Zbigniew jasiński, "DNSSEC - podsumowanie prac w rejestrze .pl"

  • 1,012 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,012
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
1
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. DNSSEC – podsumowanie prac w rejestrze .pl
    Zbigniew Jasiński
  • 2. Wdrożenie na świecie
    W chwili obecnej 61 rekordów DS znajduje się w strefie root: .ac(Ascension Island), .ag (Antigua and Barbuda), .am (Armenia), .arpa, .asia, .be (Belgium), .bg (Bulgaria), .biz, .br (Brazil), .bz(Belize), .cat (Catalan community), .ch (Switzerland), .cl (Chile), .co (Colombia), .com, .cz (Czech Republic), .de (Germany), .dk (Denmark), .edu, .eu (European Union), fi. (Finland), .fr (France), gi. (Gibraltar), .gl (Greenland), .gov, .gr(Greece), .hn(Honduras), .in (India), .info, .io(British Indian Ocean Territory), .jp(Japan), kg (Kyrgyzstan), .la (LaoPeople'sDemocratic Republic), .lc(Saint Lucia), .li (Liechtenstein), .lk (Sri Lanka), .lu(Luxemburg), .me (Montenegro), .mn(Mongolia), .museum, .my (Malaysia), .na (Namibia), .nc(New Caledonia), .net, .nl(Netherlands), .nu (Niue), .org, .pm (Saint Pierre and Miquelon), .pr (Puerto Rico), .pt (Portugal), .re (Reunion), .sc(Seychelles), .se (Sweden), .sh(Saint Helena), .tf (French Southern Territories), .th (Thailand), .tm (Turkmenistan), .uk (United Kingdom), .us (United States), .wf(Wallis and Futuna), .yt(Mayotte)
  • 3. Wdrożenie na świecie
    http://secspider.cs.ucla.edu/
    SecSpider the DNSSEC Monitoring Project
  • 4.
  • 5. Dokumentacja
    Wdrożenie (dokument wewnętrzny)
    Istniejące standardy
    Zmiany w obecnej infrastrukturze
    Wybór urządzenia HSM
    Nowe skrypty
    Plan migracji
    Analiza incydentów
    Monitorowanie podpisanych stref
    Role
    Instrukcje stanowiskowe
    Procedury
  • 6. Dokumentacja
    DPS (DNSSEC Policy & PracticeStatement Policy, dokument zewnętrzny, na podstawie draftu)
    Miejsce publikacji danych
    Wymagania operacyjne (rejestracja rekordów DS)
    Funkcje zarządcze i kontrolne (kontrola fizyczna, nadzór proceduralny)
    Kompromitacja i disasterrecovery
    Kontrola bezpieczeństwa technicznego (zarządzanie kluczami, dostęp do materiału kryptograficznego)
    Podpisywanie strefy (wszelkie parametry DNSSEC dotyczące strefy)
    Audytowanie procedur
    Kwestie prawne (opłaty, odpowiedzialność, umowy, ochrona danych)
    KASP (Key & Signing Policy)
  • 7. Audyty
    Wewnętrzny
    Pozytywny rezultat
    Drobne błędy w konfiguracji (niekrytyczne)
    Wprowadzenie niezbędnych poprawek zgodnie z wytycznymi audytu
  • 8. Audyty
    Zewnętrzny
    Przeprowadzany przez firmę zewnętrzną
    Sprawdzana dokumentacja projektu oraz środowisko pre-produkcyjne
    Sprawdzana infrastruktura DNS (serwery primary i secondary)
    System Registry poza audytem
  • 9. Stan wdrożenia
    Strefa .pl, wszystkie strefy funkcjonalne i regionalne podpisane 02.09.2011
    Środowisko pre-produkcyjne równoległe do środowiska produkcyjnego
    • Czekamy na wyniki audytu zewnętrznego
  • Problemy
    PKCS11 nie jest idealnym rozwiązaniem
    Obecna implementacja PKCS11 w BIND nie jest idealnie napisana
    Ilość stref ma większe znaczenie niż ilość domen w strefie
    Dynamiczne updaty mogą być problemem (bezpieczeństwo vs wygoda)
  • 10. Sprzęt
    Niemiecki producent urządzeń kryptograficzny
    Urządzenie dostosowane do naszych wymagań (modyfikacje zwiększające bezpieczeństwo)
    Dalsza współpraca z producentem