varia

DNSSEC en Google open DNS

Door Blokker_1999 op woensdag 30 december 2015 12:21 - Reacties (2)
Categorie: /var, Views: 1.896

Gisteren avond kwamen er via IRC ineens meldingen binnen dat enkele domeinen niet meer bereikbaar waren voor bezoekers. Zowel bevestigingen als ontkenningen kwamen van verschillende gebruikers binnen.

Al snel werd gevonden waar het verschil vandaan kwam: mensen die gebruik maken van Google DNS konden de site niet meer bereiken. Een snelle query op de commandline toont inderdaad aan dat Google niet meer thuis geeft op de vraag:

hans@utopia:~$  dig mtasa.com @8.8.8.8

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> mtasa.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 48852
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;mtasa.com.             IN      A

;; Query time: 73 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Dec 30 06:08:00 2015
;; MSG SIZE  rcvd: 35


De reden waarom was evenwel niet onmiddellijk duidelijk. Aan de zone files voor de getroffen domeinen was niets veranderd, andere open DNS servers hadden geen enkel probleem met het geven van de records en ook een snelle controle via een online tool leverde een correct werkende DNS server op (al heb ik wel geleerd dat er nog wat waarschuwingen moeten weggewerkt worden).

Na wat verder zoeken kwam ik op de tool van dnsstuff.com uit en die wist me wel correct te melden waar het probleem zat: Een failure op de datum van het DNSSEC SOA record.
De documentatie die ik gevolgd heb voor het opzetten van DNSSEC had wel de aanbeveling om regelmatig de zone opnieuw te ondertekenen om zone walking te voorkomen (een methode om uiteindelijk alle records in je zone te vinden) maar zij faalden om te melden dat een ondertekende zone sowieso slechts 30 dagen geldig is. Na deze termijn word de digitale ondertekening ongeldig verklaard.

Daar ik DNSSEC op 29/11 heb opgezet is het dus ook logisch dat op 29/12 de geldigheid overschreden word. En Google is zo vriendelijk om vanaf dat moment de data niet meer door te sturen naar de eindgebruiker (wat eigenlijk ook correct is).

Na even snel de zone opnieuw ondertekend te hebben en de zone te herladen krijgen we even later wel van Google een correct antwoord:

 hans@utopia:~$ dig mtasa.com @8.8.8.8

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> mtasa.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3995
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;mtasa.com.                     IN      A

;; ANSWER SECTION:
mtasa.com.              13794   IN      A       91.121.44.90

;; Query time: 23 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Dec 30 06:16:55 2015
;; MSG SIZE  rcvd: 43


Vragen we de DNSSEC data op dan krijgen we ook netjes het moment van ondertekening te zien (onder RRSIG):

 hans@utopia:~$ dig A mtasa.com. @8.8.8.8 +noadditional +dnssec +multiline

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> A mtasa.com. @8.8.8.8 +noadditional +dnssec +multiline
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18718
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 512
;; QUESTION SECTION:
;mtasa.com.             IN A

;; ANSWER SECTION:
mtasa.com.              14399 IN A 91.121.44.90
mtasa.com.              14399 IN RRSIG A 7 2 14400 20160129054739 (
                                20151230054739 52103 mtasa.com.
                                hfUnuuCvFK6F6Os+WzQqpQP23EP1xkduPrBTZ4smZmbY
                                Qmc/VR4QqrC8d10oY0loSljig17kWZBU7mlDwYLPMI0F
                                ED7j1RnUgs1KctQc3bVy6p/iXMRkAq7FeD8gWPkiTj7W
                                CKukzEosTLe0WdGC5XkeKD2HF8i4tQlO++X5I9jDmwvK
                                y5Opd9Bbc04SQUfIulQYgNX3bjzNnI8Y9nYWZ2BL4k7D
                                mLSJU98Ps1wo4JFSizzkSJCMdVUPuK2xuDSrD66BzdgX
                                arHkkb5I7lRInq0D6T6Dvn5dAEXRmKsR58SRrOgZ8WxD
                                QhNukrJP6Xkp451DfafJVmhe264url1bWw== )

;; Query time: 492 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Dec 30 06:17:56 2015
;; MSG SIZE  rcvd: 351


Lessons learned:

- DNSSEC ondertekende zones moet je regelmatig opnieuw tekenen (time for a cron job)
- Google DNS is 1 van de weinige open DNS servers die een controle uitvoert op de geldigheid van ondertekende zones. Zeker een pluspunt voor Google.

Argh PostNL!!

Door Blokker_1999 op vrijdag 06 maart 2015 12:24 - Reacties (46)
Categorie: /var, Views: 7.220

Enkele weken terug had ik van tweaker HardwareJunk enkele latjes RAM geheugen en een harde schijf overgenomen. Daar de afstand (een 200km) iets te ver was gegeven de waarde en het gewicht van het overgenomen goed was de keuze voor verzending via de post snel gemaakt. Het pakketje werd aangetekend + verzekerd verstuurd.

Ondanks dat ik in Vlaanderen woon, doet PostNL de bezorging van postpakketten hier zelf (weet ik uit ervaring). Groot was mijn verbazing dan ook toen ik op een avond thuis kwam en het pakket gewoon aan mijn voordeur op de railing zag liggen. Duidelijk in het zicht zodat elke geÔnteresseerde het zou kunnen meenemen. En dit terwijl er voor aflevering een handtekening vereist was :( .

http://tweakers.net/ext/f/vfcA656xOBVHPYvc1KaUmnKo/full.png

Spijtig genoeg is dit niet de eerste keer dat ik het meemaak. En heb ook al 1 keer meegemaakt dat een pakket dat onzorgvuldig werd achtergelaten ook effectief verdwenen was. Daar sta je dan. Aangetekend verzonden, de koerier tekent zelf en dan mag jij gaan aantonen dat het niet geleverd was.

Een week geleden heb ik een bestelling geplaatst bij een Chinese webshop. Ik kreeg bij die webshop meerdere verzendopties aangeboden waaronder gratis verzenden via EMS of afhandeling via verschillende koerierdiensten. Ik kruis hier aan dat ik verzending wens via DHL en die 2 euro extra voor verzekering neem ik er ook maar bij.

Nu zijn we een week later en krijg ik vandaag melding dat mijn bestelling verzonden is met … PostNL. Had ik dat vooraf geweten had ik mijn bestelling niet eens geplaatst bij deze webshop. Te meer daar ik expliciet voor DHL heb gekozen. Wanneer DHL langskomt en ik ben niet thuis laten ze bericht en moet ik zelf actie ondernemen. Ik kan zelfs diezelfde avond nog naar het dichtstbijzijnde depot rijden om het te gaan ophalen. Dat was de eenvoud waarvoor ik had gekozen. Ik had ook voor verzending via een aangetekend postpakket kunnen kiezen. Dan had in principe bpost het hier kunnen afleveren. En ook zij nemen het mee terug naar het postkantoor wanneer ik niet thuis ben (en als werkende single ben ik 5 werkdagen op rij niet thuis). En dan komt men af met PostNL, de dienst die mijn pakketten, ondanks de benodigde handtekening, altijd gewoon aan de deur afzet alsof er niets aan de hand is en alsof we hier in Canada wonen.

scambait - once more?

Door Blokker_1999 op maandag 06 oktober 2014 07:54 - Reacties (31)
Categorie: Marjo, Views: 5.956

Enkele jaren terug heb ik mij een tijdje bezig gehouden met een scam rondom een Russische bruid. Nu bied zich een nieuwe kans aan. Niet zozeer de kans waarop ik gehoopt had maar ze is er.

Lees verder »

Volt onder spanning

Door Blokker_1999 op zaterdag 27 september 2014 10:48 - Reacties (9)
Categorie: /var, Views: 3.765

Op ťťn bestaat sinds enkele jaren een consumentenmagazine genaamd Volt. Ik ben nooit echt een voorstander geweest van dit soort programma's omdat ze zelf de consument ook wel eens misleiden, maar dit seizoen zijn ze het,imho, wel heel bont aan het maken.

Lees verder »

nattigheid voor het ronde vierkant

Door Blokker_1999 op maandag 22 september 2014 20:04 - Reacties (7)
Categorie: /var, Views: 5.398

reeds geruime tijd maak ik voor webmail setups gebruik van RoundCube webmail en ik merk ook dat steeds meer en meer projecten van deze cliŽnt gebruik maken. Niet verwonderlijk wanneer je bedenkt dat de vorige trendsetter squirrelmail was wat nog een web 1.0 interface had.

Maar ik stoor me al geruime tijd aan RC. Ongeacht de install en ook ongeacht de browser/OS combinatie waarmee ik mijn RC bezoek, heb ik altijd het gevoel dat de gebruikerservaring niet vloeiend is. De cliŽnt heeft tijd nodig om mails te downloaden en om te reageren op UI elementen. Het heeft bij mij nooit vlot aangevoeld.

Daarom ben ik bij de migratie van mijn hoofd mailserver afgelopen weekend eens beginnen rondkijken naar alternatieven. Zo ben ik bij rainloop aangekomen. Net zoals RC is ook dit een webmail cliŽnt met een moderne interface. Gratis en open-source, maar wel enkel bij niet commercieel gebruik dankzij de CC BY-NC-SA 3.0
rainloop
De interface voelt vertrouwd aan voor een mail cliŽnt maar in tegenstelling tot mijn RoundCube ervaring laat deze zich ook zeer vlot bedienen. Het openen of selecteren van mails gaat sneller en acties worden onmiddellijk en zonder merkbare vertraging uitgevoerd. Deze mail cliŽnt heeft mij dan ook direct ingepalmd.

Alleen gebruik vanop mobiele apparaten moet ik nog eens bekijken. rainloop schaalt daar met een standaard install niet goed mee en probeert mails ook te openen met een externe app wat uiteraard helemaal de bedoeling niet is.

Aan alle admins die RC eens willen inruilen voor iets anders kan ik zeker zeggen: geef rainloop eens een kans. (online demo)