Ernstige faling .be-domein nipt vermeden

[krisken]

Minister van Ondernemen Vincent Van Quickenborne (Open VLD) eist dat er een noodprocedure komt om het beheer van de domeinnaamzone .be aan een andere partij over te dragen als de huidige beheerder DNS.be ernstig in de fout gaat. Op 25 november was het bijna zo ver. Toen werd een volledig falen van de .be zone nipt vermeden.

Het in Leuven gevestigde DNS.be beheert al meer dan 10 jaar alle domeinnamen eindigend op .be. Als het bureau zijn activiteiten stopzet, of wanneer er een ernstig technisch mankement optreedt waardoor de .be-domeinnamen gebrekkig of niet bereikbaar zijn, kan dat erg schadelijk zijn voor de Belgische economie, en zelfs voor de hele Belgische samenleving.

Minister van Ondernemen en Vereenvoudigen Vincent Van Quickenborne (Open VLD) wil dan ook dat er in de volgende Belgische telecomwet voorzien wordt in een ‘noodprocedure’ om het beheer van de domeinnaamzone .be over te dragen aan een andere partij. Als DNS.be ernstig zou falen, dan moet het BIPT onmiddellijk een andere partij kunnen aanwijzen die de taken van DNS.be kan overnemen.

Dat zo’n falen van de domeinnaamzone .be geen utopie is, bleek nog op 25 november. Toen hebben 6 van de 7 nameservers die het verkeer van en naar .be sites regelen en door DNS.be worden beheerd, bijna een uur lang platgelegen. Dat heeft toen serieuze vertragingen voor de internetgebruikers tot gevolg gehad.

Als de laatste .be-nameserver toen ook offline zou gegaan zijn, en de anycast-machines (niet door .be beheerd) overbelast zouden geraakt zijn, dan was het volledige internetverkeer van en naar meer dan 1 miljoen .be websites volledig verlamd geweest. Dan was er geen e-commerce meer mogelijk onder .be, en zou alle internetbankieren geblokkeerd zijn geweest, net als het e-mailverkeer en andere online communicatiemogelijkheden. DNS.be noch de Minister hebben hier toen over gecommuniceerd.

Telecomadviseur
Opvallend in dit verhaal is dat Philip Du Bois, de algemeen directeur van DNS.be, in een vorig leven nog telecomadviseur was op het kabinet van Minister van Quickenborne. Met deze demarche lijkt het er dus op dat de minister één van zijn voormalige medewerkers in de voeten schiet.

“De minister maakt abstractie van het feit dat Philip Du Bois ooit nog voor hem gewerkt heeft”, reageert adviseur Ortwin De Vliegher van op het kabinet van Van Quickenborne. “Hij gaat uit van de analyse dat een monopolie nooit goed is, en dat een noodprocedure kadert in een goed huisvaderbeleid van de overheid.” Intussen wacht de redactie van Data News op een reactie van de Minister zelf.

http://datanews.rnews.be/nl/ict/nieuws/ ... atanews-nl#

[meon]

Mja, zou het ad hoc overdragen aan een andere partij wel kunnen, gezien de aard van DNS (ivm TTL's enzo)?

[krisken]

Is iets dat ik mij ook afvraag. Wat mij nu vooral bezig houd is wat ze op 6 van de 7 servers uitgespookt hebben dat deze allen meteen buiten dienst lagen... Doen die nooit server-per-server?

[meon]

Corrupte zonefile die zich gerepliceerd heeft en ze nog net hebben kunnen stoppen voor dat de 7e ook onderuit ging?

[Goztow]

Dat vind ik er ook van. Zo'n organisatie moet eigenlijk een relatief eenvoudige taak op zich nemen en wordt daar, volgens wat ik uit haar jaarrekening kan uitmaken, voldoende voor vergoed. 7 servers lijkt op het eerste zicht voldoende als failover, maar als 6 ervan tegelijkertijd kunnen uitvallen, dan werken die wsl niet echt onafhankelijk van elkaar. dat moet beter kunnen.

[krisken]

Corrupte zonefile die zich gerepliceerd heeft en ze nog net hebben kunnen stoppen voor dat de 7e ook onderuit ging?

Zou inderdaad een mogelijkheid zijn. Zoals gezegd zijn 7 servers wel voldoende voor een dns zone als .be, maar als je een corrupte zonefile hebt, heb je t idd vlaggen...

[Trojan]

Nogal een drastische aanpak als je weet dat zo'n probleem zich evengoed bij dns2.be kan voordoen.

Zoals gewoonlijk loopt quickie weer te hard van stapel.

[krisken]

Leek mij ni drastisch, 6 van de 7 servers down! Hadden ze die ketting ni stopgezet, was nummer 7 ook down hé

[Trojan]

En wat gaat dns2 dan kunnen doen? Als de corrupte zonefiles zich voortzetten naar hun dns servers zijn ze evengoed gescheten.

[krisken]

Uiteraard, vandaar het rampenplan. Bvb 4 servers met een directe zonefile (master), en 4 met één van 24u terug die men kan inzetten.

[Tim.Bracquez]

Hadden ze dit bij .nl ook niet voor ? (meermaals?)

[krisken]

Zoiets kan ik mij ni herinneren, maar wel dikwijls dat de DRS op zn gat lag bij sidn...

http://webwereld.nl/nieuws/67964/grote- ... down-.html
http://www.google.be/#hl=nl&biw=1024&bi ... a852838fa6

[Tim.Bracquez]

Bij SIDN hadden ze hun zone files corrupt gekregen waardoor registraties verloren waren en delen offline

[Sasuke]

Leek mij ni drastisch, 6 van de 7 servers down! Hadden ze die ketting ni stopgezet, was nummer 7 ook down hé

Met een degelijk beleid zou dat niet mogelijk zijn, bij ons doen we DEV => TEST => STAGING => PRODUCTIE.
Als de best-practice van environment promotion ook hier gevolgd zou zijn geweest was dit niet mogelijk. En voor zoiets belangrijks als DNS zorg je voor semi-automatische procedure zoals:

7 servers, verdeeld als 1 Master + 2* 3 Slaves. Die 2* 3 Slaves moeten apart in groepen van 3 gerepliceerd worden. Uiteraard zorg je dat je DNS infrastructuur enkel door die 4 (of meer) servers voorzien word en dat de andere 3 servers (of meer) als spare/backup capacity werkt.

Nu, misschien moeten we dit verhaal van Quickie ook wel met een serieuze korrel zout nemen hé.

Grtz,
Sasuke

[krisken]

Mja enige reactie van dns.be zelf zou wel op zn plaats zijn eigenlijk...vooral wat het probleem juist was.

[TomG]

Ze zullen bij DNS.be reeds het scenario "einde van België" getest hebben zeker.

[gm123]

Die laatste 2 alineas zijn weer veelbelovend . Er direct een politiek spel van maken dat niets te maken heeft met de essentie: alle nameservers waren bijna down. Lijkt mij toch reden genoeg om onderzoek te doen naar een alternatief, of op ten minst kijken hoe dit in de toekomst vermeden kan worden.

Dat quickie direct een tweede speler wil is waarschijnlijk wel wat overhaast.

[Tomsworld]

Op T.net staat een iets uigebreider artikel.

http://tweakers.net/nieuws/72917/belgie ... nt-be.html

Volgens Datanews was het falen van de complete .be-zone in november een reële mogelijkheid. Toen zou dat bijna zijn voorgekomen, schrijft de site, die stelt dat zes van de zeven dns-servers een uur offline waren. Dat had 'serieuze vertragingen' tot gevolg, schrijft de site. Directeur Philip Du Bois van DNS.be ontkent dat: "Niet zes van de zeven servers waren offline, maar zes van de 43", zegt Du Bois tegen Tweakers.net. Bovendien zou dat niet tot problemen hebben geleid. Toch zegt Du Bois positief te zijn over een noodprocedure, omdat daardoor duidelijker vast komt te liggen wat er gebeurt als DNS.be niet meer aan zijn taken als registry kan voldoen. DNS.be is het Belgische equivalent van de SIDN, die de .nl-zone beheert.

Zoals het een goed politicus betaamt moet je de feiten creatief presenteren. Natuurlijk gebruikt dns.be clustering / loadbalancing & anycast. Dus waren er in werkelijkheid nog veel meer nodes online.