Monday, October 02, 2006

APNIC Training - 28-29 Sep 2006 - DNS Workshop

DNS Workshop-н лабораторийн ажлууд хамгийн сонирхолтой байсан. Тэр дундаа DNS delegation яаж хийдэг юм бол? гэж бодож явдаг байсан бол түүнийгээ хийгээд үзлээ. Мөн RNDC(Remote Name Daemon Controller), TSIG(Transaction signiture) талаар сайн мэддэггүй байсан бол одоо ашиглаж чаддаг боллоо.

DNS Server security & reliability - Хичээл дээр яригдсан DNS Server-н талаарх чухал зүйлсүүд:
security = s, reliability = r

-r- DNS Cервер заавал redundant-тай байх - Энэ мэдээж бүх төрлийн production server-үүдэд хамаарна. DNS-н хувьд master & slave байдлаар зохион байгуулах боломжтой тул zone-н бүртгэлийг хийж байгаа сервер 1 ба түүнээс дээш slave DNS сервертэй байх шаардлагатай.

-sr- Master болон Slave серверүүд тусдаа дэд сүлжээ/subnet-д байрлах - Энд мэдээж Microsoft компаний жишээг дурдаж ярих хүн олон. Энэ удаа ч багш маань дурдаад амжив. Microsoft-н бүх DNS серверүүд нэг дэд сүлжээнд байрласнаас, router дээр тохиргоо хийж байсан ажилтны хайхрамжгүйгээс энэ дэд сүлжээрүү гаднаас хандах боломжгүй болж, улмаар Microsoft-н веб хуудсууд ажиллахгүй болсон байна.

-sr- Authoritative серверээс "forwarder" үүргийг салгах - Энэ нь мэдээж серверийн ачааллыг бодсон хэрэг. Authoritative серверүүд зөвхөн өөрийн мэдэх асуулга/query-д хариу өгч, "caching forwarder" хэрэглэгчдийн бусад асуулга/query-д ,жишээлбэл mail.yahoo.com-н IP-г олох зэрэг, хариу өгнө гэсэн үг юм. Нэг үгээр хэлбэл интернетийн хэрэглэгчиддээ (ISP-н хувьд) "сaching forwarder" DNS Cерверийнхээ IP-г зарлаж, authoritative DNS серверээ нууна гэсэн үг юм. Мэдээж authoritative DNS Серверийг чинь хүн болгон мэдэж байх албагүй.

-s- Authoritative cерверийн zone transfer, zone update-г хязгаарлах - allow-transfer{}, allow-update{} directive-үүдийг ашиглан хязгаарлалт хийх боломжтой. Default-р zone transfer хийх нээлттэй байдаг тул зөвхөн өөрийн slave серверт zone transfer хийх эрхийг олгон бусдад хаах шаардлагатай болохыг манай админууд анхаарна уу.

-s- Dynamic zone transfer & update хийхдээ TSIG ашиглах - Хуурамч IP хаягаар DNS cерверийг хууран zone transfer&update хийх нөхцөлийг хаах үүднээс encrypt-лэгдсэн түлхүүр үгийн тусламжтайгаар authorization хийнэ гэсэн үг юм. TSIG амжилттай ажиллахын тулд 2 серверийн цагууд 5 минутаас багагүй зөрөөтэй ажиллаж байх ёстойг анхаараарай.

-sr- Recursive cерверийг зөвхөн өөрийн хэрэглэгчдийн subnet-д зөвшөөрөх - open recursive server нь cache snooping attack-д өртдөг тул өөрийн хэрэглэгчдийн subnet-с гадуур ирэх query-г хязгаарлах хэрэгтэй. Үүний тулд allow-query{} directive-г ашиглана. Ингэснээр гадны халдлагаас хамгаалах төдийгүй серверийн ачааллыг ихэсгэхгүй байх давуу талтай юм. Зүйрлэж хэлбэл энэ нь open relay mail server-тэй адил шаардлагагүй трафикийг өөрөөрөө дамжуулж байна гэсэн үг юм.

-sr- Системийн логыг бичих - (Бүх production server-үүдэд хамаарна). BIND дээр category{}, channel{} directive-үүдийг ашиглан лог-г ангилж бүртгэх боломжтой байдаг. Сервер гадны халдлагад өртөх, хэвийн ажиллагаа доголдох зэрэгт лог л ганц аврана шүү дээ.


Дээрх үндсэн зүйлсээс гадна nslookup, dig зэрэг командуудыг эзэмших, гаднаас серверээ удирдах rndc программтай ажиллаж дадах зэрэг зайлшгүй сурах зүйлс байгааг манай сисадминууд анхаарна бизээ...

Sunday, October 01, 2006

APNIC Training - 27 Sep 2006 - Internet resource management

APNIC-н сургалт Датакомын дэмжлэгтэйгээр 3 хоног амжилттай болж өнгөрлөө. Энэ сургалтанд MobiNet, Micom, MagicNet, RailCom, MCSCom, WirelessCom зэрэг ISP-нуудаас гадна IT-гийн чиглэлээр үйл ажиллагаа явуулдаг, интернетийн үйлчилгээ үзүүлдэг нилээд олон байгууллагын IT-н ажилтнууд оролцлоо. Cургалт "Internet resource management", "DNS workshop" гэсэн 2 чиглэлээр явагдсан ба үр өгөөж ихтэй сайн сургалт болсон гэж би хувьдаа дүгнэж байна. APNIC-с жил бүр монголд сургалт зохион явуулдаг тул энэ удаагийнхад амжаагүй бол дараа заавал нэг суугаад үзээрэй.

Internet resource management - Хичээл эхлэхээс өмнө оролцогч бүр өөрийгөө танилцуулж, энэ сургалтаас юу олж мэдэж авах хүсэлтэй байгаагаа товчхон хэллээ. Миний хувьд "IPv6"-н талаар мөн whois өгөгдлийн санд хэрэглэгчдийнхээ мэдээллийг хэрхэн оруулах вэ? гэсэн асуултын хариуг олж авъя гэсэн бодолтой очсон. Хүмүүсийн ихэнх нь "IPv6", DNS гэсэн хариултыг өгч байлаа.

Эхлээд мэдээж APNIC-н үйл ажиллагаа, бүтэц зохион байгуулалтын талаар товчхон мэдээлэл авлаа. APNIC нь 62 орны 1000 гаруй гишүүдтэй үйл ажиллагаа явуулдаг бөгөөд төв нь Австралийн Брисбен хотод байрладаг. Ази Номхон далайн орнуудын интернет хаяглалтыг бүрэн хариуцаж ажилладаг байгууллага юм. IP хаягаас гадна, DNS reverse delegation, AS number бүртгэх үйлчилгээг үзүүлдэг. APNIC-c шинэ IP хаяглалт авахын тулд байгууллагынхаа хэтийн төлөвлөгөө, сүлжээний зохион байгуулалт, магадгүй санхүүгийн бичиг баримтаар нотолгоо болгосны үндсэн дээр хамгийн багадаа IPv4 бол /21, IPv6 бол /32 хэмжээтэй IP block авах боломжтой юм байна лээ.

Whois database-н хувьд манай ISP-нууд хэрэглэгчдийн мэдээллийг маш хангалтгүй оруулсан харагдсан. Миний хувьд Abuse report-c залхсандаа хэрэглэгчдийнхээ IP Assignment-г бүртгүүлье гэж бодож байсан удаа цөөнгүй. Харин яаж бүртгүүлэх аргаа сайн олоогүй. Ямартай ч одоо MyAPNIC-р эсвэл мэйлээр бүртгүүлж болох боломжтойг мэдэж авлаа. Гэтэл хэрэглэгчдийнхээ нэрс, IP хаягыг зарлах ер нь зөв үү гэсэн асуудалтай тулгараад бүртгүүлэхээ жаахан азнахаар шийдлээ... Энэ талаар бусад админуудтай зөвлөмөөр ч юм шиг...

IPv6 - 128 bit хаяглалт гэхээр мэдээж замбараагүй их тоо гарч байна. Зүйрлэж хэлбэл одоо хэрэглэж байгаа IPv4 IP хаягыг 4 залгаад биччихсэнтэй тэнцэхээр тийм урт хаяг гэсэн үг... Энэ их IP хаягаар юугаа хийдэг байнаа?... тэгсэн бүх "intellligent" гэр ахуйн хэрэгсэл IP хаягтай болж байгаа юм байна. Япон, Солонгост IPv6 дэмждэг гэр ахуйн хэрэгслүүд аль хэдийн худалдаанд гарсан гэнэ. Энд багшийн авсан жишээг дурдвал: taxi-ны бүх шил арчигчид IP хаягтай болбол хаана бороо орж байгааг төврүүгээ мэдээлэх боломжтой болох юм байна. Ингэснээр бороо орж байгаа дүүрэгрүү илүү олон taxi явуулна... бодоод байсан үнэхээр хэрэгтэй байгаа биз.

IPv4 IP хаягнууд дуусаж байгаа тул IPv6-руу шилжих болсон гэж гэнэхэн бодолтой явж байсан үгүй юм байна лээ. IPv4-н тал гаруй хувийг ямар ч гэрээ хийлгүйгээр 2хон жилийн дотор тараачихсан нь жаахан асуудал хэвээрээ байгаа хэдий ч, "ирээдүйгээ харж" IPv6-г бий болгосон тухай ойлгож авлаа. Бас нэг зүйл гэвэл IPv6-д private network хаяг гэж байхгүй, яагаад гэвэл private хаягны шаардлага байхгүйгээр хангалттай IP хаяг байгаа...

IPv4-c IPv6-руу хэрхэн шилжих вэ? Хэд хэдэн арга байгаан байна.

1. Dual Stack transition - Нэг төхөөрөмж дээр IPv4, IPv6 зэрэг орших боломжийг олгох

2. Tunneling - IPv4 дээгүүр IPv6-г тунелээр дамжуулах - (Dual Stack дэмждэг router ашиглан гараар тохиргоог хийх маягаар, эсвэл гадны tunnel broker ашиглан тохиргоог хийх маягаар хэрэгжүүлж болно)

3. Translation - зөвхөн IPv4, IPv6 дэмждэг төхөөрөмжүүдийг хамтран ажилладаг болгох

Бас нэг сонирхолтой мэдээлэл: 1998 оноос хойш 8 жил үргэлжилсэн IPv6-г хэрэглээнд нэвтрүүлэх зорилготой KAME төсөл саяхан дуусаж IPv6 protocol stack-г нийтэд түгээхэд бэлэн болгосон байна. IPv6 protocol stack-г эх кодын хамт удахгүй BSD License-н дор BSD үйлдлийн системд өгөх бодолтой байгаа бөгөөд одоогоор KAME-н функцүүдийг BSD үйлдлийн систем дээр нэгтгэх ажил үлдээд байгаан байна.