Názory k článku Výpadky justičních serverů? Způsob provozu DNS služeb ministerstva spravedlnosti nahrává útočníkům

Keyset se sice jmenuje JUSTICE-CZ-2019, ale naposledy byl zmenen 26.01.2023. Takze nejaka rotace tam asi i probiha, v tom bych jim zas nekrivdil. Sice bych cekal, ze nepouzivane DS tam nebudou zbytecne strasit, ale co uz. Ale ano, algoritmus je samo o sobe samozrejme spatne, ale nutno take zminit, ze to maji zmatlane tak dokonale, ze obsah zony neni problem enumerovat. Mohli by klidne nechat povolene AXFR, vysledek by byl stejny :D

Mimochodem, psal jsem jim uz v prosinci 2020 (i s kopii na NUKIB), ze to maji ponekud blbe - ale nestalo se nic. Ani neodpovedeli :-) Zjevne to v tom roce 2019 nasadili tak, ze zkopirovali nejaky navod - mozna primo ten, co byval v te dobe na strankach CZNICu.

RFC 2182 samozrejme dodrzene neni ani omylem.

Rekneme, ze ministerstvo bude mit DNS dle doporuceni a best practice, tak DDoS utok muze byt veden treba na emailovy server nebo webovy server takze by ministerstvo muselo provozovat nekolik geograficky nezavislych instanci, ruznych systemu, vse za nejakou DDoS ochranou, takze naklady jsou pak v milionech mesicne. Jestli ma stat provozovat takhle odolne systemy a utracet miliardy (tech ruznych “kritickych” statnich systemu jsou desitky) nevim, ale je podle me spatne ze zakony s timhle nepocitaji.

Zrovna DNS servery s DDoS ochranou nabízí spousta poskytovatelů, kteří s tím mají mnohem víc zkušeností, než by měl jakýkoli státní provozovatel. Nevidím důvod, proč by DNS servery měl provozovat stát, když se to dá v lepší kvalitě koupit jako služba.

Nebo by to mohlo provozovat CZ.NIC – ale myslím si, že ti komerční poskytovatelé na to budou lépe připraveni, protože službu se skrytým hlavním DNS serverem běžně poskytují, zatímco CZ.NIC přeci jen provozuje něco jiného – a nevím, zda to hostování jiných TLD má řešené přes skrytý hlavní server, zda tam k získávání zónových dat nedochází nějakým jiným, více či méně proprietárním, způsobem.

A tak o tom jak to ma CZNIC pojednava treba kapitola 5.2.3 vyrocni zpravy. Explicitne tam pisou o hidden masteru na Knot DNS, takze zadne proprietarni reseni :-) Taky logicky proc by melo byt. TLD je proste jen trosku vetsi zona :D

Pane kolego, prosim netrapte nas prosim dale a pred dalsim pokracovanim diskuse se informujte jak funguje DNS. Zproduktivni to diskusi. Dekuji moc za pochopeni

V dokonale ucte
MK

5. 4. 2023, 07:30 editováno autorem komentáře

Ono to narazi na resortismus pri zadavani verejnych zakazek, ale to snad zmeni aktualni novela ZVVZ. Detailneji to rozebiraji na rekonstrukci statu (ta cast k PN 1597). Proste stavajici zakony to trosku komplikuji :-)

A nemel by to spise provozovat stat ? Je uzasne jak si tady jednotlive slozky vice-mene uspesne buduji ty sve piskoviste, vsechna data v 30ti kopiich po ruznych uradech a obihana k tomu. Sice Piarti se svym "maji obihat data nikoliv lide" maji vicemene pravdu ale tento chlivek jen tak nekdo neuklidi.

Naprosto souhlasim, misto 300 organizaci provozujici ruzny bordel by mela existovat jedna provozujici vse pro stat… Oh wait, proc to nedelal treba Nakit, nebo ted ta nova agentura? Protoze z naproste vetsiny tech zakazek je nejaka mala domu takze to nikdo nechce menit. Nebudu rikat kde a kdy, ale osobni zkusenost v jedne firme byla ze se udelala podlimitni zakazka a pak se prodavali dalsi a dalsi sluzby.

Děkuji za upozornění. Nevěděl jsem, že např. když nahraju zónový soubor na DNS server pomocí SSH (jeden z mnoha způsobů, jak se dá dostat zónový soubor k DNS serveru), je to „fungování DNS“. Nebo vás mám také poučovat, že AXFR/IXFR není jediný způsob, jakým se dá přenášet zónový soubor? Představte si, že jsou dokonce lidé, kteří se domnívají, že DNS protokol vůbec není vhodný pro přenos zónových souborů.

Já myslím, že bychom se mohli shodnout na tom, že to, že někdo provozuje službu autoritativních DNS serverů, ještě neimplikuje, že data pro ně získává přes AXFR/IXFR. A to je to, co jsem tvrdil hned na začátku.

To se mýlíte. To, že někam nahraju soubor, klidně může způsobit, že DNS server začne poskytovat odpovědi na DNS dotazy z nového obsahu zóny.

Takove statni HA v podobe SPOF ;-)

Psal jsem primárně o hostování jiných TLD, než .cz, tedy o kapitolách 5.2.4 a 5.4. Protože to by bylo nejblíž hostování DNS pro stát – jde o hostování zóny pro někoho jiného. Doménu .cz hostuje CZ.NIC sám pro sebe, což může být v lecčems jiné. Ale OK, když takhle řeší i doménu .cz, asi by nebyl problém řešit tak i domény státu nebo ideálně doménu gov.cz.

Myslím, že na předchozím doporučení nemusím nic měnit. To, že někam nahrajete soubor, neudělá s obsahem zóny nic.

Dále bych se odpojil. Díky za pochopení
V dokonalé úctě
MK

Tak on i webhosting umi kde kdo delat lip nez stat.

Velice rád uvolním porty.

Myslím, že zákony s tím počítají, viz zákon 365/2000 a Centrální místo služeb, přes které by měli komunikovat a můžou tam mít vedené i DNS.

HA nebo HAHA? :-)