Your SlideShare is downloading. ×
Zbigniew jasiński, "DNSSEC -  podsumowanie prac w rejestrze .pl"
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Zbigniew jasiński, "DNSSEC - podsumowanie prac w rejestrze .pl"

1,044
views

Published on


0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,044
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
1
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. DNSSEC – podsumowanie prac w rejestrze .pl
    Zbigniew Jasiński
  • 2. Wdrożenie na świecie
    W chwili obecnej 61 rekordów DS znajduje się w strefie root: .ac(Ascension Island), .ag (Antigua and Barbuda), .am (Armenia), .arpa, .asia, .be (Belgium), .bg (Bulgaria), .biz, .br (Brazil), .bz(Belize), .cat (Catalan community), .ch (Switzerland), .cl (Chile), .co (Colombia), .com, .cz (Czech Republic), .de (Germany), .dk (Denmark), .edu, .eu (European Union), fi. (Finland), .fr (France), gi. (Gibraltar), .gl (Greenland), .gov, .gr(Greece), .hn(Honduras), .in (India), .info, .io(British Indian Ocean Territory), .jp(Japan), kg (Kyrgyzstan), .la (LaoPeople'sDemocratic Republic), .lc(Saint Lucia), .li (Liechtenstein), .lk (Sri Lanka), .lu(Luxemburg), .me (Montenegro), .mn(Mongolia), .museum, .my (Malaysia), .na (Namibia), .nc(New Caledonia), .net, .nl(Netherlands), .nu (Niue), .org, .pm (Saint Pierre and Miquelon), .pr (Puerto Rico), .pt (Portugal), .re (Reunion), .sc(Seychelles), .se (Sweden), .sh(Saint Helena), .tf (French Southern Territories), .th (Thailand), .tm (Turkmenistan), .uk (United Kingdom), .us (United States), .wf(Wallis and Futuna), .yt(Mayotte)
  • 3. Wdrożenie na świecie
    http://secspider.cs.ucla.edu/
    SecSpider the DNSSEC Monitoring Project
  • 4.
  • 5. Dokumentacja
    Wdrożenie (dokument wewnętrzny)
    Istniejące standardy
    Zmiany w obecnej infrastrukturze
    Wybór urządzenia HSM
    Nowe skrypty
    Plan migracji
    Analiza incydentów
    Monitorowanie podpisanych stref
    Role
    Instrukcje stanowiskowe
    Procedury
  • 6. Dokumentacja
    DPS (DNSSEC Policy & PracticeStatement Policy, dokument zewnętrzny, na podstawie draftu)
    Miejsce publikacji danych
    Wymagania operacyjne (rejestracja rekordów DS)
    Funkcje zarządcze i kontrolne (kontrola fizyczna, nadzór proceduralny)
    Kompromitacja i disasterrecovery
    Kontrola bezpieczeństwa technicznego (zarządzanie kluczami, dostęp do materiału kryptograficznego)
    Podpisywanie strefy (wszelkie parametry DNSSEC dotyczące strefy)
    Audytowanie procedur
    Kwestie prawne (opłaty, odpowiedzialność, umowy, ochrona danych)
    KASP (Key & Signing Policy)
  • 7. Audyty
    Wewnętrzny
    Pozytywny rezultat
    Drobne błędy w konfiguracji (niekrytyczne)
    Wprowadzenie niezbędnych poprawek zgodnie z wytycznymi audytu
  • 8. Audyty
    Zewnętrzny
    Przeprowadzany przez firmę zewnętrzną
    Sprawdzana dokumentacja projektu oraz środowisko pre-produkcyjne
    Sprawdzana infrastruktura DNS (serwery primary i secondary)
    System Registry poza audytem
  • 9. Stan wdrożenia
    Strefa .pl, wszystkie strefy funkcjonalne i regionalne podpisane 02.09.2011
    Środowisko pre-produkcyjne równoległe do środowiska produkcyjnego
    • Czekamy na wyniki audytu zewnętrznego
  • Problemy
    PKCS11 nie jest idealnym rozwiązaniem
    Obecna implementacja PKCS11 w BIND nie jest idealnie napisana
    Ilość stref ma większe znaczenie niż ilość domen w strefie
    Dynamiczne updaty mogą być problemem (bezpieczeństwo vs wygoda)
  • 10. Sprzęt
    Niemiecki producent urządzeń kryptograficzny
    Urządzenie dostosowane do naszych wymagań (modyfikacje zwiększające bezpieczeństwo)
    Dalsza współpraca z producentem