Whalebone (Bylo: ? Webinář: DNS + ochrana sítě)

suk · 2020-04-02T09:45:43+00:00

Toto vlákno vzniklo původně pouze k propagaci webinářů Whalebone. Vzhledem k relevantní obecnější diskuzi o Whalebone, která se zde rozproudila, bylo přejmen...

suk

svestka ka díky za věcný námět. Pokud půjde jen o info o webináři, budu zveřeňovat jen v komerčním vlákně.

Prosím pokud kohokoliv mé příspěvky obtěžují, nejjednodušší je dát ignorovat celé vlákno jako ignrované (viz https://share.getcloudapp.com/mXu5oXBG). Teď v nejbližších týdnech jich zas několik bude, tak tu nechci nikoho namíchnout.

suk

Rád bych se podělil o zásadní novinku z Whalebone.

Kompletně jsme přepracovali náš cloudový resolver. Také již využívá Knot Resolver a jde na něm pracovat s politikami pro rozsahy.

Je to velká věc obchodně i technicky:

Někdy bylo využití lokálního resolveru, který preferujeme, nemožné - např. kvůli chybějící infrastruktuře v dané síti. Teď je nový cloud plnohodnotný.
Přeprodej Whalebone, ať už bezpečnosti nebo obsahové filtrace, je teď možný i vašim zákazníkům, kteří nejsou ve vaší síti a nemají možnost si rozjet lokální resolver.

Podrobně představíme nové cloudové resolvery na zítřejším webináři -->26.11., 14:30 - 15:30, https://www.whalebone.io/cs/isp-cz/webinar-isp/.

coitus

Vie mi niekto z ISP (ak pouziva filtrovanie dns) vysvetlit aku to ma vyhodu, ked Chrome s poddielom skoro 70% ma defaultne zapnute DoH na svoje servre?
Chapem pouzitie podobnych rieseny ako whalebone, pi-hole atd... vo fieremnych sietiach ale v sieti ISP mi trochu unika podstata. Hlavne ked nedokazem donutit zakaznika pouzivat moje dns servre (sietova neutralita).

myghael

coitus Podstatou je to, že ten "výchozí" DNS co poskytuje ISP má ty bezpečnostní fíčury, tudíž by pro řadu uživatelů měla potřeba použití jiných DNS odpadnout.

suk

coitus Díky za dotaz. Je to přesně tak, jak píše myghael --> prohlížeče v EU kontextu respektují nastavení poskytovatele.

Další důležitý aspekt je ten, že velká část malware* provozu vůbec neběží přes prohlížeče. Navíc malware umí hezky zařádit i s jinými zařízení než PC a mobil. Infikované síťové prvky jsou docela známý evergreen. Méně známé je ale to, že i IoT zařízení mohou být infikována a dokonce některé levné čínské krabičky (často třeba IPkamery) čile komunikují s nežádoucími čínskými servery.

A blíže k tomu "upřednostňování":

Chrome nemá defaultně zapnuté přesměrování na své servery ani žádné jiné, ale v defaultu má nastaveno upřednostňovat a respektovat DNS aktuálního poskytovatele:
Mozilla, která experimentovala s "vnucováním" Cloudflare vytvořila tento neaktuální závěr.
Upřednostnění DNS poskytovatele je nakonec defaultní setup v EU kontextu pro Mozillu, Google, Microsoft i Apple.

Mohu případně odkázat na nezávislé zdroje.

A aby to tak fungovalo, je samozřejmě žádoucí, aby v budoucnu DNS-over-HTTPS v sítích bylo. Proto jsme již v několika sítích pilotně nasadili. Bylo to velmi jednoduché, proto snad v průběhu následujících měsíců doplníme možnost aktivace DNS-over-HTTPS i přímo do GUI naší administrace. Chceme ISPíkům přinášet funkce, které hravě nasadí a ušetří jim to drahocený čas.

--- * Srovnání Whalebone a pi-hole není úplně ideální. Whalebone sice umí blokovat reklamu, ale je to jen bonusová featurka. Klíčová je bezpečnost, kde jsme navíc kompletně vytěsnili nedokanalou logiku práce s bezpečnostními feedy. To si ostatně může každý zdarma vyzkoušet v plné verzi se všemi funkcemi a srovnat se stávajícím řešením, které si třeba dělá vlastními silani. Nasazení je opravdu jednoduché. Zabere to pár minut.

myghael

suk Takto si představuji prezentaci služeb, díky!

suk

Na ISP fóru víte první, co se stalo a chystá u Whalebone:

Máme v zákaznické betě spuštěny užitečné funkce pro správu resolverů: log akcí, inicicace zahození cache konkrétního resolveru nebo konkrétní domény na všech resolverech
Připravena je i možnost vytrasování domény na resolveru přímo z grafické administrace. Jak s kompletním logem, tak s překladem výsledku do srozumitelné podoby**.
Ke konci února očekáváme uvolnění do zákaznické bety nastavení časového běhu pravidel pro politiky (zejm. rodičovská ochrana nebo whitelisting)

Níže několik screenshotů z administrace k novým funkcím.

Rád bych také případné zájemce o více informací o Whalebone pozval na:

Úvodní představení Whalebone v češtině, 18.2. od 11:00. nebo 25.2. od 14:00 anglicky
: představíme Whalebone on-premise DNS resolver s grafickou administrací, analýzou dat, blokací malware, hazardní blokací, API,...
Webinář pro zákazníky s představením novinek výše, 25.3. od 13:30
-

suk

Hezké odpoledne všem,

včera byl mezinárodní den bezpečnějšího internetu. Při této příležitosti jsme dali dohromady pár tipů, jak se mohou zapojit ISPíci a také malý dárek pro případné nové, ale i stávající zákazníky.

Více na https://www.whalebone.io/cs/mezinarodni-den-bezpecnejsiho-internetu-2021/

suk

Zveřejnili jsme záznam aktuálního webináře s představením novinek: https://youtu.be/lN5wciwPsJ8

Připojuji navíc stopáž na konkrétní části:

07:30 - plánované změny ve zveřejňování updatů
16:25 - trace domény na konkrétním resolveru
23:10 - vyčištění konkrétní domény z cache
24:02 - vyčištění cache celého resolveru
25:58 - nové možnosti nastavení DNS překladu
26:50 - vypnutí logování DNS překladu
27:07 - úprava velikosti, při které rotují logy
27:40 - konfigurace sběru Syslogu
29:10 - počet procesů resolveru = kolik využije jader procesoru
31:50 - nastavení časových podmínek platnosti obsahové filtrace
35:15 - blokace připojení
38:30 - možnost změnit přiřazování politik z logiky dle zdrojové IP na logiku dle cílové IP

Hezký den

suk

Připravili jsme krátké instruktážní videa k některým základním funkcím Whalebone. Zatím je hotová necelá půlka a já bych je zde rád dal ke kritice ještě před oficiálním zveřejněním. Zatím máme ale jen AJ verzi.

Základní konfigurace Whalebone DNS (1:57 min)
Jak nastavit automatické alerty na dění v síti (1:23 min)
Individualizace blokačních stránek (1:31 min)
Aktivace a využívání Whalebone API (1:47 min)
Využití cloudových resolverů (1:06 min)

Jsou taková videa užitečná? Máme jít v budoucnu více do hloubky nebo je stávající formát adekvátní?

Díky za případnou zpětnou vazbu.

suk

Dobré ráno,

dnes jsme vypustili info získané investici. Možná na vás vyskočí nějaký mediální výstup a proto chci cíleně upozornit na rozhovor na Lupě, který se ve své druhé půlce věnuje i techničtějším aspektům.

Při této příležitosti chci pozvat 20.5. od 14:00 na webinář o ochraně a správě sítě a zvyšení revenue s Whalebone DNS. Registrace a podrobnosti tady..

Hezký den všem

suk

Hezké odpoledne,

aktuálně evidujeme výpadek DNSSECu na cez.cz.

V případě, že využíváte Whalebone, stačí vložit do: Konfigurace/DNS překlad/Nastavení DNS překladu tento příkaz pro deaktivaci validace DNSSECu:

trust_anchors.set_insecure({ 'cez.cz' })

Poté v záložce resolvery nahrát konfiguraci červenou ikonou.

EDIT: Rád bych uvedl na pravou míru tento příspěvek.

Whalebone je velmi striktiní v DNSSEC validaci a považujeme to za správnou cestu.
Podobné úpravy konfigurace nedporučuji jako běžnou praxi a pokud je nutné je provést, tak jen po důkladném uvážení a na vlastní riziko.

Tento post byl motivován opakovanými dotazy od našich zákazníků a protože jsem očekával tyto dotazy i od některých z vás, kdo se mnou komunikujete tady přes fórum, zveřejnil jsem jako hotfix zde. Je chyba, že to bylo bez detailnějšího kontextu a bez jasného uvedení rizik. Na druhou stranu jsem předpokládal, že ti, co toto vlákno čtou, si možných dopadů jsou vědomi.

Díky @jchudoba za upozornění, že ta formulace a chybějící kontext není košer.

jchudoba

Když whalebone evangelista kritizuje Google, tak vypínání/ignorování validace DNSSECu odsuzuje (viz https://telekomunikace.cz/d/34528-o2-tv-set-top-boxy-prestaly-fungovat/19 ). Uběhne šest týdnů a najednou vypínání validace doporučuje, a ještě k tomu na doméně kam chodí lidé zadávat osobní údaje, čísla účtů ...

ekrajnak

@suk pribudne Orange logo na strankach referencii Whalebone? Alebo sa len inspirovali? 🙂

https://zive.aktuality.sk/clanok/4ege2cp/orange-spustil-novu-sluzbu-klientov-ma-chranit-pre-spamom-ci-malverom/

suk

ekrajnak Bohužel nepřibude.

suk

PS: Respektive bohužel pro ně. Spuštění avizovali několik měsíců. Za tu dobu, co to odkládali, jsme my Auru nasadili v několika sítích. Něco se ale na Slovensku chystá 🙂

wwire

Další povinnost :-D https://www.uskvbl.cz/cs/inspekce/nelegalni-vlp

« Předchozí stránka