správa DNS na serveru nebo u registrátora?

29. 7. 2024 08:19:47

U registrátora do teďka mám akorát nameservery, kde celý DNS pak spravuje hosting. Hosting má "one click" systém, že když přidám doménu, tak se automaticky přidají i záznamy.

Jak to máte vy? Nějaké tipy triky?

29. 7. 2024 08:19:47

https://webtrh.cz/diskuse/sprava-dns-na-serveru-nebo-u-registratora/#reply1530158

lsvoboda

29. 7. 2024 13:22:32

vždy je potřeba myslet na všechny služby ktere jsou s tim svazane, nemluve že se v prubehu casu objevuji novinky ktere je nutne dodelat, jestli chcete muzeme na to mrknout

29. 7. 2024 13:22:32

https://webtrh.cz/diskuse/sprava-dns-na-serveru-nebo-u-registratora/#reply1530167

Starlab

(1 hodnocení)

29. 7. 2024 15:10:33

My mame webhostingů docela hodne a vlastni sprava DNS je pro nas vyhodou. Zajimavou alternativou je pouzit DNS Cloudflare a nasledne pouzivat jejich API. Kdybych vedel, ze api zustane stejne min. 10 let a nezmeni se cenova politika, dal bych tam vse :).

Diky vlastni sprave DNS muzeme mit jednoduche one click instalace a dns prednastavene pro 99% non-IT klientu :-)

29. 7. 2024 15:10:33

https://webtrh.cz/diskuse/sprava-dns-na-serveru-nebo-u-registratora/#reply1530170

Pavel Mareš

(19 hodnocení)

29. 7. 2024 16:32:52

Máme Cloudflare a s tím co se okolo nich děje přemýšlím o nějakém placeném řešení. Sice bez DDoS ochrany nebo možná s cloudns s tím, ale tam vím že platím za DNS a je klid.

Nicméně pokud můžu tak vždy chci správu DNS někde pod sebou, nějak. A na aplikaci / hosting směrovat.

I z toho důvodu řešíme, že náš hosting v základu bude jen o směrování adres k nám, byť za cenu ověřování skrze DNS záznamy, že někdo je vlastník dané domény.

29. 7. 2024 16:32:52

https://webtrh.cz/diskuse/sprava-dns-na-serveru-nebo-u-registratora/#reply1530174

Vladimír Pilný

(62 hodnocení)

29. 7. 2024 17:14:49

Co se děje kolem CF?

29. 7. 2024 17:14:49

https://webtrh.cz/diskuse/sprava-dns-na-serveru-nebo-u-registratora/#reply1530175

Pavel Mareš

(19 hodnocení)

29. 7. 2024 20:25:37

Z posledních zpráv např.

https://youtu.be/0YcnKfT_ESs?si=73RvpAl6rHef0vXd

https://youtu.be/6KHB2F8R4o8?si=IVfcJckalkmYOv2_

A když pak hledáš po Googlu tak přesně tohle vidíš. Vzhledem k objemu dat co máme se trocha bojím, kdy na nás přijdou.

29. 7. 2024 20:25:37

https://webtrh.cz/diskuse/sprava-dns-na-serveru-nebo-u-registratora/#reply1530179

unlucky

(16 hodnocení)

30. 7. 2024 10:46:21

Měl jsem na mysli správu DNS u registrátora (wedos) a u sebe na vlastním serveru.

Jinak co se týče Cloudflare, občas navštěvuju stránky, které Cloudflare používají a semtam mě to tam nechce pustit nebo proběhne verifikace, což je velmi otravné. Kdybych byl normální uživatel, už bych utekl. Takže i když má cloudflare pěkné věci, rozhodně ne.

Editováno 30. 7. 2024 10:48:10 uživatelem unlucky

30. 7. 2024 10:46:21

https://webtrh.cz/diskuse/sprava-dns-na-serveru-nebo-u-registratora/#reply1530190

Jan Horák (Gransy)

(22 hodnocení)

4. 8. 2024 09:25:59

Měl jsem na mysli správu DNS u registrátora (wedos) a u sebe na vlastním serveru.

Jinak co se týče Cloudflare, občas navštěvuju stránky, které Cloudflare používají a semtam mě to tam nechce pustit nebo proběhne verifikace, což je velmi otravné. Kdybych byl normální uživatel, už bych utekl. Takže i když má cloudflare pěkné věci, rozhodně ne.

DNS na vlastnim serveru je blbost, protoze urcite nemas dostatek zkusenosti na jeho bezpecny a stabilni provoz a nezajistis si levne (registratori davaji DNS k domenam zdarma) provoz sekundaru pripadne dalsich v jinych lokalitach

To co u CF popisujes se tyka vyuziti jejich Proxy jako ochrannu pred DDOS, roboty, atd ... to vubec nemusis pouzivat, muzes si nechat jen DNS, coz je jeden z nejlepsich anycastu na svete.

4. 8. 2024 09:25:59

https://webtrh.cz/diskuse/sprava-dns-na-serveru-nebo-u-registratora/#reply1530282

exander

(2 hodnocení)

5. 8. 2024 18:37:13

Měl jsem na mysli správu DNS u registrátora (wedos) a u sebe na vlastním serveru.

Jinak co se týče Cloudflare, občas navštěvuju stránky, které Cloudflare používají a semtam mě to tam nechce pustit nebo proběhne verifikace, což je velmi otravné. Kdybych byl normální uživatel, už bych utekl. Takže i když má cloudflare pěkné věci, rozhodně ne.

DNS na vlastnim serveru je blbost, protoze urcite nemas dostatek zkusenosti na jeho bezpecny a stabilni provoz a nezajistis si levne (registratori davaji DNS k domenam zdarma) provoz sekundaru pripadne dalsich v jinych lokalitach

To co u CF popisujes se tyka vyuziti jejich Proxy jako ochrannu pred DDOS, roboty, atd ... to vubec nemusis pouzivat, muzes si nechat jen DNS, coz je jeden z nejlepsich anycastu na svete.

To nemá ani Subreg, jak jsme před časem viděli.

Edit: A to jsem si ani nevšiml že píšu Vám. :D

Já jsem asi v 0.1% zákazníků, kteří provozují vlastní DNS server (a ostatní služby) a nebyl jsem výpadkem nijak omezen.

Jinak výhoda vlastní DNS je, že máte všechno pod kontrolou, já provozoval před desítkou let bind, ale od existence knot od CZ.NIC používám ten, má to hezké api pro ACME, tj. můžete generovat snadno certifikáty. Velmi pohodlné.

Editováno 5. 8. 2024 19:04:18 uživatelem exander

5. 8. 2024 18:37:13

https://webtrh.cz/diskuse/sprava-dns-na-serveru-nebo-u-registratora/#reply1530323

Petr Kývala

(45 hodnocení)

7. 8. 2024 21:25:08

Měl jsem na mysli správu DNS u registrátora (wedos) a u sebe na vlastním serveru.

Jinak co se týče Cloudflare, občas navštěvuju stránky, které Cloudflare používají a semtam mě to tam nechce pustit nebo proběhne verifikace, což je velmi otravné. Kdybych byl normální uživatel, už bych utekl. Takže i když má cloudflare pěkné věci, rozhodně ne.

DNS na vlastnim serveru je blbost, protoze urcite nemas dostatek zkusenosti na jeho bezpecny a stabilni provoz a nezajistis si levne (registratori davaji DNS k domenam zdarma) provoz sekundaru pripadne dalsich v jinych lokalitach

To co u CF popisujes se tyka vyuziti jejich Proxy jako ochrannu pred DDOS, roboty, atd ... to vubec nemusis pouzivat, muzes si nechat jen DNS, coz je jeden z nejlepsich anycastu na svete.

To nemá ani Subreg, jak jsme před časem viděli.

Edit: A to jsem si ani nevšiml že píšu Vám. :D

Já jsem asi v 0.1% zákazníků, kteří provozují vlastní DNS server (a ostatní služby) a nebyl jsem výpadkem nijak omezen.

Jinak výhoda vlastní DNS je, že máte všechno pod kontrolou, já provozoval před desítkou let bind, ale od existence knot od CZ.NIC používám ten, má to hezké api pro ACME, tj. můžete generovat snadno certifikáty. Velmi pohodlné.

Vlastní DNS je super do prvního DDoS útoku. :D Neexistuje jednodušší cíl.

7. 8. 2024 21:25:08

https://webtrh.cz/diskuse/sprava-dns-na-serveru-nebo-u-registratora/#reply1530366

exander

(2 hodnocení)

8. 8. 2024 00:09:56

Vlastní DNS je super do prvního DDoS útoku. :D Neexistuje jednodušší cíl.

Pokud nemáte DDoS ochranu, tak je jedno, jestli Vám DDoSují DNS nebo web, v 95% případů bude snažší DDoSovat web než DNS. A pro naprostou většinu lidí je větší pravděpodobnost, že někdo DDoSuje většího poskytovate než, že si vybere právě je.

8. 8. 2024 00:09:56

https://webtrh.cz/diskuse/sprava-dns-na-serveru-nebo-u-registratora/#reply1530369

Petr Kývala

(45 hodnocení)

8. 8. 2024 00:55:54

Vlastní DNS je super do prvního DDoS útoku. :D Neexistuje jednodušší cíl.

Pokud nemáte DDoS ochranu, tak je jedno, jestli Vám DDoSují DNS nebo web, v 95% případů bude snažší DDoSovat web než DNS. A pro naprostou většinu lidí je větší pravděpodobnost, že někdo DDoSuje většího poskytovate než, že si vybere právě je.

To samozřejmě, jenže když vezmu v potaz výhody a nevýhody vlastního řešení, dlouho mi bude vycházet, že se mám vydat cestou cizího řešení. Nemusím řešit nový vektor pro DDoS útok, nemusím platit redundantní DNS servery u více poskytovatelů, nemusím se starat o správu, nemusím se starat o monitoring, zbavím se zodpovědnosti... a ve finále nejsem schopný z hlediska odezvy konkurovat jiným. Abych se donutil provozovat vlastní DNS servery, musel bych mít stovky webů, které potřebují neustále komunikovat nějak s API a spravovat DNS zákazníků nebo mít například registrátora nebo velký webhosting.

Spoléhat na to, že existuje někdo na koho je provést útok výhodnější je v dnešní době blbost. Pořídit 500Gbps botnet je v dnešní době otázka 100USD a počet útoků roste. Lepší ty vektory minimalizovat, protože když selže filtrace dodavatele tvé konektivity, tak jediné co ti zbývá je doufat, že se někde dovoláš/dopíšeš. Teda za předpokladu, že nemáš dostatečnou kapacitu pro filtraci po vlastní ose. Ale to není jenom o nameserverech. :-)

Za sebe bych to uzavřel tak, že kdybych měl provozovat vlastní DNS servery kvůli 50 doménám, ke kterým mám přístup a jsou moje, tak to neudělám a radši využiji služeb někoho jiného a naučím se s jejich API. Pokud bych ale musel spravovat DNS pro klienty a musel mít jistotu, že se nezmění cenová ani jiná politika DNS poskytovatele a zároveň by se mi ty starosti okolo toho zaplatily, šel bych do toho.

8. 8. 2024 00:55:54

https://webtrh.cz/diskuse/sprava-dns-na-serveru-nebo-u-registratora/#reply1530370

exander

(2 hodnocení)

8. 8. 2024 02:04:22

To samozřejmě, jenže když vezmu v potaz výhody a nevýhody vlastního řešení, dlouho mi bude vycházet, že se mám vydat cestou cizího řešení. Nemusím řešit nový vektor pro DDoS útok, nemusím platit redundantní DNS servery u více poskytovatelů, nemusím se starat o správu, nemusím se starat o monitoring, zbavím se zodpovědnosti... a ve finále nejsem schopný z hlediska odezvy konkurovat jiným. Abych se donutil provozovat vlastní DNS servery, musel bych mít stovky webů, které potřebují neustále komunikovat nějak s API a spravovat DNS zákazníků nebo mít například registrátora nebo velký webhosting.

Spoléhat na to, že existuje někdo na koho je provést útok výhodnější je v dnešní době blbost. Pořídit 500Gbps botnet je v dnešní době otázka 100USD a počet útoků roste. Lepší ty vektory minimalizovat, protože když selže filtrace dodavatele tvé konektivity, tak jediné co ti zbývá je doufat, že se někde dovoláš/dopíšeš. Teda za předpokladu, že nemáš dostatečnou kapacitu pro filtraci po vlastní ose. Ale to není jenom o nameserverech. :-)

Za sebe bych to uzavřel tak, že kdybych měl provozovat vlastní DNS servery kvůli 50 doménám, ke kterým mám přístup a jsou moje, tak to neudělám a radši využiji služeb někoho jiného a naučím se s jejich API. Pokud bych ale musel spravovat DNS pro klienty a musel mít jistotu, že se nezmění cenová ani jiná politika DNS poskytovatele a zároveň by se mi ty starosti okolo toho zaplatily, šel bych do toho.

Za mě jsou nesporné výhody standardní API pro ACME pomocí RFC2136 mimojiné použitelné i pro DynDNS atd. Jinak se dá jedině použít něco proprietárního, co má třeba Route53 nebo Cloudflare. V ČR podle mě žádný registrátor nemá rozumné API nebo neměl, když jsem se o to snažil. Dále velice efektivní správa DNS záznamů v textových souborech nebo pomocí příkazů. Nakonfigurovat najednou několik domén, přenést záznamy z jedné zóny na druhou, odzálohovat celou zónu atd. je triviální zákrok s minimální pravděpodobností chyby. V době kdy nikdo nenabízel DNSSEC to byla také nesporná výhoda, ale to už se celkem zlepšilo. Já začal používat DNSSEC v době, kdy to nikdo nenabízel.

Zaútočit DDoS na DNS je jinak velice těžké, DNS server mi unese řádově větší zátěž než všechno ostatní. Neviděl bych to zrovna jako slabý článek. Ale jinak určitě záleží na rozsahu.

Já DNS server provozuji cca od 5 domén, ale je to x let zpátky, kdy situace vypadala úplně jinak. Chtěl jsem DNSSEC, DynDNS, pak ACME, když přišel LE.

8. 8. 2024 02:04:22

https://webtrh.cz/diskuse/sprava-dns-na-serveru-nebo-u-registratora/#reply1530371

unlucky

(16 hodnocení)

8. 8. 2024 17:00:39

Možná jsem se blbě vyjádřil. Mám Aapanel s DNS manager. Mám tam všechny záznamy pod svou správou. Dříve jsem si tyto záznamy editoval u registrátora. Správa se mi zdá lehká, tak nevím, proč gransy říká, že je to těžké. Nebo mluví o něčem jiném :D

Editováno 8. 8. 2024 17:01:13 uživatelem unlucky

8. 8. 2024 17:00:39

https://webtrh.cz/diskuse/sprava-dns-na-serveru-nebo-u-registratora/#reply1530389

Jan Horák (Gransy)

(22 hodnocení)

11. 8. 2024 18:41:05

Možná jsem se blbě vyjádřil. Mám Aapanel s DNS manager. Mám tam všechny záznamy pod svou správou. Dříve jsem si tyto záznamy editoval u registrátora. Správa se mi zdá lehká, tak nevím, proč gransy říká, že je to těžké. Nebo mluví o něčem jiném :D

Ja mluvil o provozu DNS serveru, ne klikani v administraci.

Pokud mas jen DNS v ramci Aapanelu, tzn nejakou lokalni instalaci na serveru ovladanou pres ten admin - jak mas reseny sekundarni server pro domenu ? Jak mas resenou ochranu proti utokum (i malym) ? Nebo to mas to co bezne vidim u malych hostingu co maji Plesk/CPanel, ze maji domenu sice na dvou NS, ale oba maji stejnou IP ? Krom toho ze na to nedas domeny typu .de, .is, .it, a dalsi co delaji checky pred nastavenim DNS, tak je to nejvetsi ptakovina co muze byt. Server pujde down, domeny s nim taky.

11. 8. 2024 18:41:05

https://webtrh.cz/diskuse/sprava-dns-na-serveru-nebo-u-registratora/#reply1530450