DNSSEC en Google open DNS

Door Blokker_1999 op woensdag 30 december 2015 12:21 - Reacties (2)
Categorie: /var, Views: 3.737

Gisteren avond kwamen er via IRC ineens meldingen binnen dat enkele domeinen niet meer bereikbaar waren voor bezoekers. Zowel bevestigingen als ontkenningen kwamen van verschillende gebruikers binnen.

Al snel werd gevonden waar het verschil vandaan kwam: mensen die gebruik maken van Google DNS konden de site niet meer bereiken. Een snelle query op de commandline toont inderdaad aan dat Google niet meer thuis geeft op de vraag:

hans@utopia:~$  dig mtasa.com @8.8.8.8

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> mtasa.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 48852
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;mtasa.com.             IN      A

;; Query time: 73 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Dec 30 06:08:00 2015
;; MSG SIZE  rcvd: 35


De reden waarom was evenwel niet onmiddellijk duidelijk. Aan de zone files voor de getroffen domeinen was niets veranderd, andere open DNS servers hadden geen enkel probleem met het geven van de records en ook een snelle controle via een online tool leverde een correct werkende DNS server op (al heb ik wel geleerd dat er nog wat waarschuwingen moeten weggewerkt worden).

Na wat verder zoeken kwam ik op de tool van dnsstuff.com uit en die wist me wel correct te melden waar het probleem zat: Een failure op de datum van het DNSSEC SOA record.
De documentatie die ik gevolgd heb voor het opzetten van DNSSEC had wel de aanbeveling om regelmatig de zone opnieuw te ondertekenen om zone walking te voorkomen (een methode om uiteindelijk alle records in je zone te vinden) maar zij faalden om te melden dat een ondertekende zone sowieso slechts 30 dagen geldig is. Na deze termijn word de digitale ondertekening ongeldig verklaard.

Daar ik DNSSEC op 29/11 heb opgezet is het dus ook logisch dat op 29/12 de geldigheid overschreden word. En Google is zo vriendelijk om vanaf dat moment de data niet meer door te sturen naar de eindgebruiker (wat eigenlijk ook correct is).

Na even snel de zone opnieuw ondertekend te hebben en de zone te herladen krijgen we even later wel van Google een correct antwoord:

 hans@utopia:~$ dig mtasa.com @8.8.8.8

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> mtasa.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3995
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;mtasa.com.                     IN      A

;; ANSWER SECTION:
mtasa.com.              13794   IN      A       91.121.44.90

;; Query time: 23 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Dec 30 06:16:55 2015
;; MSG SIZE  rcvd: 43


Vragen we de DNSSEC data op dan krijgen we ook netjes het moment van ondertekening te zien (onder RRSIG):

 hans@utopia:~$ dig A mtasa.com. @8.8.8.8 +noadditional +dnssec +multiline

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> A mtasa.com. @8.8.8.8 +noadditional +dnssec +multiline
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18718
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 512
;; QUESTION SECTION:
;mtasa.com.             IN A

;; ANSWER SECTION:
mtasa.com.              14399 IN A 91.121.44.90
mtasa.com.              14399 IN RRSIG A 7 2 14400 20160129054739 (
                                20151230054739 52103 mtasa.com.
                                hfUnuuCvFK6F6Os+WzQqpQP23EP1xkduPrBTZ4smZmbY
                                Qmc/VR4QqrC8d10oY0loSljig17kWZBU7mlDwYLPMI0F
                                ED7j1RnUgs1KctQc3bVy6p/iXMRkAq7FeD8gWPkiTj7W
                                CKukzEosTLe0WdGC5XkeKD2HF8i4tQlO++X5I9jDmwvK
                                y5Opd9Bbc04SQUfIulQYgNX3bjzNnI8Y9nYWZ2BL4k7D
                                mLSJU98Ps1wo4JFSizzkSJCMdVUPuK2xuDSrD66BzdgX
                                arHkkb5I7lRInq0D6T6Dvn5dAEXRmKsR58SRrOgZ8WxD
                                QhNukrJP6Xkp451DfafJVmhe264url1bWw== )

;; Query time: 492 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Dec 30 06:17:56 2015
;; MSG SIZE  rcvd: 351


Lessons learned:

- DNSSEC ondertekende zones moet je regelmatig opnieuw tekenen (time for a cron job)
- Google DNS is 1 van de weinige open DNS servers die een controle uitvoert op de geldigheid van ondertekende zones. Zeker een pluspunt voor Google.

(lege) zakken gerold

Door Blokker_1999 op dinsdag 5 mei 2015 19:22 - Reacties (25)
Categorie: Persoonlijk, Views: 8.196

Deze ochtend nam ik per toeval de trein over Antwerpen. In principe heb ik een rechtstreekse trein, maar eenmaal op het perron merkte ik dat ik onder andere mijn treinkaart niet bijhad en ben ik snel even naar huis gelopen om mijn vergeten spullen te halen. Een trein later genomen en dat betekend dus omrijden over Antwerpen.

Daar stond ik dan op spoor 9 te Berchem te wachten op mijn aansluiting. Toen deze binnenkwam zette ik een kleine stap achteruit (doe ik wel vaker uit gewoonte, ook al sta ik ver genoeg van de perronrand) en ik botste tegen iemand die achter mij stond.


Afbeelding ter illustratie

Deze man verontschuldigde zich op een nette manier, draaide zich om en maakte dat hij weg was, omdat ik mijn aansluiting niet wenste te missen wandelde ik onmiddelijk naar de trein en bij het instappen realiseerde ik mij ineens wat deze man aan het proberen was. Op dat moment was het natuurlijk al te laat en was ik hem al uit het oog verloren.

Toen ik eenmaal neerzat en mijn rugzak eens goed bekeek merkte ik inderdaad dat 3 van de kleinere zijvakken open stonden. De kans dat van alle 3 de ritssluiting niet gesloten Is, lijkt mij relatief klein. Gelukkig bewaar ik in die compartimenten over het algemeen niets. Maar ik besefte op dat moment nog eens hoe snel het allemaal gaat en hoe goed deze mensen hun 'vak' kennen. Zonder dat je zelf iets merkt zitten zij met hun handen in uw tas of zakken. Had deze man geprobeerd mijn portefeuille te stelen dan had ik het zeker wel gevoeld.

En toch spijtig dat ik niet onmiddelijk doorhad wat er gebeurde maar dat het enkele seconden duurde voor ik het doorhad. Anders had ik eens kunnen proberen hem zelf staande te houden en was hij gaan lopen had ik eindelijk eens kunnen roepen in het openbaar "houd de dief!".

Argh PostNL!!

Door Blokker_1999 op vrijdag 6 maart 2015 12:24 - Reacties (46)
Categorie: /var, Views: 12.186

Enkele weken terug had ik van tweaker HardwareJunk enkele latjes RAM geheugen en een harde schijf overgenomen. Daar de afstand (een 200km) iets te ver was gegeven de waarde en het gewicht van het overgenomen goed was de keuze voor verzending via de post snel gemaakt. Het pakketje werd aangetekend + verzekerd verstuurd.

Ondanks dat ik in Vlaanderen woon, doet PostNL de bezorging van postpakketten hier zelf (weet ik uit ervaring). Groot was mijn verbazing dan ook toen ik op een avond thuis kwam en het pakket gewoon aan mijn voordeur op de railing zag liggen. Duidelijk in het zicht zodat elke geïnteresseerde het zou kunnen meenemen. En dit terwijl er voor aflevering een handtekening vereist was :( .



Spijtig genoeg is dit niet de eerste keer dat ik het meemaak. En heb ook al 1 keer meegemaakt dat een pakket dat onzorgvuldig werd achtergelaten ook effectief verdwenen was. Daar sta je dan. Aangetekend verzonden, de koerier tekent zelf en dan mag jij gaan aantonen dat het niet geleverd was.

Een week geleden heb ik een bestelling geplaatst bij een Chinese webshop. Ik kreeg bij die webshop meerdere verzendopties aangeboden waaronder gratis verzenden via EMS of afhandeling via verschillende koerierdiensten. Ik kruis hier aan dat ik verzending wens via DHL en die 2 euro extra voor verzekering neem ik er ook maar bij.

Nu zijn we een week later en krijg ik vandaag melding dat mijn bestelling verzonden is met … PostNL. Had ik dat vooraf geweten had ik mijn bestelling niet eens geplaatst bij deze webshop. Te meer daar ik expliciet voor DHL heb gekozen. Wanneer DHL langskomt en ik ben niet thuis laten ze bericht en moet ik zelf actie ondernemen. Ik kan zelfs diezelfde avond nog naar het dichtstbijzijnde depot rijden om het te gaan ophalen. Dat was de eenvoud waarvoor ik had gekozen. Ik had ook voor verzending via een aangetekend postpakket kunnen kiezen. Dan had in principe bpost het hier kunnen afleveren. En ook zij nemen het mee terug naar het postkantoor wanneer ik niet thuis ben (en als werkende single ben ik 5 werkdagen op rij niet thuis). En dan komt men af met PostNL, de dienst die mijn pakketten, ondanks de benodigde handtekening, altijd gewoon aan de deur afzet alsof er niets aan de hand is en alsof we hier in Canada wonen.

[CBA] Crazy Big Adventure

Door Blokker_1999 op zondag 26 oktober 2014 15:35 - Reacties (17)
Categorie: [CBA]Road Trip, Views: 5.389

Reeds meer dan een jaar zit ik met een idee in mijn hoofd voor een broodnodige, deugddoende vakantie. Ik wil niet zomaar ergens aan een strand gaan liggen nietsdoen (niets voor mij), ik wil een uitdaging aangaan, een beetje avontuur opzoeken. Daarom dook in mij het idee op van een roadtrip.

Lees verder »

scambait - once more?

Door Blokker_1999 op maandag 6 oktober 2014 07:54 - Reacties (31)
Categorie: Marjo, Views: 7.426

Enkele jaren terug heb ik mij een tijdje bezig gehouden met een scam rondom een Russische bruid. Nu bied zich een nieuwe kans aan. Niet zozeer de kans waarop ik gehoopt had maar ze is er.

Lees verder »