Lupa.cz  »  CZ.NIC: vykročeno k reformám  »  Názory  »  Vlákno

Vlákno názorů k článku CZ.NIC: vykročeno k reformám od Tom Tobula - Čistě technicky registrační systém domény .CZ v principu...

  • Článek je starý, nové názory již nelze přidávat.

  • 11. 12. 2004 16:50

    Tom Tobula (neregistrovaný)
    Čistě technicky registrační systém domény .CZ v principu není až tak složitý. Spíše je třeba ohlídat si věci jako zabezpečení, aby byly doménové servery i registrační rozhraní ochráněny před internetovými útoky.

    Náročnost role CZ.NIC je pak ale v tom, že musí zajistit 24/7/365 fungování serverů DNS a i registračního systému. V tomto ohledu jsou požadavky na spolehlivost informačního systém CZ.NIC srovnatelné např. s požadavky na informační systém banky. Tj. velmi rychlé řešení havarijních situací apod. A to již JE DRAHÉ !

    V okamžiku výpadku CZ.NIC přestává jít záhy (s výjimkou nacacheovaných záznamů v jiných DNS serverech) CELÝ ČESKÝ INTERNET !

    Proto je CZ.NIC jako subjekt i v principu nezkrachovatelný. Pokud by finančně nebo technicky selhal, bezpochyby se najdou subjekty, které jeho funkci nahradí. Z tohoto se odvíjí můj názor na to, kdo by měl být členem sdružení jako je toto - totiž takové subjekty, které jsou na funkci významně zainteresované a jež by v případě selhání CZ.NIC skutečně měly prostředky a schopnost jeho funkci nahradit. Jsem proto proti členství a vzniku "politických" molochů, kteří v případě krize budou k ničemu a v čase slunečna pletichařit a bránit efektivitě.

    S tím souvisí to, že právně je role CZ.NIC složitá, protože se pohybuje v terénu, na nějž se pohled stále mění a vyvíjí. Případné sankce, které by soudy na CZ.NIC uvalily, jsou de-fakto placené z peněz všech.

    Finančně a provozně musí být subjekt typu CZ.NIC konzervativní a mít dostatečné finanční rezervy, aby měl aspoň na rok provozu dopředu včetně řešení havárií - až po získání takových rezerv může začít zlevňovat domény.

    Ohledně "outsourcing" x "vlastní vývoj" si myslím, že optimální by bylo něco uprostřed. Tj. sdružení CZ.NIC by mělo vlastnit výsledný systém (SW i HW a dokumentaci), ale vývoj i správu by mělo outsourcovat. Představenstvo by pak mělo být složeno z lidí, kteří věci technicky i právně rozumí a jsou schopni zadávat a vyhodnocovat výběrová řízení, dohlížet nad řádností plnění.

    Pokud se CZ.NIC dá cestou vlastního vývoje i správy, pak si myslím, že postupně nabobtná a nakonec stráví nejvíce času zdůvodňováním toho, proč ceny za domény klesnout nemohou.

    Tj. myslím, že oproti současnému stavu by stačilo činnost CZ.NIC poněkud otevřít a hrát více fair play, než dosud.

  • 11. 12. 2004 19:59

    J (neregistrovaný)
    Nevim, skutecne netusim CO je tak draheho na provozu nekolika stroju s par (v pripade domeny CZ doslova par) zaznamy v DB. Da se rict, ze to co zajistuje NIC za desitky milionu je dnes schopen zajistit kazdy amater za cenu radove nizsi. Dalo by si rict ze klidne i nulovou, protoze na provoz domeny by se nejspis meli slozit predevsim nejvetsi ISP, protoze je v jejich zajmu provozovat jmeny prostor.
    Opravdu by mne velmi zajimalo, co stoji tech 500-1000Kc za zapis JEDINEHO radku do DNS.

    A to ze prestane fungovat internet ? ale kdeze, nejaky preklad jmen nema pokud vim s fungovanim internetu nic spolecneho.

    Nemluve o tom, ze NIC neni schopen zajistit ten provoz ani za ty desitky milionu. Neni to moc dlouho co neustale vypadaval jeden z jejich NS, coz v dusledku zpusobovalo nefunkcnost spousty domen. Clanek na Lupe o tom pro jistotu nebyl (ani jinde) aby se to pekne ututlalo.

  • 13. 12. 2004 16:01

    Tom Tobula (neregistrovaný)
    Toto je názor jak z roku 1990, že se korporátní informační systém dá napsat v dBase III. Nevím jak na takové názory reagovat, nechte si ho, když chcete.

    Sám si pak protiřečíte, jednou podle Vás jmenný překlad není nutný (pro čistý IP routing skutečně ne), podruhé po výpadku jednoho z NS ovšem nefungovala spoustu domén (protože služby a aplikaci abstrahují od IP adres a používají ta zatracená jména).

    Osobně si myslím, že CZ.NIC dokázalo vždy spotřebovat právě tolik peněz, kolik vydělalo, takže prostor pro úspory určitě je, ale opravdu to nemohou dělat skoro-amatéři tím stylem, jak se Vy domníváte, že by to jít mohlo. Doména .CZ má řádově přes sto tisíc záznamů, tzn. průměrně přes 300 renovací denně. Je pravda, že se valná část práce související s autentizací a platbami přesunula nyní na registrátory, ale přesto udržet 100% integritu celého systému chce své.

    K zajímavé diskuzi níže ... myslím, že sice systém CZ.NIC je unikátní (aspoň v ČR), ale tématika práce/činnosti s tím spojená už tak unikátní není - síťové služby a hlavně jejich zabezpečení. Přijde mi, že stavět si pracovní tým pouze pro jeden projekt CZ.NIC nemůže být efektivní. Pokud už si ty lidi vyškolíte, tak je budete muset hodně platit, nebo Vám odejdou jinam atd.

  • 13. 12. 2004 21:59

    Martin Kalenda (neregistrovaný)
    asi nejste registrator jinak by jste to nevypustil z pusy. Mimo jine bych rekl ze T-systems cz.nic vedome okrada protoze pro cz by mel byt vyhrazeny spesl servis -> skutek utek delaji to lide normalen na dohledu takze.

    system by se podle me dal v pohode za 10 mega za rok odprovozovat k plne spokojenosti. Ne bez planovanych nesmyslnych otazek.

    nehlede na to ze o zabezpeceni registracniho systemu vite s prominutim PRD, protoze jinak by jste vedel ze tam zadne zabezpeceni NENI. Tj si libovolny registrator muze potvrdit zmenu hesla/klice k kontaktu tim ze tam proste natvrdo do pozadavku da id uplne nekoho jineho. Bezne se tak mazou hesla ke kontaktum (napr u nas se to maze po notarskem overeni) a to pouze v pripade ze tam to heslo NENI a ma confirm. Pokud heslo ma smula musi to poslat na LRR.

    O tom jak je to provediteln mj svedci i to ze registratori z nejakych mrzkych 40 CZK z domeny ufinancuji 150.000 rocne za statut registratora, billing, tech podporu a vse - presto ze jsou casto dotazy ze kterych by se stary cz.nic s prominutim podelal protoze by to s nim vubec neresili.

    "ja se nevidim! ja se na internetu nevidim co jste mi udelali s domenou?
    s jakou domenu, jaka je vase domena?
    moje prece! ja se nevidim "

  • 14. 12. 2004 9:26

    Ondrej (neregistrovaný)
    A to jste to rekl moc hezky :-)...

  • 14. 12. 2004 9:45

    Martin Kalenda (neregistrovaný)
    hluboka noc - jeste ted se stydim, kdyz to po sobe ctu.

  • 14. 12. 2004 20:48

    Ruda (neregistrovaný)
    Jenom jestli tam mají alespoň tu dBase III, o tom tu nikdo nepíše :-)

  • 12. 12. 2004 0:58

    Pepa (neregistrovaný)
    CZNIC neprovozuje ani jeden jediny korenovy nameserver.

    Kdyz se podivate o uroven nize:

    cz. 172800 IN NS NS2.NIC.FR.
    cz. 172800 IN NS NS.RIPE.NET.
    cz. 172800 IN NS SUNIC.SUNET.SE.
    cz. 172800 IN NS NS-EXT.VIX.COM.
    cz. 172800 IN NS NS.TLD.cz.
    cz. 172800 IN NS NSS.TLD.cz.
    ;; Received 271 bytes from 198.41.0.4#53(A.ROOT-SERVERS.NET) in 273 ms

    tak vidite, ze jejich namesrevery jsou tak duveryhodne, ze jsou na uplne poslednich mistech, takze uz jejch ns a nss lehne, vubec nikdo si niceho nevsimne, protoze se jich bezne nikdo na nic nepta. A ns2.nic.fr bude sice smutny, ze nema odkud stahnout aktualni zonu, ale bude proste pouzivat tu co ma a vsechno bude fungovat dale.

    Cili to ze NIC zkrachuje, nebude mit na fungovani internetu zadny vliv. Jen holt nepujde delat nove domeny.

  • 12. 12. 2004 2:38

    Dan Lukes (neregistrovaný)
    A zkusil jste ten prikaz, jehoz vystup nam zde predvadite pustit nekolikrat po sobe ? Ano, to co sledujete se nazyva "round-robin" a prekvapuje me, ze takovy odbornik jako vy pozapomel na jeho existenci. No, uz bylo pomerne pozde v noci ...

  • 12. 12. 2004 9:50

    Petr Souček (neregistrovaný)
    Nicméně je fakt, že v případě výpadku primárního DNS serveru by zmizela zóna .cz z Internetu až za 10 dní, což je docela slušná rezerva na na opravu jednoho serveru.

    Mnohem horší je vygenerování neúplné zóny, která se vzápětí rozdistribuuje na všechny sekundáry. Což se tedy nejméně jednou stalo, a na tom případě je hezky vidět, jak ta správa stejně nefunguje - zatelefonoval jsem jim asi v 6 večer, a přesně jsem popsal, co se stalo - že z primáru zmizely dvě třetiny záznamů a že je nutné zónu vygenrovat znova, nebo vytáhnout tu předcházející ze zálohy. Dozvěděl jsem se ale, že tam nikdo není a nikdo ničemu nerozumí ani nic nemůže udělat. Nakonec došlo k nápravě až druhý den před polednem, celou tu dobu většina českých domén neexistovala. A jak je u CZ.NICu zvykem, nikdo nic nevysvětlil, natož aby se za nefunkčnost omluvil.

    Jediné místo, kde by mohlo dojít k nenapravitelné škodě je nefunkčnost příjmu požadavků na registraci domény, kdy by někdo mohl přijít o prioritu. Jenomže plánovaných odstávek je stejně mnohem více, a během nich tato situace nastává také.

    A k původní otázce tohoto threadu - domnívám se, že outsourcing má smysl především v případě, kdy se outsourcuje činnost, které je u více subjektů podobná, pak totiž může dodavatel využít synergický efekt a může se to všem vyplatit. Pokud se dělá unikátní systém, tak je podle mého outsourcing nevýhodný.
    Viz řada příkladů ze státní správy, kde se vyhodily stovky miliónů doslova oknem za téměř nefunkční nebo polofunkční systémy.

  • 12. 12. 2004 12:03

    bln (neregistrovaný)
    no ja sem to zkousel nekolikrat po sobe, ale porad ten stejny vysledek... a i b, az u c je TLD.cz prvni

  • 12. 12. 2004 13:33

    Dan Lukes (neregistrovaný)
    Nevim, jaky software jste pouzil a zda ten neprovadi, treba pred vytistenim, nejake prerovnani. A samozrejme, predpokladam, ze jste se ptal primo korenovych nameserveru, nez ucasti nejake cache (napriklad cache/proxy transparentni). Nicmene, spustte si tcpdump at vidite skutecne vracejici se paket - mel byste videt, ze poradi zaznamu opravdu rotuje. To je jednak kvuli rozkladani zateze, jednak je tato metoda odolnejsi v pripade vypadku nektereho ze serveru. Takze dovozovat cokoliv na zaklade nahodneho aktualniho poradi - jako to tady hezky predvedl nas predrecnik, je zcestne ...

  • 12. 12. 2004 18:34

    Petr Souček (neregistrovaný)
    Nazdar Dane,

    v tomhle případě by ses možná mohl přesvědčit, jak to je.

    V případě, že se ptáš toho a.root-servers.net na ns záznamy pro doménu cz, tak dostaneš odpověď, kde v sekcei ANSWER záznamy skutečně rotují.

    Ale to není případ obvyklého relsolvování - to se totiž ptá lokální nameserver kořenového na celé www.domena.cz, odpověď má sekci ANSWER prázdnou, a odpověď se skrývá v sekci AUTHORITY - a tam záznamy kupodivu nerotují.

    Takže a.root-servers.net skutečně vrací nameservery v uvedeném pořadí, a to vždy.

    Pořadí záznamů pro jednotlivé kořenové nameservery je následující:
    A, B, D, G, J, K, L, M (VGRS2, 8.4.1, 8.4.4, ?, NSD 1.2.3, VGRS2, NSD 1.2.4, 8.4.1, 8.4.5)
    cz. 172800 IN NS NS2.NIC.FR.
    cz. 172800 IN NS NS.RIPE.NET.
    cz. 172800 IN NS SUNIC.SUNET.SE.
    cz. 172800 IN NS NS-EXT.VIX.COM.
    cz. 172800 IN NS NS.TLD.cz.
    cz. 172800 IN NS NSS.TLD.cz.

    C (8.3.6):
    cz. 172800 IN NS NS.TLD.cz.
    cz. 172800 IN NS NS.RIPE.NET.
    cz. 172800 IN NS NS2.NIC.FR.
    cz. 172800 IN NS NSS.TLD.cz.
    cz. 172800 IN NS SUNIC.SUNET.SE.
    cz. 172800 IN NS NS-EXT.VIX.COM.

    E, F, I (9.2.3, 9.3.0, ? - ask netnod)
    rotují

    Zajímavé.

    Docela by mě zajímalo jestli to, že více polovina nameserverů vrací pořád stejné pořadí má nějaký vliv na zátěž jednotlivých nameserverů pro ccTLD .CZ.

    No a jak je to se servery obsluhujícími ccTLD .CZ?

    Na sunic.sunet.se a ns-ext.vix.com je bind 9.3.0, na ns.ripe.net je 9.2.3 a všechny rotují, na ns2.nic.fr je NSD 2.1.2 a nerotuje, je ale jiné pořadí než na ns.tld.cz a nss.tld.cz, kde záznamy také nerotují. V duchu nejlepších tajnůstkářských tradic CZ.NICu se místo čísla verze zobrazuje jen "CZ.NIC nameserver".

  • 13. 12. 2004 2:43

    Dan Lukes (neregistrovaný)
    Vidis, teto chyby (vlastnosti ?) bindu v.8 jsem si driv nevsiml, cimz se omlouvam tomu, ktereho jsem podezrival, ze o "round-robin" nikdy neslysel (tedy, pokud slysel). Nicmene stejne nemel ve vysledku sve uvahu pravdu. Na zatez jednotlivych serveru by totiz ani toto pevne poradi velky vliv mit nemelo. Vetsina uzivatelu Internetu bude pouzivat nejaky smart-resolver, ktery bude spolecny vice uzivatelum - a ten bude mit vetsinu casu tyto zaznamy ve sve cache. A pokud vim, tyto serveru budou zaznamy, kdyz je budou potrebovat, rotovat interne - a obracet se na ruzne servery. Rozdily v zatezi zpusobene poradim na root serverech by nejspis nemela prekrocit statistickou chybu mereni.

    Co se tyce chybejici informace o verzi na na nameserverech Pragonetu, to, zda to oznacis tajnustkarstvim, nebo opatrnosti (protoze znalost verze usnadnuje utok) zalezi, IMHO, zejmena na tom, jak dalece ti CZ.NIC leze krkem ...

  • 13. 12. 2004 7:58

    Petr Souček (neregistrovaný)
    Ad pořadí a zátěž - to záleží na tom, jak si vybírají příslušné DNS servery a resolvery DNS server, kterého se zeptají. Pokud se mlhavě pamatuji, tak bind si nějak vybírá na základě rychlosti odezvy, ale nevím, jak to nakonec dopadá. Bylo by zajímavé, kdyby se podařilo zjistit počet dotazů na jednotlivých serverech a zkusit najít nějakou korelaci. Pokud se ale opravdu vybírá podle doby odezvy i root server, tak asi pro většinu dotazů vyhraje f.root-server.net, jehož zrcadlo běží v NIXu. A na něm běží bind 9.3.0, rotující záznamy i v AUTHORITY sekci.

    Ad tajnůstkářství - pokud ze 13 kořenových nameserverů jen jeden nevrací žádnou informaci o verzi, a z nameserverů pro doménu .CZ všechny čtyři kromě serverů provozovaných CZ.NIC/Pragonetem ji poskytují, tak je to opravdu anomálie. Nezdá se mi, že by většina kořenových nameserverů byla v rukou riskujících nezodpovědných administrátorů. Naopak znalost verze může pomoci při analýze chování DNS, tak jako v tomto případě, kdy se ukázalo, že bind 8 a NSD nerotuje, zatímco bind 9 ano. Kdyby se chovali všichni adminové jako CZ.NIC/Pragonet, tak by se jen zjistilo, že každý nameserver se chová jinak, ale bylo by těžké získat pro to nějaké vysvětlení. Proto si myslím, že jde o více o tajnůstkářství a ne o opatrnost, zvlášť když přihlédnu k tomu, že je to ze strany CZ.NICu přístup obvyklý.

  • 13. 12. 2004 12:15

    Beda (neregistrovaný)
    Je otazka, jestli servery adminuje CZNIC/Pragonet, jak pisete.
    Nebo taky nekdo jiny, kdo stoji v pozadi.

  • 13. 12. 2004 12:16

    Beda (neregistrovaný)
    Jestli treba CZNIC ma k tem serverum vubec pristup.....

  • 13. 12. 2004 12:28

    Petr Souček (neregistrovaný)
    Ano, ale CZ.NIC za to platí Pragonetu, ne? Takže jistá odpovědnost tu je.

  • 14. 12. 2004 16:19

    Dan Lukes (neregistrovaný)
    Nevim, jak BIND rady 9.x - ten mozna uz dobu odezvy zohlednuje (neco takoveho jsem, myslim, uz skysel). 8.X ale, pokud vim, "proste rotuje". t tak ci onak, ovaha, ktera rozpoutala tuto polemiku, tedy "servery jsou na konci seznamu, proto si nikdo nevsimne, ze nefunguji neb je nikdo nepouziva" je vadna tak jako tak.

    A co se tyce tajnustkarsti - to slov ma jiny vyznam, nez slovo "anomalie", ktere jsi pouzil nyni. Je zrejme, ze zverejnovani/nezverejnovani verze ma vliv na spoustu veci. Na nektere ma spise kladny (bezpecnost), na jine spise zaporny (analyza zdroju zavad). Ja opravdu neznam skutecne pohnutky, ktere Pragonet (a jeho predchudce) vedou k utajovani cisla verze. Respektuji tvuj nazor, ze si to tak aktivne pral CZ.NIC a jde o projev tajnustkarstvi, nicmene, ja povazuju za pravdepodobnejsi jina vysvetleni. CZ.NIC si nasmlouval, u ruznych firem, vedeni sesti nameserveru. Dva od Pragonetu, jeden od RIPE, jedne od francouzskeho NICu a tak dale. Ctyri z takto nasmlouvanych nameserveru verzi zobrazuji, dva ne. Ja tedy vidim jako pravdepodobne dve moznosti - tak bud' se touto drobnosti CZ.NIC zabyva - a pak je nejvyse z jedne tretiny tajnustkar (pokud pripustim tajnustkarstvi jako jediny mozny duvod pro skryti cisla verze), kdezto ze dvou tretie jen "otevreny a transparentni". Nebo, druha moznost, ho takovy detail na objednanem nameserveru nezajima, protoze to, jestli se verze zobrazuje nebo ne povazuje za naprosto nepodstatnou vec, kterou se mu neprislusi zabyvat.

    Ja osobne tipuju to druhe ...

  • 15. 12. 2004 1:28

    Petr Souček (neregistrovaný)
    Četl jsem něco už u verze 4, že si vybírá nameserver podle doby odezvy. Možná se to týká jen kořenových nameserverů?

    Něco o tom je zmíněno tady: http://peter.gradwell.com/pab/sec-nameserver-placement-draft-pab.pdf

    Nevím, podle mě server ns2.nic.fr patří logicky AFNICu, a ns.tld.cz patří CZ.NICu. ns2.nic.fr i ostatní jsou společné pro spoustu ccTLD, takže je nelze nastavit nějak specificky pro každou z nich.

  • 19. 12. 2004 16:29

    Dan Lukes (neregistrovaný)
    Tak o tom opravdu nic nevim. Ale zcela vyloucit to nemohu.

    Co se druheho problemu tyce, asi do toho vidim mene nez ty, coz klidne muze byt pravda. Ja mam dojem, ze konfigurace ns.tld.cz neprovadi CZ.NIC, ale Pragonet. Asi tak, jako konfiguraci ns2.nic.fr neprovadi CZ.NIC, ale AFNIC (nebo kdo) a jako konfiguraci n2.nic.fr neprovadi CZ.NIC, ale buhvikdo. Podotykam, ze se nepokousim chranit CZ.NIC. Jen jsem se snazil poukazat na to, ze to, co je podle tebe "tajnustkarstvi" (coz ja povazuji za vedomou aktivitu) je podle em neco uplne jineho - nezajem o konkretni jeden marginalni aspekt celeho problemu - tedy (ne)aktivita nevedoma. A popravde receno, to jestli konkretni nameserver poskytuje cislo verze nebo neposkytuje mi opravdu pripada jako tak nezajimava a nedulezita vec, ze bych se ji nezabyval a plne to nechal na tom, kdo ten nameserver konfiguruje a vubec bych mu do toho nezasahoval. A jestli je to tak, a ja myslim, ze ano, tak tim, kdo o skryti verze aktivne rozhodl neni CZ.NIC, ale nekdo jiny.

Aktuality

Další zprávičky
Napište aktualitu

Dále u nás najdete

Czech Internet Forum: Do konce června máme zvýhodněnou cenu vstupenek!
TO CHCI
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).