Долго искал, как безболезненно настроить SSL сертификат от Let's Encrypt на Microsoft Azure. В рунете с этим оказались проблемы, но на просторах большого интернета нашлась очень и очень годная статья, по которой мне удалось настроить это шайтанство. Думаю, для новичков, у которых проблемы с иностранными языками (бывает такое, но все мы учимся), перевод статьи пригодится.
Рубрика «DNS» - 18
Настройка Let’s Encrypt на Microsoft Azure
2017-01-31 в 17:53, admin, рубрики: azure, DNS, LetsEncrypt, SSL, Администрирование доменных имен, Серверное администрирование
Security Week 03: закат SHA-1 продолжается, баг или фича в Whatsapp, уязвимости в роутерах не чинятся
2017-01-20 в 18:03, admin, рубрики: DNS, klsw, sha-1, SHA-2, WhatsApp, Блог компании «Лаборатория Касперского», информационная безопасность, роутеры, шифрование
SHA-1 — все. Или нет? Следить за развитием событий вокруг этого алгоритма хеширования легко и приятно: несмотря на очевидную серьезность проблемы, она остается малоприменимой для практических атак, как минимум — массовых. Впервые я упоминал о SHA-1 в дайджесте аж от октября 2015 года. Проблемы с ним появились из-за того, что вычислительные ресурсы подешевели несколько быстрее, чем ожидалось. Эксперт по криптографии Брюс Шнайер в 2012 году предрекал, что через три года для создания коллизии при генерации хэшей потребуется 11 лет вычислений на условном сервере. Три года прошли, и выяснилось, что на самом деле (за счет развития технологий параллельных вычислений, и благодаря новым исследованиям в области криптографии) этот срок значительно меньше — всего 49 дней.
Так как хеширование с помощью SHA-1 используется в весьма ответственных операциях, например при установке защищенного соединения с веб-сайтами, разработчики софта довольно оперативно начали делиться планами по выводу ненадежного алгоритма из эксплуатации. Начиная с 24 января (для Firefox, для других браузеров чуть позже) посещение сайта, не поддерживающего более стойкий алгоритм SHA-2 (обычно модификации SHA-256), будет приводить к разнообразным угрожающим предупреждениям у пользователей.
Читать полностью »
«Ультимативный DNS-дайджест»: 45 материалов с Хабра и других ресурсов
2017-01-18 в 11:12, admin, рубрики: DNS, IaaS-дайджест, Блог компании 1cloud.ru, Сетевые технологии, Стандарты связи
Совсем недавно мы рассказали о том, как команда нашего IaaS-провайдера автоматизировала работу с DNS-записями в хостинг-панели.
Опыт создания новой услуги по предоставлению бесплатного сервиса DNS-хостинга сподвиг нас к беглому анализу публикаций на Хабре, которые затрагивали те или иные аспекты работы DNS. Мы собрали эти материалы вместе с англоязычными дополнениями в очередной «ультимативный» дайджест от 1cloud.
В прошлых выпусках мы собрали практические материалы в SSL-и VPN-дайджест.
Получаем список доменов и IP адресов всех банков мира
2017-01-05 в 15:00, admin, рубрики: 3dsecure, DNS, банки, ит-инфраструктура, платежи, Сетевые технологии, системное администрирование, метки: 3dsecure, ip адресДумаю каждый сталкивался с ситуацией, когда в начале месяца у абонента интернет-провайдера баланс уменьшается в ноль или становится отрицательным, а при попытке пополнить счет картой на каком-то этапе страница банка становится не доступной.
Связано это как правило с тем, что банки, выпускающие карты, по умолчанию активируют услугу 3DSecure на своих картах, и таких банков в мире тысячи. В свою очередь интернет-провайдер имеет возможность добавить в белый список только IP адрес того банка, через платежный шлюз которого он подключен на процессинг карт и ему довольно проблематично понять, картами каких банков ему будут платить, и на каких доменах у этих банков расположена 3DSecure страница
Суверенный интернет. Почему его не будет в 2017 году
2017-01-02 в 13:33, admin, рубрики: BGP, CDN, DNS, http, http2, HTTPS, ripe, SSL, TLS, Сетевые технологии, Стандарты связи, хостинг, хранение данныхПоследнее время всё чаще пробегают новости про «суверенный интернет», «отключение интернета» и прочие ужасы. Однако, по состоянию на начало 2017 года, отключить российский сегмент от остальной сети и оставить его работоспособным представляется маловероятным.
Давайте попробуем рассмотреть детально.
Читать полностью »
Личный опыт: Как мы автоматизировали работу с DNS-записями в хостинг-панели
2016-12-23 в 7:56, admin, рубрики: 1сloud, DNS, iaas, Анализ и проектирование систем, Блог компании 1cloud.ru, Разработка веб-сайтов, Разработка под e-commerce, Разработка систем связиВ нашем блоге на Хабре мы много пишем о различных вопросах, связанных с ИТ, а также рассказываем о развитии собственного проекта — IaaS-провайдера 1cloud. Сегодня речь пойдет о том, зачем мы разработали новую услугу — бесплатный сервис DNS-хостинга.
Ранее мы уже рассказывали о том, как разрабатывали собственную систему управления DNS с помощью продукта ANS. Базовая схема взаимодействия с системой выглядит так:
Багофича .RU или как получить проблемы там, где их не должно быть уже много лет
2016-12-09 в 21:36, admin, рубрики: bind9, DNS, rucenter, Администрирование доменных имен, Серверное администрирование, Сетевые технологии, системное администрирование«Один мой друг» (с) рассказал историю про свои приключения с DNS.
Предыстория
Представьте, что заканчивается 2016 год, на ваших DNS серверах есть несколько сотен доменов, давным давно запущено штук 5 мощных DNS серверов в разных датацентрах, вы хотите наконец-таки избавиться от старых DNS серверов, которые последнее время просто тянут деньги на аренду и занимают место в стойке. Однако, сразу после попытки их отключения, телефоны поддержки раскаляются докрасна, поэтому старые сервера приходится быстро включить и вдумчиво разбираться в ситуации.
Глава 1
Еще раз проверяем DNS зоны, убеждаемся, что нигде нет старых адресов и очень давно. Проверяем из разных регионов запросами на каждый из своих NS. Везде всё отдаётся правильно. Берем tcpdump и смотрим запросы на 53 порт на старыx DNS. Оказывается, что запросов к ним удивительно много. И это при том, что IP адреса этих серверов уже много месяцев нигде не фигурируют! Читать полностью »
Публикуем сайт в межпланетной файловой системе IPFS
2016-11-29 в 17:29, admin, рубрики: DNS, ipfs, ipns, децентрализованные сетиВ InterPlanetary File System можно запустить статичный сайт который будет доступен и напрямую и по IPNS. У сайта будет нормальное доменное имя благодаря использованию DNS. Доменное имя можно использовать для доступа к сайту напрямую, через глобальный и локальный шлюз.
Условия:
- На нашем сервере установлен IPFS
- У нас есть домен и доступно редактирование DNS записей
Внедрение DMARC для защиты корпоративного домена от спуфинга
2016-11-22 в 8:54, admin, рубрики: dmarc, DNS, mail.ru, Администрирование доменных имен, Блог компании Mail.Ru Group, защита от подделки, спуфинг, электронная почта
A Thief on the Run by Manweri
Привет! В этом посте мы снова поговорим о проблеме подделки отправителя (или так называемом спуфинге). В последнее время такие случаи очень участились: подделывается все: письма со счетами за ЖКХ, из налоговой инспекции, банков и так далее. Решить эту проблему помогает настройка строгой DMARC-политики. Мы как почтовая служба проверяем все приходящие к нам письма на DMARC начиная с февраля 2013 года. Мы были первым в рунете почтовым сервисом, поддержавшим стандарты DMARC. Однако чтобы минимизировать число поддельных писем, этого, к сожалению, недостаточно. Главное, чтобы строгий DMARC был поддержан на стороне отправителя. Вот почему мы не устаем качать эту тему, ведем активную разъяснительную работу и всячески призываем всех включать у себя строгий DMARC.
Позитивные сдвиги уже есть: с каждым месяцем мы видим прирост числа корпоративных отправителей, прописавших DMARC, на десятки процентов. Однако безусловно, еще есть над чем работать. Практика показывает, что IT-культура находится на очень разном уровне. Кто-то слышал краем уха про DMARC, но пока не собирается его внедрять. Есть и такие, для кого факт, что в транспортных протоколах электронной почты отсутствует какая-либо проверка и защита адреса отправителя, до сих пор является настоящим откровением. Кроме того, поддержка DMARC — задача непростая. Только на первый взгляд кажется, что достаточно опубликовать запись в DNS, и не требуется никакого дополнительного софта или технических средств (подробнее в нашей статье DMARC: защитите вашу рассылку от подделок). На практике в крупной компании с многочисленными потоками электронной почты и развесистой структурой почтовых доменов все гораздо сложнее. И есть моменты, которые следует предусмотреть и продумать заранее. Именно для таких сложных случаев мы написали эту статью, постаравшись собрать в ней все нюансы.
Читать полностью »
Разрешение имен доменов из контейнеров Docker в сложных случаях
2016-11-17 в 12:05, admin, рубрики: DNS, dnsmasq, docker, docker-compose, emulator, web-разработка, виртуализацияВ вопросе связанном с DNS попил мне Docker кровушки основательно, ибо столько там разных мест в которых тебе предлагают написать заветные цифры, что прямо-таки глаза разбегаются.
Итак, задача: необходимо поднять окружение разработчика для одновременной работы с несколькими веб-проектами висящими на доменах вида example.app. При этом данные домены должны быть доступны из контейнеров, с хоста, а также, например, из эмулятора Genymotion. Кроме того, из контейнеров должен быть доступен и внешний интернет. Все это усугубляется корпоративным Intranet со своим внутренним DNS сервером.
Читать полностью »