Knot DNS Knot Resolver

Podobné dokumenty
Novinky v DNS. I dinosauři měli mladé. Ondřej Surý

Novinky v projektech Knot DNS a Knot Resolver. Daniel Salzman

Automatická správa keysetu. Jaromír Talíř

Knot DNS Resolver. Modulární rekurzivní resolver. Karel Slaný

Projekt JetConf REST API pro vzdálenou správu

Falšování DNS s RPZ i bez

Změna algoritmu podepisování zóny.cz. Zdeněk Brůna

DNSSEC v praxi. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý ondrej.sury@nic.cz

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

Instalace a konfigurace web serveru. WA1 Martin Klíma

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

DNSSEC u nás i ve světě. CZ.NIC z.s.p.o. Laboratoře CZ.NIC Ondřej Surý

DNSSEC: implementace a přechod na algoritmus ECDSA

Aplikační vrstva. Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace HTTP

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Y36SPS Jmenné služby DHCP a DNS

BIRD Internet Routing Daemon

Projekt Turris Ondřej Filip 23 října 2014 CIF Praha

Novinky v.cz registru a mojeid. Zdeněk Brůna

DNSSEC Pavel Tuček

Správa DNS zónových souborů v Gitu

Load Balancer. RNDr. Václav Petříček. Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný

Ondřej Caletka. 2. března 2014

Jmenné služby a adresace

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Správa DNS zónových souborů v Gitu

Provozní manuál DNSSec pro registr.cz a e164.arpa

DNSSEC na vlastní doméně snadno a rychle

Firewally a iptables. Přednáška číslo 12

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

3. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Počítačové sítě Aplikační vrstva Domain Name System (DNS)

Střední průmyslová škola, Mladá Boleslav, Havlíčkova 456 Maturitní otázky z předmětu POČÍTAČOVÉ SÍTĚ

DHCP. Martin Jiřička,

Použití programu WinProxy

Od CGI k FastCGI. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

Y36SPS Bezpečnostní architektura PS

Počítačové sítě 1 Přednáška č.10 Služby sítě

DNSSEC. Adam Tkac, Red Hat, Inc. 23. dubna 2009

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Operační systémy 2. Firewally, NFS Přednáška číslo 7b

Projekt Turris. Proč a jak? Ondřej Filip ondrej.filip@nic.cz Bedřich Košata bedrich.kosata@nic.cz / IT13.2

Rozvoj IPv6 v České republice. Daniel Suchý NIX.CZ, z.s.p.o.

Provozní manuál DNSSec pro registr.cz a e164.arpa

DNS, jak ho (možná) neznáte

Domain Name System (DNS)

Bezpečnost vzdáleného přístupu. Jan Kubr

Knot DNS a DNSSEC. IT14 Workshop Jan Kadlec Daniel Salzman

Ondřej Caletka. 23. května 2014

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

RTU jednotky a Ethernetové I/O. Program. Distribuované I/O moduly iologik E1200. Přehled vstupně výstupních jednotek Moxa

Řešení jádra sítě ISP na otevřených technologiích

Směrovací protokoly, propojování sítí

Petr Velan. Monitorování sítě pomocí flow case studies

WWW a HTTP HTTP protokol HTML jazyk URL identifikace WWW Webov m sto Cookies Komunikace po HTTP Identifikace um stěn specifikaci um stěn

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Základní pojmy spojené s webovým publikováním ~ malý slovníček pojmů~ C3231 Základy WWW publikování Radka Svobodová, Stanislav Geidl

Infrastruktura DNS. Ondřej Caletka. 25. dubna Uvedené dílo podléhá licenci Crea ve Commons Uveďte autora 3.0 Česko.

X36PKO Úvod Protokolová rodina TCP/IP

Alcatel-Lucent VitalQIP DNS/DHCP & IP Management Software

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Server Security, Serverové produkty

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

Technická specifikace zařízení

Ochrana soukromí v DNS

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

VLAN Membership Policy Server a protokol VQP Dynamické přiřazování do VLANů.

Inovace výuky prostřednictvím šablon pro SŠ

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.

Knot DNS workshop (aneb alternativy k BINDu) Jan Kadlec jan.kadlec@nic.cz

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Josef Hajas.

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Č á s t 1 Příprava instalace

Semestrální projekt do předmětu SPS

Inovace výuky prostřednictvím šablon pro SŠ

Nasazení a využití měřících bodů ve VI CESNET

FlowMon. Představení FlowMon verze 7.0. Petr Špringl, Jan Pazdera, Pavel Minařík,

Osnova. GIOP a IIOP IDL IOR POA. IDL Klient Server. 2 Historie. 3 Princip a základní pojmy. 4 Implementace. 5 Aplikace CORBA

Správa linuxového serveru: DNS a DHCP server dnsmasq

Průmyslový Ethernet. Martin Löw

Ověření možností generování provozu na platformě MikroTik + srovnání s Cisco a Open Source řešeními

Další nástroje pro testování

Server. Software serveru. Služby serveru

SSL Secure Sockets Layer

NAT-PT/DNS64/AFT. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Úvod Virtuální kanál TCP Datagramová služba UDP URL TCP, UDP, URL. Fakulta elektrotechnická

DNS server (nameserver, jmenný server) Server, který obsahuje všechny veřejné IP adresy a jejich přiřazené doménové jména a překládá je mezi sebou. Po

Analyzátor bezdrátových sítí

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

I/O servery Moxa. iologik I/O Servery. iologik iologik 2000

SPARKLAN WX-7615A - návod k obsluze. Verze i4 Portfolio s.r.o.

Představení Kerio Control

Displej DT20-6. Update firmware. Simulační systémy Řídicí systémy Zpracování a přenos dat TM 2011_07_

Autentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS

Obsah PODĚKOVÁNÍ...11

Principy a správa DNS - cvičení

Transkript:

Knot DNS Knot Resolver Co přinesl rok 2016? Ondřej Surý ondrej.sury@nic.cz 29. 11. 2016

Knot DNS

Novinky v Knot DNS Knot DNS 2.1 (leden 2016) SO_REUSEPORT Dynamická konfigurační databáze Podpora PKCS#11 rozhraní (HSM) Experimentální podpora in-band DNSSEC podpisů Knot DNS 2.2 (duben 2016) Nové knotc API pro konfiguraci serveru Podpora pro další PKCS#11 HSM zařízení Knot DNS 2.3 (srpen 2016) Konfigurace DNSSEC politik přímo v konfiguraci serveru (knot.conf) Podpora pro DNS privacy Lepší podpora pro velké DNS hostingy Výrazné zrychlení konfiguračních operací při mnoho zónách Konfigurovatelná cesta k zónovým žurnálům Knot DNS 2.4 (přelom 2016/2017) Výrazná úspora paměti pro DNS hostingy (qp-trie) Nové statistiky

Podpora pro SO_REUSEPORT Nastavení soketu SO_REUSEPORT Dříve: Jednotlivá vlákna/procesy soupeří o příchozí datagramy Nyní: datagramy rozděluje přímo kernel Výsledek: Masivní nárůst výkonu Výkon přes 1.000.000 DNS odpovědí za sekundu

Aktuální výkon Knot DNS

Dynamická konfigurační databáze a nové konfigurační rozhraní Interně je konfigurace importována z knot.conf do LMDB databáze Všechny změny v konfiguraci se projeví hned po změně Knot DNS může běžet jen nad konfigurační databázi (bez knot.conf) Změny se provádí přes knotc Spuštění serveru: knotd -C /var/lib/knot/conf/ Ideální pro automatizované nasazení Změna konfigurace: knotc conf-begin # zahájíme transakci knotc conf-set <item> <data> # nastavíme položku knotc conf-diff # kontrola změn knotc conf-commit # uložení změn

Podpora PKCS#11 HSM PKCS#11 protokol pro přístup ke kryptografickým zařízením (HSM) Jeden standard, mnoho implementací :( Feitian epass 2003 SafeNet Network HSM SoftHSM 2.0 (softwareové HSM) Trustway Proteccio NetHSM CrypTech (open hardware, open software) https://cryptech.is/ https://www.knot-dns.cz/docs/2.x/html/appendices.html#compatible-pkcs-11- devices

Nová konfigurace DNSSEC politik Konfigurace přímo v knot.conf (dříve přes keymgr) policy: - id: ecdsa algorithm: ecdsap256sha256 nsec3: on template: - id: default dnssec-signing: on dnssec-policy: ecdsa zone: - domain: dns.rocks - domain: knot-dns.cz

Knot DNS 2.4.0 statistický modul (CLI) $ knotc stats server.zone-count = 10000 mod-stats.request-protocol[udp4] = 3780695 mod-stats.server-operation[query] = 3780696 mod-stats.request-bytes[query] = 183094816 mod-stats.response-bytes[reply] = 294565975 mod-stats.response-code[noerror] = 2268383 mod-stats.response-code[nxdomain] = 739568 mod-stats.response-code[refused] = 772747 mod-stats.query-type[a] = 1870719 mod-stats.query-type[ns] = 641165 mod-stats.query-type[soa] = 635136 mod-stats.query-type[mx] = 633679 [...]

Knot DNS 2.4.0 statistický modul (YAML/JSON) Mini https server v pythonu umí exportovat statistiky pro další použití: --- time: 2016-12-02T19:01:40+0100 identity: knot-benchmark-server.labs.office.nic.cz server: zone-count: 10000 mod-stats: request-protocol: udp4: 7442384 server-operation: query: 7442384 request-bytes: query: 360424911 response-bytes: reply: 579858100

Nasazení Knot DNS ICANN L-Root RIPE NCC K-Root (https://www.ripe.net/analyse/dns/k-root) 49 TLD Mnoho zón pro reverzní delegace Fastly (CDN) TLD CZ DK NL CL Support Contract: ICANN hostmaster.dk RIPE NCC NL Fastly

Knot DNS 2.4.0 Grafana (Protokol)

Knot DNS 2.4.0 Grafana (RCODE)

Knot Resolver

Novinky v Knot Resolver Knot Resolver 1.1.0 (srpen 2016) EDNS Cookies [RFC7873] DNS over TLS [RFC7858] HTTP/2 web interface RESTful API Prometheus metrics DNS firewall module Podpora pro socket-activation Knot Resolver 1.1.1 (srpen 2016) Drobné opravy Nasazení na Turris Omnia Knot Resolver 1.2.0 (přelom 2016/2017) EDNS0 Padding Jepičí certifikáty pro DNS over TLS Podpora pro +CD flag Spousta vylepšení pod kapotou

EDNS Cookies TL;DR Klient a server se mohou domluvit na sdílené cookie Mimo dobu útoku Přes TCP V případě útoku server odpovídá jen klientům s platnou cookie Ostatní přesměruje na TCP Velmi účinná ochrana proti DDoS útokům přes DNS

HTTP/2 rozhraní Interní webové rozhraní Napsané jako modul v Lua Poskytuje: Jednoduché statistiky Metriky pro Prometheus.io Rozšiřitelný dalšími moduly

HTTP/2 rozhraní statistiky

HTTP/2 rozhraní Geolokace serverů

DNS Firewall Poskytuje mocnější konfiguraci nad Policy modulem Pravidla: Akce IP adresy QNAME and/or logika Další pravidla se dají dopsat v Lua PASS, DENY, DROP TC FORWARD MIRROR REROUTE REWRITE Spolu s HTTP/2 modulem poskytuje RESTful rozhraní na správu pravidel

DNS Firewall HTTP/2 Module

Otázky? Ondřej Surý ondrej.sury@nic.cz 03. 12. 2016

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář