DNS Moving to Cloudflare?

After a recent problem with Dyn.com (search news stories for “DDoS against Dyn DNS”), several big DNS providers took additional precautions with one or more of their primary DNS servers. This includes moving them so that they are not hosted by *one* provider. This is generally a good thing and ISNIC has promoted operating your DNS servers on separate IP Networks, and separate AS numbers for resilient operations.

Some providers have moved their services to Cloudflare – which should be fine – however, some of them haven’t yet gotten their PTR RRs (Resource Records), also known as Reverse DNS, into the appropriate in-addr.arpa zone.

Cloudflare does know how to operate DNS services, and they do know how to add PTR RRs. As to why they’ve not applied them to these services are reasons unbeknownst to ISNIC. You must contact your DNS provider and ask them!

If they say all is well, use the ISNIC Zone Check – and forward the results to your provider. If they still continue to claim all is well, ask for better support – and someone who knows what “in-addr.arpa” means (and don’t think it’s an URL…)

If your DNS provider is Bluehost, ask them what this means:

dig -x 162.159.24.80 +trace # results in a loop, which ends in:

24.159.162.in-addr.arpa. 86400 IN NS ns2.cloudflare.com.
24.159.162.in-addr.arpa. 86400 IN NS ns3.cloudflare.com.
;; BAD (HORIZONTAL) REFERRAL
;; Received 209 bytes from 162.159.0.33#53(ns3.cloudflare.com) in 41 ms

(162.159.24.80 is the IP Address of ns1.bluehost.com, which is now hosted by Cloudflare)

If you continue to receive notices or information from Bluehost that your domain isn’t OK, move your DNS services away from Bluehost, since they no longer support .is domains for a period of more than 6 weeks (the counter in the e-mail from ISNIC should not exceed 8!) then you must take action.

ISNIC has been in contact with DNS specialists from Bluehost and Cloudflare – which should resulted in appropriate repairs (29th Nov). However, from 27th January we’ve received information that this has happened again. And PTR errors were resolved by Bluehost on 14th march 2017.

Bluehost has also recommend the A RECORD solution – since they will not support .is domains in their DNS solution.

If you have issues, and Bluehost suggest A RECORDs, then you can go to www.isnic.is and in “Web Forwarding” enter the IP Address provided from Bluehost for your server (ping your domain may reveal this) – this will make ISNIC’s Web Forwarding service act as DNS Provider for your domain. If you also have e-mail active for your domain make sure to enter the correct mail server name! If Bluehost is also your mail server host, then you just type in your domain name in the mail server field.

 

Gmail and missing messages from ISNIC

If you do not see our messages, like password reset, and you use Gmail – check your archive folder or your “other” Gmail reader!

Gmail may be archiving the messages, please read this document regarding Gmail and archiving options – one of which will most likely be the reason for this behavior.

The direct URL to your archive folder is here.

You can mark or flag hostmaster@isnic.is as Very Important or assign it to the special folders in Gmail and indicate where this e-mail should go! Remember this applies to any and all messages which Gmail is sorting in this manner and is most definitely not only relevant to ISNIC!

Google verification for .is domains

Google Apps work very well with .is domains. However, you must go through some steps, with Google, to verify that you manage your domain.

ISNIC gets requests about this – and they are actually intended for your DNS operator. Although ISNIC offers “Web Forwarding” as a quick method of getting your domain up and running, we’re not your Registrar, we are the .is Registry!

To follow Google’s instructions, available here – you can follow the HTML advice if you’re already running a website – but the TXT or CNAME instructions must be done with a DNS hoster.

See a list of DNS hosters/providers on the ISNIC website and note that you may find FreeDNS services from some of them (like x.is and 1984.is).

These information are informational only, and not meant as a suggestion or endorsement of any company mentioned here.

Bluehost – Janúar 2016 – ns2.bluehost.com

Seint í desember 2015 kom upp vandamál tengt ns2.bluehost.com og fengu rétthafar .is léna fljótlega eftir það tölvupóst vegna þess frá ISNIC.

Bluehost segir að ns2.bluehost.com sé undir DDoS vernd, og unnið sé að viðgerð, þótt ekki sé hægt að fá áætlaðan tíma frá þeim. Á meðan, er hægt að færa lén til þriðja aðila, en passa að setja inn réttar upplýsingar í nafnaþjónustu þar.

ISNIC óvirkjar lén sem eru á biluðum nafnaþjón í meira en 8 vikur.

Bluehost – January 2016 – problems with ns2.bluehost.com

Late December 2015, issues with ns2.bluehost.com triggered automatic notice to .is Registrants. The nameserver doesn’t respond to DNS queries.

Bluehost says this is part of a DDoS protection, and that it’s being repaired, and that there is no known ETA of a fix, and that customers should use 3rd party DNS servers and point to their Bluehost IP Address (in the interim or instead).

ISNIC deactivates domains which have a broken DNS configuration after 8 weeks.

WIX DNS Services

Please note that WIX did not support DNS services for .is domains according to requirements. See: https://www.wix.com/support/html5/domains/connecting-domains-purchased-elsewhere/kb/connecting-an-isnic-domain-to-your-site.

(WIX staff did finally talk to us about a resolution. They’ve indicated that Google will not add a PTR entry. ISNIC is the .is ccTLD Domain Registry. WIX reverted to their old services as of Oct.20, 2015, thereby supporting .is domains, but after 8th January 2016, they’ve apparently reneged on this and again, do not support .is domains in their DNS system).

If you follow the information from WIX, you’ll find information which you need to push to a DNS provider. ISNIC has a list of Registered ISP’s, which all work with .is domains: https://www.isnic.is/en/domain/isp. ISNIC doesn’t use any external DNS service itself, so we cannot indicate that one is better than the other, some have free DNS services, like  x.is and 1984.is.

Find a provider, register your domain with them and  “Redelegate” your domain to them.

Domain Pointing tells you about 3 primary Resource Records (RRs):

  1. IP Address (A RECORD), one or more, which you use when you create your domain with a DNS provider.
  2. CNAME for www, this is a name, i.e. wwwXX.wixdns.net.
  3. MX RECORD (one or more entries for mail servers) – this applies if you do have e-mail connected to your domain. Make sure this is correct in such cases.

This you can put into DNS GUI’s/cPanel or send to a DNS provider, or if you’re hosting – create a Zone file.

WIX does not support all ccTLD’s directly – they don’t support .no (Norway) or .sg (Singapore) according to the Support pages.

WIX DNS Þjónusta

Ef þú ert að fá villur um DNS þjónustu tengda WIX, gildir eftirfarandi: WIX styður mögulega ekki .is lén í DNS þjónustu þá stundina. Sjá: https://www.wix.com/support/html5/domains/connecting-domains-purchased-elsewhere/kb/connecting-an-isnic-domain-to-your-site.

(WIX og ISNIC áttu í samskiptum, í von um að leysa úr þessu en WIX hefur lýst yfir að Google muni ekki bæta við PTR færslum. Þeir breyttu þjónustunni um 20. okt. 2015, og fluttu nafnaþjóna í gamla horfið og studdu því .is lén í smá stund. Um og eftir 8. janúar 2016 hefur þetta orðið ónothæft aftur og viðskiptavinir ISNIC segjast fá upplýsingar um að WIX styðji ekki .is aftur)

Ef þið fylgið Domain Pointing leiðbeiningum WIX, fáið þið upplýsingar um færslur sem þarf að setja inn í DNS þjónustu hjá þriðja aðila. Hægt er að skoða skráða Þjónustuaðila ISNIC hér: https://www.isnic.is/is/domain/isp. ISNIC notar ekki DNS þjónustu ytri aðila, svo við getum ekki staðfest hver er bestur, en nokkrir eru ókeypis t.d. x.is og 1984.is.

Hægt er að skrá lén í DNS þjónustu hjá einhverjum af þessum aðilum, og “Flytjið hýsingu” síðan þangað.

Domain Pointing leiðbeiningarnar WIX útlista 3 algengar tegundir af færslum:

  1. IP Tala (A RECORD), gæti verið ein eða fleiri, og er sett inn hjá DNS þjónustuaðila þegar þið setjið upp ykkar lén.
  2. CNAME fyrir www, nafn, t.d. wwwXX.wixdns.net.
  3. MX RECORD (eitt nafn eða nokkur nöfn póstþjóna) – á eingöngu við ef þú ert með tölvupóst (farið varlega), gæti verið hjá öðrum en WIX

Þessar upplýsingar þarf að setja inn á nýjum stað, eða senda á þjónustuaðila ósk um að stilla upp þitt .is lén miðað við þessar upplýsingar.

WIX á í erfiðleikum með fleiri höfuðlén, og styður t.d. ekki DNS hýsingu .sg (Singapúr) eða .no (Noregur).

IPv6 kvöl eða hvati

 Við erum að nálgast þann tíma sem IPv6 verður varanlegur hluti af netinu. 6 júni er ‘IPv6 Launch Day‘ og eftir hann má búast við að fjöldi fyrirtækja muni virkja IPv6 þjónustur hjá sér, þjónustuaðiliar munu veita viðskiptavinum sínum aðgang að IPv6 umferð og þú þarft að spyrja þig hvort þú sért tilbúinn að taka á móti hinu nýja, óreynda, örugga opna neti, hvort sem það er núna, seinna eða aldrei.
Fyrstu kynni mín af IPv6 fengu mig til að hugsa bæði já og nei, og ennþá er ég með efasemdir. Ég hef bætt uppsetninguna hjá mér, ég hef prófað og prófa og sumt hefur gengið vel, annað þurft meiri aðlögunartíma. Ennþá get ég ekki af heilum hug sagt neinum að innleiða IPv6 strax… En ef þú ætlar þér að kanna þetta og prófa, þá fylgja hér nokkur ráð…
Mundu að netið þitt er eingöngu jafn öruggt og það sem er minnst öruggt á netinu hjá þér. Finndu þennan punkt og upp frá honum, hvernig öryggi þarf að vera til staðar og hvernig þú munt fylgjast með og hafa eftirlit með netinu þínu. Margir komast að því núna að eftirlit þeirra er lítið eða ekkert og verkfærin ekki til staðar.
Margir notendur kannast við eftirlitskerfin hjá sér og Event Viewer, syslog, console log, e-ð sem kíkt er reglulega í. En það koma upp ný mál með IPv6 og fyrstu kynni mín sýndu mér:
  • Log skrár ekki lesnar stöðugt og fullt af tilkynningum fara fram hjá manni… fyrir mig var þetta ekki hættulegt þar sem mest allt hefur viðeigandi eldveggi, aðgangslista og eru traustar þjónustur.
  • Margir eldveggir og vírusvarnir hafa ekki hugmynd um IPv6
  • Falin umferð, t.d. teredo göng, freenet o.fl. Þá mynda sumar Windows vélar svona göng án þess að notandi hafi hugmynd, jafnvel þótt lítil eða engin umferð verði til.
  • Þjónustur sem verða sjálfkrafa IPv6 og allskonar hlutir verða hægvirkir, t.d. útaf DNS uppflettingum, allskonar vesen þar sem stuðningsþjónustur eru ekki réttar og vissar stillingar semð IPv4 rúllar í gegnum hætta að virka.
Nokkur dæmi um þjónustur sem urðu fyrir vandræðum eftir að vélar fengu AAAA nafnið lýstu sér í hægagangi og töfum. Stundum vantaði bara skilgreiningu í eldvegg, stundum vantaði DNS færslur og í einstaka tilfellum var þjónustan ekki að hlusta á IPv6.
  • Beinar voru stundum til vandræða, stundum eldveggir eða aðgangslistar. Nýja umferðin er nefnilega ekki eins og í IPv4, “opnum tcp port X, og fáum svar”. Nei, einnig þarf að tala Neighbour discovery/solicitation, router advertisments o.fl. sem tala á handahófskenndum IPv6 tölum (við fyrstu sýn) og ef eldveggurinn svarar ekki rétt þá virkar ekkert rétt! Hér var tcpdump/wireshark málið.
  • Aðgangslistar voru oft vitlausir og hjálpaði að skilja að IPv6 tölur eru ekki skrifaðar á sama máta og IPv4, oft eru tölurnar á þennan máta: [2001:470:;]/32
  • Stýrikerfi hafa misgóðan stuðning við IPv6. Notendur höfðu upphaflega MacOSX Leopard, sem erfitt var að stilla í gegnum “Network” hlutann, en hægt að setja IPv6 tölur í gegnum Terminal hlutann (handvirkt), síðan Snow Leopard sem leyfði ekki neighbour advertisments í gegnum ip6fw eldvegginn nema eftir að búið var að strippa út PowerPC hluta forritsins (of gamall TCP stakkur).
  • Ef þú kveikir á Router Advertisment daemon, munu Linux, MacOSX vélar og margar Windows Vista og allar Windows 7 vélar byrjar að tala IPv6. Windows XP vélar gera þetta ekki án sértækra stillinga. Ath. að gera ráð fyrir að almennar vélar hafa engar IPv6 aðgangsstýringar og líklegar að allt sé opið. Þótt sumar þjónustur séu ekki að útvarpa, þá fjölgar þeim sem gera það end SMB/CIFS tilkynna sig, Bonjour talar mikið… Þessar þjónustur er hægt að tala við og reyna að innskrá sig, án þess að notendur verði varir við það og má búast við innskráningartilraunum út í hið óendanlega…
Ef þú telur að IPv6 netið þitt sé einfaldlega of stórt til að skima eftir vélum, þar sem minnsta netið er 64 bitar að stærð og vélarnar eru “faldar” inn á milli, þá eru samt þjónar og þjónustur sem þú ert að kynna með AAAA færslum og PTR færslur geta gefið upplýsingar um netið. Staðbundnar vélar geta skimað eftir nágrönnum (neighbour discovery og solicitation), og mesta hættun eru því þær vélar sem þegar geta tengst við netið þitt. Einnig munt þú skilja eftir stafrænt fótspor út um allt á netinu þegar þú byrjar að tengjast við þjónustur á IPv6 netkerfum og gera má ráð fyrir að upplýsingar um notendur safnist upp á endanum hjá mis-óprúttnum aðilum sem gætu hagnast á að deila upplýsingum um notendur… Hefðbundin uppsetning virkar þannig að IPv6 talan þín inniheldur MAC vistfangið á tölvunni þinni (einkvæmt númer á hverju einasta netkorti í heiminum…) og með því að hamstra upplýsingum um IPv6 notendur er jafnvel hægt að fylgjast með þér flakka á milli IPv6 net og netkerfa þar sem síðasti hlutinn í IPv6 tölunni er einkvæmt fingrafar tölvunnar þinnar! Hægt er að nota viðbætur við IPv6 sem gera þessa tölu handahófskennda, en bætir ekki upp fyrir öryggisholur eða rekjanleika nema að litlu leyti. Með þeim vibótum er einnig erfiðara að koma við AAAA og PTR færslum á netinu á áreiðanlegan og traustvekjandi máta. Mörg netkerfi munu hafna tengingum frá vélum sem ekki hafa samsvarandi A/AAAA og PTR færslur (sjá RFC931).
Ein leið sem IPv6 nýtir sér er að búa til óheyrilega stórt net – sem á endanum verður samt fyllt (ekki endilega vel nýtt, en klárast). Margir framleiðendur, notendur og fyrirtæki munu einfaldlega búa til fleiri og fleiri net, eyða tíma og orku í beinum og aðgangslistum til að “tryggja” sitt kerfi, en það er ekki góð lausn. Það mun leiða af sér uppsetningu þar sem vefþjónninn þinn situr einn í /64 neti því við getum ekki með góðu móti tryggt aðgang með /120 bita stýringum í beinum eða á staðarneti nema með tiltölulega flóknum reglum og uppsetningum þar sem þú eða kerfisstjórinn þurfið að hafa gott eftirlit með tækjum og umferð. Það eru margar lausnir til og það er mikilvægt að hafa öryggi að leiðarljósi í þeim – ef þú finnur einfaldar leiðir þá deilir þú þeim.

 

Mínar uppástungur?
  • Ef þú ert með kerfisstjóra, sjáðu til þess að hann viti hvað hann er að gera og hafi aðgang/hitt fólk sem þekkir IPv6 og veit hvað skal gera.
  • Án kerfisstjóra, þá þarft þú að fá ráðgjafa og þjónustu – sem þú þarft að velja eða hafna og skipuleggja
  • Lærðu að fylgjast með kerfinu, notaðu verkfæri sem auðvelda það, frí verkfæri eru t.d. ntop og cacti
  • Sættu þig við að sumar þjónustur eru illviðráðanlegar, t.d. hugbúnaður sem er aðgengilegur (t.d. vefsvæði)
  • Afrit, afrit og meira afrit
  • Mögulega er kerfið þitt aðgreinanlegt í netþjóna og notendur, þar með verður aðgangslistinn viðráðanlegri…
  • Þekktu hugtakið fingrafar og fótspor þegar kemur að netinu. “Privacy Extensions” geta hjálpað til að að minka fótspor þitt á netinu, en það er viðbót við aðrar öryggisvarnir en ekki “öryggið”.
  • Þar sem IPv6 myndar samband á milli tveggja staða, þarf öryggi að vera til staðar. Þótt þú getir sett upp eldvegg á beinum, þá er það tímabundin lausn á meðan þú útfærir uppsetningu innandyra hjá þér.
Björn R.

The IPv6 digital dilemma

We are now entering the time of permanent IPv6 presence. 6th june is ‘IPv6 Launch Day‘ and following this, we’ll expect quite a large number of companies enabling IPv6 on their services, lots of ISP’s will make IPv6 available to their customers and you need to ask now, are you ready to accept the new and improved, the unknown and available, secure and open network standard now, later or never?
My first impression of IPv6 after reading some material was, ‘yes and no’, and it still is. I’ve made steps to improving my setup, I’ve tested and tested and still remain hesitant because I cannot suggest to anyone, neither home users or companies that they implement IPv6 now… But if your decision is to try and test, I can make some suggestions…
Whatever they say about stuff included with IPv6, IPsec, protocol differences etc., remember it’s only as secure as your least secure item on the network – so find your lowest common denominator and figure out how you’ll apply security and some will find easy ways of doing monitoring and auditing, while others will quickly notice that they’ve got none at all.
Lots of users will have hands on experience with their loggers, Event Viewer, syslog, console log etc. But there will be new issues with IPv6. My immediate realization and my experience:
  • Mostly not reading the log *all the time* and missing most stuff… for my parts, it’s ok since it’s mostly firewalled and ACL’s in the appropriate location
  • Firewalls and AntiVirus apps, not knowing anything about IPv6
  • IPv6 traffic which *I* don’t know anything about, like toredo tunnels and others (HE.NET, Freenet…)
  • Services defaulting to IPv6 servers with variable reliability and added delays, DNS issues with PTR records, hosts.allow messed up, all accurate responses to unexpected queries and traffic
Several accidental issues popped up after IPv6 enabled services where introduced, i.e. the service is implemented and tested and the AAAA record is added to the DNS and the service starts to popup *and failing*, why?
  • Routing and response issues, local firewall not accepting the new traffic. The new traffic isn’t as easy as “tcp port X is opened, and we respond”, oh no, we’ve got to worry about advertisments and neighbour discovery and this will be your issue if you’ve got rogues on your network because you’ll have to trust your neighbours or use software and correct configuration to ensure your traffic is secure. After configuring neighbour discovery and accepting the correct packages from the router, traffic starts to flow and ACL’s drop traffic again.
  • IPv6 addresses in ACL’s are commonly wrapped with []’s and the subnet mask *following*, i.e. [2001:470::]/32 (Hurricane Electric).
  • IPv6 isn’t correctly supported on all operating systems. Our users had MacOSX Leopard, which had problems with manual configuration and Snow Leopard which doesn’t correctly allow neighbour advertisments with ip6fw unless you strip PowerPC code from the binary…
  • On any network with a router advertisment daemon, any linux, MacOSX and many Windows Vista and all Windows 7 machines will popup with and IPv6 address. Windows XP machines shouldn’t do it unless specifically enabled.
  • Operating Systems *don’t* block IPv6 traffic by default. Your firewall may be *oblivious* to IPv6 traffic. You may have services which are enabled, fully protected on IPv4 – but they’ll be visible on IPv6 and may be hacked, even if they *are* the secure services. Do you watch your laptop or work machine for attempts to authorize users, the SSH daemon or SMB/CIFS services? Usually we just *block* access to authentication services but there are always servers which will allow this and if you don’t start dropping connections, you may be opening up a system for infinite hack attempts on generally secured services.
If you think you’re part of a network which is *too large to scan* – because your smallest network is 64 bits large, and your machine or server is hidden somewhere – remember many devices are servers, and will present AAAA records and PTR records may give away some information. A local machine will be able to discover the neighbours, so your immediate danger of ‘scanning’ is already a part of your neighbourhood. Also, this is all about discovery and when you start accessing services, you’ll start to leave your footprints and your digital fingerprint will be all over the internet and a port scanning device, sniffer or data mining tools will start collecting IPv6 addresses and information. Remember that the default setup for router advertisments will use your network cards MAC address (ethernet address) and when you move to a new network, you’ll already carry a identifier which can be datamined. IPv6 does have some methods of randomizing your IPv6 address for security. This will of course make it more difficult to maintain AAAA and PTR records and some services will refuse connection from addresses missing the PTR records or have a mismatch between AAAA and PTR (RFC931).
One contingency plan was to make the address space enourmously large, but it will be filled. Several vendors, users and companies will simply make lots and lots of networks, spend their CPU cycles in routing and ACL’s for a simpler setup, but it’s not a good solution. It’s an situation where a secure webserver may be hosted in a dedicated /64 network because we can’t as yet break it down to /120 and then manage that by ACL on the routing level BUT we can do it on a local level – if you implement strict policies, know your devices and have trustworthy management and auditing, but it’s a management nightmare which needs solutions. There will be many views on how to implement security and they are all important because security will be required.

 

My suggestions?
  • If you have a System Administrator, make sure he’s up to date, and that he’s met IPv6 people and knows what’s what.
  • If you don’t have a System Administrator, get advice – should you do it and how.
  • Get into the habit of audit and monitoring, free tools include ntop and cacti
  • Realize that there are holes which you cannot cover, since they may be your published application
  • Backup, backup and backup
  • Your system may be viable for separating services and users, this will make ACL’s and firewalls manageable… sort of
  • Remember your digital footprint. You may want to reduce it and if so, use the privacy extensions but it’s an addon to security, it’s not “the security”
  • Because native IPv6 will create a direct connection between nodes, each node should include security of some sort. Although you can implement a firewall on your routers, it’s not a solutions but an interim fix while you apply your internal IPv6 deployment and solve your internal issues.
Björn R. (My opinions are my own)