truths„.

Poniżej przedstawiamy krótki przegląd ciekawych informacji dotyczących infrastruktury i bezpieczeństwa DNS w opraciu o oba raporty.

Raport „Worldwide Infrastructure Security Report” obejmuje prawie 70 stron, my skupiliśmy się na informacjach dotyczących ataków DDos na infrastrukturę DNS, które opisujemy poniżej.

Rysunek poniżej, wskazuje, że około 12 procent respondentów doświadczyło ataków DDoS na infrastrukturę DNS wpływających na jakość usług świadczonych klientom w okresie objętym badaniem (październik 2010 – wrzesień 2011).

Znaczący spadek w ciągu ostatniego roku może świadczyć o działaniach firm mających na celu zapewnienie niezbędnej, skalowalnej architektury w celu utrzymania dostępności usług podczas ataku. Infrastruktura DNS jest zarówno celem jak i wektorem ataku. Atakowanie autorytatywnych serwerów DNS dla danego serwera jest często najprostszym sposobem, aby skutecznie go zablokować. Taki atak powoduje, że odpowiednie rekordy DNS są nierozwiązywalne przez użytkowników internetu. W wielu przypadkach wymaga także znacznie mniej zasobów aby zakłócić działanie usług niż atakując serwery lub aplikacje bezpośrednio. Zmniejszony odsetek klientów cierpiących z powodu ataków DDoS to dobry znak świadczący o tym, że operatorzy DNS zaczynają brać pod uwagę DDoS przy rozbudowie swojej infrastruktury DNS.
Niestety, istnieje wiele niezabezpieczonych serwerów DNS wykorzystywanych jako narzędzie ataku. Duża liczba nieprawidłowo skonfigurowanych otwartych rekursywnych serwerów, w połączeniu z brakiem filtrowania anti-spoofing pozwala na przeprowadzenie dużego wielo-giabitowego ataku z wykorzystaniem technik odbicia i wzmocnienia ataku.

Ataki DDos na rekursywne i autorytatywne serwery DNS

Jak zaznaczono na rysunku powyżej, w okresie objętym badaniem odpowiednio, 20 procent respondentów stwierdziło, że doświadczyło
ataku DDoS na swoje rekursywne serwery DNS w ciągu ostatnich 12 miesięcy, podczas gdy prawie 24 procent stwierdziło, że miało takie
doświadczenie z atakami na autorytatywne serwery DNS. Ponad 18 procent nie wiedziało, czy doświadczyło takich ataków w okresie kontrolnym. To wskazuje, że operatorzy serwerów DNS powinni być bardziej zorientowani na poprawę analizy ruchu do swoich serwerów nazw.

Wdrożenie DNSSEC

Nastąpiła znaczna pozytywna zmiana w ciągu ostatnich 12 miesięcy jeżeli chodzi o wdrożenie ochrony DNS dzięki DNSSEC. 37 procent pytanych firm planuje wdrożyć DNSSEC w ciągu najbliższych 12 miesięcy, podczas gdy ponad 22 procent już rozpoczęło wdrażanie, a prawie 9 procent wskazały pełne wdrożenie w swoich sieciach.

Na koniec przyjrzyjmy się drugiemu ze wspomnianych raportów ataków DDoS, opublikowanym przez firmę Neustar, raport „2011 DDoS Attacks:Top 10 Trends & Truths„. I w tym raporcie jako jeden z dziesięciu trendów w atakach DDoS możemy przeczytać o DNS.
Dla wielu firm, DNS jest to najsłabsze ogniwo w całej firmowej infrastrukturze IT.
Około 10% wszystkich ataków DDoS to docelowe ataki na serwery nazw. Niestety, wiele organizacji nie zdaje sobie sprawy jak poważne konsekwencje mogą dosięgnąć firmę, w przypadku niedostępności serwerów DNS. A skutkuje to nie tylko wyłączeniem DNS, ale może doprowadzić niedostępności innych usług jak e-mail, strony WWW, konta FTP. Szczególnie jeżeli serwery DNS współdzielą łącze internetowe lub fizyczny serwer z innymi usługami, w takim przypadku atak DDoS na DNS powoduje kompletne wyłączenie innych usług.

Na koniec specjaliści z Neustar nie mają dobrych wieści, ataki DDoS na DNS są atakami, które należą do najtrudniejszych do odparcia i większość organizacji nie ma możliwości aby je zablokować. Niestety ataki te zyskują coraz większą popularność, i to może stanowić problem dla firm w 2012 roku.

Wpis pochodzi z bloga Quality DNS

Google Public DNS jako dostępna dla każdego usługa została uruchomiona w grudniu 2009 jako projekt eksperymantalny, który miał pomóc w przyspieszeniu działania samej wyszukiwarki. Obecnie 70% ruchu do serwerwów nazw Google pochodzi z poza USA, a projekt osiągnął dojrzałość.

Poniżej kilka ciekawych informacji o publicznym DNS od Google:

Adresy IP:  8.8.8.8 i 8.8.4.4

Adresy IPv6: 2001:4860:4860::8888 i 2001:4860:4860::8844

Namebench: narzędzie, które pomoże wybrać najlepsze serwery DNS dla zwykłego użytkownika

Lista lokalizacji serwerów Google Public DNS:  http://blog.archit.in/2012/02/google-public-dns-server-locations-list/

Inne firmy, które świadczą publiczny i bezpłatny DNS to m.in. Open DNS, Level 3, Open NIC, DNS Advantage.

Grafika: Google

NASK zakończył pierwszy etap wdrażania DNSSEC w rejestrze domeny .pl. Etap zakończyło umieszczenie rekordu DS domeny .pl na serwerach (w strefie) root. Od tego momentu można włączyć walidację DNSSEC dla domen zarządzanych przez Rejestr .pl NASK zaleca włączenie walidacji odnośnie do klucza głównego strefy root.

Kolejny etap wdrożenia, który NASK zapowiada na II kw. 2012 roku, będzie polegał na umożliwieniu abonentom zabezpieczania własnych domen .pl, domen funkcjonalnych oraz regionalnych.

Więcej o projekcie DNSSEC na blogu oraz na stronach dns.pl