Advertisement
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC
ENOG-14. Руководство оператора DNSSEC

Check these out next

The Student's Guide to LinkedIn
The Student's Guide to LinkedIn
LinkedIn
Different Roles in Machine Learning Career
Different Roles in Machine Learning Career
Intellipaat
Defining a Tech Project Vision in Eight Quick Steps pdf
Defining a Tech Project Vision in Eight Quick Steps pdf
TechSoup
The Hero's Journey (For movie fans, Lego fans, and presenters!)
The Hero's Journey (For movie fans, Lego fans, and presenters!)
Dan Roam
10 Inspirational Quotes for Graduation
10 Inspirational Quotes for Graduation
Guy Kawasaki
The Health Benefits of Dogs
The Health Benefits of Dogs
The Presentation Designer
The Benefits of Doing Nothing
The Benefits of Doing Nothing
INSEAD
A non-technical introduction to ChatGPT - SEDA.pptx
A non-technical introduction to ChatGPT - SEDA.pptx
Sue Beckingham
1 of 76

ENOG-14. Руководство оператора DNSSEC

Oct. 11, 2017
Download to read offline
Internet

Руководство оператора DNSSEC. Что делать. Когда делать. Чем делать. P.S. Руководство регистратора доменов: https://www.slideshare.net/schors/dnssec-71055077

Philipp Kulin
Golang developer at SPbEC Mining
Advertisement
Advertisement
Advertisement

Recommended

A popular DNS security overview. Modern theory and practiceA popular DNS security overview. Modern theory and practice
A popular DNS security overview. Modern theory and practicePhilipp Kulin814 views39 slides
A popular DNS security overviewA popular DNS security overview
A popular DNS security overviewPhilipp Kulin118 views73 slides
Разбор и сравнение данных в большом XML на маленькой VDSРазбор и сравнение данных в большом XML на маленькой VDS
Разбор и сравнение данных в большом XML на маленькой VDSPhilipp Kulin30 views75 slides
Технические аспекты блокировки интернета в России. Проблемы и перспективыТехнические аспекты блокировки интернета в России. Проблемы и перспективы
Технические аспекты блокировки интернета в России. Проблемы и перспективыPhilipp Kulin937 views47 slides
ENOG-14. Ограничение доступа в РоссииENOG-14. Ограничение доступа в России
ENOG-14. Ограничение доступа в РоссииPhilipp Kulin447 views11 slides
Опыт использования IPv6 год спустяОпыт использования IPv6 год спустя
Опыт использования IPv6 год спустяPhilipp Kulin490 views16 slides

More Related Content

Recently uploaded(20)

Игра.pptx.pptИгра.pptx.ppt
Игра.pptx.ppt
ssusera32cbd2 views
揭秘英国留学:如何获得伦敦大学海斯洛普学院毕业证?揭秘英国留学:如何获得伦敦大学海斯洛普学院毕业证?
揭秘英国留学:如何获得伦敦大学海斯洛普学院毕业证?
gukeho12 views
Introduction SIS.pptxIntroduction SIS.pptx
Introduction SIS.pptx
Eurasian National University3 views
PINTEREST PINTEREST
PINTEREST
BermeoOrtizAngelaBer6 views
Багудинова С 116Б всадничество.pdfБагудинова С 116Б всадничество.pdf
Багудинова С 116Б всадничество.pdf
ssuserb664dc12 views
866075 (2).pptx866075 (2).pptx
866075 (2).pptx
Jordan7529052 views
Web2Win big workshopWeb2Win big workshop
Web2Win big workshop
BorisLepinskikh6 views
Презентация Microsoft PowerPoint.pptxПрезентация Microsoft PowerPoint.pptx
Презентация Microsoft PowerPoint.pptx
ssuserb80cb75 views
모바일카지노 [ωωω.rt33.top]코드:b77 토토랜 ✥ 아마드트라오레맨유 ӑ 라오스 축구 ᾖ 제라드알론소 ∉ 1xbet입금 ༊ 니혼햄모바일카지노 [ωωω.rt33.top]코드:b77 토토랜 ✥ 아마드트라오레맨유 ӑ 라오스 축구 ᾖ 제라드알론소 ∉ 1xbet입금 ༊ 니혼햄
모바일카지노 [ωωω.rt33.top]코드:b77 토토랜 ✥ 아마드트라오레맨유 ӑ 라오스 축구 ᾖ 제라드알론소 ∉ 1xbet입금 ༊ 니혼햄
1xBet 원엑스벳26 views
1314336.pptx1314336.pptx
1314336.pptx
Jordan7529051 view
324774.pptx324774.pptx
324774.pptx
rdes13 views
02062022_ASH_Bazgutdinov_FORS.pdf02062022_ASH_Bazgutdinov_FORS.pdf
02062022_ASH_Bazgutdinov_FORS.pdf
cookie19695 views
downloadfile.jpg.pdfdownloadfile.jpg.pdf
downloadfile.jpg.pdf
oussamajilab3 views
_dsl_2500u_utk.pdf_dsl_2500u_utk.pdf
_dsl_2500u_utk.pdf
JavohirFayz6 views
окупаційні тг-канали (1).pdfокупаційні тг-канали (1).pdf
окупаційні тг-канали (1).pdf
ssuser54595a2.6K views
razbor_slovosocht.pptxrazbor_slovosocht.pptx
razbor_slovosocht.pptx
ssuser469a373 views
Slot GacorSlot Gacor
Slot Gacor
AmandaArsila10 views
dsl_2520u_utk.pdfdsl_2520u_utk.pdf
dsl_2520u_utk.pdf
JavohirFayz3 views
CAS.pdfCAS.pdf
CAS.pdf
StevensMaquera3 views
Flight-Tag.docxFlight-Tag.docx
Flight-Tag.docx
ssusera2e6336 views

Featured(20)

The Student's Guide to LinkedInThe Student's Guide to LinkedIn
The Student's Guide to LinkedIn
LinkedIn78.4K views
Different Roles in Machine Learning CareerDifferent Roles in Machine Learning Career
Different Roles in Machine Learning Career
Intellipaat9.5K views
Defining a Tech Project Vision in Eight Quick Steps pdfDefining a Tech Project Vision in Eight Quick Steps pdf
Defining a Tech Project Vision in Eight Quick Steps pdf
TechSoup 7.6K views
The Hero's Journey (For movie fans, Lego fans, and presenters!)The Hero's Journey (For movie fans, Lego fans, and presenters!)
The Hero's Journey (For movie fans, Lego fans, and presenters!)
Dan Roam27.4K views
10 Inspirational Quotes for Graduation10 Inspirational Quotes for Graduation
10 Inspirational Quotes for Graduation
Guy Kawasaki300.7K views
The Health Benefits of DogsThe Health Benefits of Dogs
The Health Benefits of Dogs
The Presentation Designer 33.4K views
The Benefits of Doing NothingThe Benefits of Doing Nothing
The Benefits of Doing Nothing
INSEAD50.1K views
A non-technical introduction to ChatGPT - SEDA.pptxA non-technical introduction to ChatGPT - SEDA.pptx
A non-technical introduction to ChatGPT - SEDA.pptx
Sue Beckingham17.7K views
The Dungeons & Dragons Guide to MarketingThe Dungeons & Dragons Guide to Marketing
The Dungeons & Dragons Guide to Marketing
Ian Lurie15.6K views
How You Can Change the WorldHow You Can Change the World
How You Can Change the World
24Slides57.4K views
signmesh snapshot - the best of sustainabilitysignmesh snapshot - the best of sustainability
signmesh snapshot - the best of sustainability
signmesh9.4K views
The Science of a Great Career in Data ScienceThe Science of a Great Career in Data Science
The Science of a Great Career in Data Science
Kate Matsudaira38.1K views
The ABC’s of Living a Healthy LifeThe ABC’s of Living a Healthy Life
The ABC’s of Living a Healthy Life
Dr. Omer Hameed1.1M views
CAREER FORWARD - THE TOOLS YOU NEED TO START MOVINGCAREER FORWARD - THE TOOLS YOU NEED TO START MOVING
CAREER FORWARD - THE TOOLS YOU NEED TO START MOVING
Kelly Services2.8K views
Top 5 Skills for Project ManagersTop 5 Skills for Project Managers
Top 5 Skills for Project Managers
LinkedIn Learning Solutions22.8K views
Mind-Blowing Facts About National ParksMind-Blowing Facts About National Parks
Mind-Blowing Facts About National Parks
Ethos343.2K views
8 Easy Ways to Relieve Stress At Work (Backed By Science)8 Easy Ways to Relieve Stress At Work (Backed By Science)
8 Easy Ways to Relieve Stress At Work (Backed By Science)
True Stress Management2.7K views
ChatGPT What It Is and How Writers Can Use It.pdfChatGPT What It Is and How Writers Can Use It.pdf
ChatGPT What It Is and How Writers Can Use It.pdf
Adsy31.6K views
Pixar's 22 Rules to Phenomenal StorytellingPixar's 22 Rules to Phenomenal Storytelling
Pixar's 22 Rules to Phenomenal Storytelling
Gavin McMahon4.7M views
2022 Women in the Workplace Briefing2022 Women in the Workplace Briefing
2022 Women in the Workplace Briefing
McKinsey & Company22.8K views
Advertisement

ENOG-14. Руководство оператора DNSSEC

  1. DNSSEC РУКОВОДСТВО ОПЕРАТОРА DNS Что надо знать. Что требуется. Как сделать. ВЕРСИЯ 1 Филипп Кулин, III квартал 2017, UNLICENSE D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 1
  2. Сложный DNSSEC Технология DNSSEC сложная Дорогая цена ошибки Требуется непрерывное обслуживание Зависимость от взаимодействия с регистратором Практик очень мало Реализация DNS с поддержкой DNSSEC сложная и требует аккуратности и внимания D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 2
  3. DNSSEC в двух словах Подпись записей зоны Записи зоны подписаны с помощью системы электронной подписи. Цепочка доверия Родительская зона подтверждает достоверность ключа, которым подписана зона потомка. От оператора DNS требуется подписывать зону и передавать информацию о ключах домена в родительскую зону через регистратора домена. D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 3
  4. Оператор домена При выполнении действий, связанных с делегированием домена, исторически сложилась модель Администратор — Регистратор — Реестр. То, что обслуживание домена Администратор часто поручает сторонним исполнителям, не было большой проблемой, поскольку действия ограничивались редкими изменениями записей NS при делегировании. Поддержка DNSSEC требует регулярных изменений в делегировании домена. В текущей модели это приводит к проблемам, поскольку требуется регулярное вовлечение в процесс технического обслуживания Администратора домена. «Оператор домена» занимается техническим обслуживанием домена по поручению Администратора. В руководстве я буду использовать этот термин, поскольку он лучше отражает модель взаимодействия при поддержке DNSSEC. D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 4
  5. Рассмотрим подробнее подпись зоны Рассмотрение подписи записей зоны в рамках этого документа носит ознакомительный характер D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 5
  6. Публикуется ключ. Записи зоны и сам ключ подписываются опубликованным ключом. Записи зоны могут быть подписаны любым типом ключа. Но другой ключ (запись DNSKEY) может быть подписан только ключом типа KSK (Key-signing key). Ключ KSK является «точкой входа» цепочки доверия в зону. Именно ключ KSK будет подтверждаться в родительской зоне. Подпись зоны одним ключом D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 6
  7. Подпись зоны одним ключом DNSKEY AAAA NS SOA Key-signing key (KSK) Ключом KSK подписан сам ключ KSK и все записи зоны D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 7
  8. Публикуется ключ KSK и ключ ZSK (Zone-signing key) Ключи ZSK и KSK подписываются опубликованным ключом KSK Записи зоны подписываются ключом ZSK Обновление ключа ZSK не требует подтверждения в родительской зоне. Следовательно, ключ ZSK можно обновлять, не беспокоясь о взаимодействии с регистратором домена Подпись зоны двумя ключами D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 8
  9. Подпись зоны двумя ключами DNSKEY AAAA NS SOA Key-signing key (KSK) Ключом KSK подписан сам ключ KSK и ключ ZSK DNSKEY Zone-signing key (ZSK) Ключом ZSK подписаны все записи зоны D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 9
  10. Подпись с использованием одного ключа Публикуется ключ KSK. Записи зоны и сам ключ KSK подписываются опубликованным ключом KSK. Подпись с использованием двух ключей Публикуются ключи KSK и ZSK. Ключи ZSK и KSK подписываются опубликованным ключом KSK. Записи зоны подписаны ключом ZSK. Цепочка доверия Ключи KSK являются «точками входа» цепочки доверия в зону. Обобщим виды подписи зоны D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 10
  11. Рассмотрим подробнее организацию цепочки доверия D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 11
  12. Общий принцип подписи зоны Записи зоны подписываются закрытым ключом. Подписи и открытый ключ, соответствующий закрытому, публикуются в зоне. Если мы доверяем данному ключу, то мы имеем возможность проверить любую подписанную запись. Принцип доверия к подписи Родительский домен подтверждает открытый ключ KSK зоны потомка. Подтверждения выстраиваются в цепочку доверия. Общий принцип цепочки доверия D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 12
  13. В родительской зоне публикуется отпечаток открытого ключа KSK домена потомка, которому надо оказать доверие – запись DS (Delegation Signer). Запись DS для домена потомка публикуется только в родительской зоне. Наличие хотя бы одной записи DS для домена рассматривается как обязательство подписи зоны этого домена. Делегирование подписи D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 13
  14. Делегирование подписи DNSKEY (KSK) example DS .tld example.tld Родительский домен подтверждает ключ KSK потомка Запись DS для example.tld размещена у «родителя» Запись DS — это отпечаток ключа KSK потомка D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 14
  15. В резолверах «прошиты» корневые ключи Цепочка доверия идёт от корневой зоны по записям DS Иерархия доверия всегда соответствует иерархии делегирования зон Нет разницы, откуда получена информация о записях, если она сопровождается корректными подписями, ведущими по цепочке доверия к корневому ключу, которому доверяет резолвер Цепочка доверия D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 15
  16. Цепочка доверия DNSKEY (KSK) example DS .tld DNSKEY (KSK) sub.example DS example.tld DNSKEY (KSK) sub.example.tld D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 16
  17. ● Подписывать записи зоны и непрерывно обслуживать подписи ● Создавать, публиковать и регулярно обновлять (ротировать) ключи ZSK зоны ● Создавать, публиковать и регулярно обновлять (ротировать) ключи KSK зоны ● Передавать информацию об актуальных ключах KSK данного домена в реестр через регистратора домена Что требуется от оператора DNS D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 17
  18. В отличие от обслуживания обычного DNS, при использовании DNSSEC от оператора DNS требуются определенные действия по регулярному обслуживанию зоны. Даже в том случае, если записи зоны не меняются. Важное отличие от обычного DNS D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 18
  19. За рамками этого документа останется вопрос обслуживания так называемого Trust Anchor - исходного ключа цепочки доверия. Здесь не будет описана «ротация» алгоритмов ключей и подписей. Далее мы рассмотрим только рекомендованные автором практики, не делая обзор всех возможных вариантов. Что не будет затронуто D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 19
  20. Обслуживание подписей зоны D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE По мотивам RFC 6781 20
  21. RRsets Подписываются наборы записей с совпадающими полями label, class и type — RRset DNSKEY RRset Набор ключей может быть подписан только ключом KSK RRSIG Подпись публикуется в записи RRSIG с такими же полями label и class. В данные записи RRSIG включается type и общий TTL набора Периодическое переподписывание Подписи периодически проверяются на истечение срока действия и обновляются при необходимости Подписывание зоны. Запись RRSIG D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 21
  22. Подпись наборов записей A RRset D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE DNSKEY RRset KSK ZSK DNSKEY RRsetDNSKEY RRset RRSIG DNSKEY A RRsetA RRset RRSIG A A RRsetA RRsetNS RRset RRSIG NS A RRsetA RRsetwww A RRset www RRSIG A SOA RRSIG SOA 22
  23. Жизненный цикл подписи зоны D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE Срок действия подписи N Срок действия подписи N+1 период проверки подпись новая подпись 23
  24. Максимальный TTL зоны Должен быть кратным сроку подписи зоны Минимальный TTL зоны Должен быть таким, чтобы рекурсивный процесс проверки записей успевал пройти. Не рекомендуется меньше нескольких минут Время жизни записей и подпись D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE Срок действия подписи TTL TTL Реальный TTL ! 24
  25. Максимальное значение Должно учитывать возможность подмены устаревших ответов в рамках срока действия Минимальное значение Выбирается с учетом всех составляющих жизненного цикла зоны так, чтобы при неудачном обновлении подписи иметь запас времени для исправления Отношение с TTL Срок действия подписи должен быть в несколько раз больше максимального TTL зоны Срок действия подписи D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 25
  26. Абсолютное время Срок действия подписи задается в абсолютных значениях времени UTC. Различные ошибки настроек времени на хостах будут вызывать проблемы Начальное значение Устанавливается с небольшим корректирующим смещением в прошлое, чтобы избежать часть проблем с неточно установленным на резолверах временем Случайное смещение времени конца действия Конец срока действия устанавливается со случайным смещением, чтобы не загружать сервера DNS Особенности cрока действия подписи D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 26
  27. Время обновления выбирается как сумма других времен, но не меньше, чем несколько максимальных TTL зоны Обновление подписи D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE Срок действия подписи jitter обновление период проверки коррекция стандартный период действия подписи новая подпись подпись 27
  28. Коррекция начального значения срока действия Устанавливается с небольшим корректирующим смещением в прошлое. Обычно 30 минут Случайное смещение конца срока действия Устанавливается со случайным смещением. Обычно от -60 до +60 минут Срок действия подписи Выбирается небольшим, кратным максимальному TTL. Обычно несколько дней Граничные значения TTL TTL зоны должны быть не меньше нескольких минут, но обычно не более чем четверть срока подписи Времена подписей D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 28
  29. Жизненный цикл подписи D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE Срок действия подписи N jitter обновлениепериод проверки коррекция стандартный период действия подписи подпись Срок действия подписи N+1 новая подпись 29
  30. Лук подписей зоны D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE RRSIG DNSKEY срок действия RRSIG SOA срок действия RRSIG AAAA срок действия www RRSIG CNAME срок действия Сейчас 30
  31. Запрос, на который нет подписанных записей ● Домен есть, но нет запрашиваемых типов записей ● Домена нет ● Домен совпадает с шаблонной записью «*» Запись NSEC Набор зацикленных записей NSEC, показывающих, что между двумя доменными именами нет других доменов Подпись отрицательного ответа D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 31
  32. Запись NSEC @ NSEC (SOA NS A MX) → www D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE @ RRSIG NSEC www NSEC (CNAME) → @ www RRSIG NSEC 32
  33. Ответ с NSEC ccc NSEC (A AAA) → ccc D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE aaa RRSIG NSEC Запрос bbb (A) AUTHORITY SECTION ответа ccc NSEC (TXT) → ddd ccc RRSIG NSEC Запрос ccc (A) AUTHORITY SECTION ответа 33
  34. Запись NSEC3 То же, что и NSEC, но в качестве доменов используется хэши существующих доменов Параметры NSEC3 ● Соль ● Количество проходов хэширования ● Флаг opt-out для ускорения подписи зоны с огромным количеством отсылок на неподписанные домены NSEC3 D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 34
  35. NSEC ● Простой понятный небольшой DNS-ответ ● Быстро создается ● Позволяет просто и быстро получить все записи зоны NSEC3 ● Получить все записи зоны возможно только с помощью специальных программных средств ● Большой размер DNS-ответа ● Ответы не поддаются диагностике «взглядом» ● Не выполняет цели. Получить все записи зоны всё равно возможно NSEC или NSEC3? D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 35
  36. Подпись отрицательного ответа «на лету» D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE bba NSEC (A AAA) → bbc bba RRSIG NSEC Запрос bbb (A) AUTHORITY SECTION ответа Существуют домены aaa и ccc RFC 4470 и RFC 4471 36
  37. Ротация ключей ZSK D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE Метод предварительной публикации ключа По мотивам RFC 7583 37
  38. Время жизни У ключей нет «времени жизни» в отличии от подписей RRSIG Но, например, BIND в метаинформации к ключам подразумевает «время жизни» TTL ключей TTL может быть отличным от обычных записей DS TTL TTL у записей DS обычно очень большой, и каждая родительская зона может устанавливать свой Времена в ключах и отпечатках D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 38
  39. ● Ключ N публикуется в зоне ● Зона подписывается только ключом N Ключ N используется какое-то время ● Ключ N+1 публикуется в зоне ● Зона подписывается только ключом N+1 ● Ключ N удаляется из зоны Ротация ZSK. Метод предварительной публикации ключа D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 39
  40. Ротация ZSK. Метод предварительной публикации ключа D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE Ключ N Dt публикации публикация Dt удержания эффективное время удаление Ключ N+1 публикация удаление Dt подписывания эффективное время 40
  41. Время публикации ключа Больше или равно времени распространения зоны по всем авторитативным серверам + TTL ключа Время удержания ключа Отсчет инициируется после подписания зоны новым ключом. Больше или равно времени распространения зоны по всем авторитативным серверам + TTL ключа Эффективное время ключа Например около месяца Ротация ZSK. Соображения по интервалам D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 41
  42. Ротация ключей KSK D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE Требует взаимодействия с регистратором домена Метод двойной подписи По мотивам RFC 7583 42
  43. Ротация KSK. Метод двойного ключа D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE ● Ключ N публикуется в зоне, и все ключи подписываются ключом N ● DS ключа N публикуется в родительской зоне Ключ N используется какое-то время ● Ключ N+1 публикуется в зоне, и все ключи подписываются ключами N и N+1 ● DS ключа N+1 заменяет DS ключа N у родителя ● Ключ N удаляется из зоны 43
  44. Ротация KSK. Метод двойного ключа D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE Ключ N публикация эффективное время удаление Ключ N+1 публикация Dt публикации публикация DS N публикация DS N+1 подпись ключами N и N+1 Dt удержания 44
  45. Ротация KSK. Метод двойного ключа. Соображения по интервалам D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE Время публикации ключа Больше или равно времени распространения зоны по всем авторитативным серверам + TTL ключа, но не меньше часа Время удержания ключа Отсчет инициируется после реальной публикации нового DS ключа в родительской зоне. Больше или равно времени распространения родительской зоны по всем авторитативным серверам + TTL DS Эффективное время ключа Например около года 45
  46. Идея состоит в том, что существует запасной пассивный ключ, который можно незамедлительно использовать ● Запасной ключ ZSK, не участвует в подписи ● Запасной ключ KSK должен участвовать в подписи. Смысл почти потерян Запаска (standby keys) D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 46
  47. ● Рекомендуется хранить приватные ключи отдельно ● Раздельное хранение ключей усложняет процедуры поддержки DNSSEC Безопасность ключей D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 47
  48. Смена оператора DNS D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE По мотивам RFC 6781 48
  49. ● Зона отдельно подписана на обоих DNS ● Оба DNS обмениваются ключами ZSK ● DS запись для нового DNS добавляется родителю ● Ожидание — максимальный TTL из DNSKEY, NS (у родителя), DS ● Смена NS серверов у регистратора ● Ожидание — TTL NS (у родителя) ● Удаление DS записи старого DNS ● Удаление публичного ZSK старого DNS у нового DNS Смена оператора DNS. Метод обмена публичными ключами D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 49
  50. Смена оператора DNS D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE DNS 1 DNS 2 ZSK 1 KSK 1 ZSK 2 DS 1 DS 1 + DS 2 DS 1 NS 1 → NS2 Родитель ZSK 2 KSK 1 ZSK 1 TTL DNSKEY 1 MAX TTL (DNSKEY 1, NS родителя, DS) MAX TTL (NS 1, NS родителя) ZSK 1 50
  51. Автоматическое делегирование DNSSEC D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE По мотивам RFC 7344 и RFC 8078 51
  52. ● Записи CDS и CDNSKEY соответствуют желаемым записям DS ● CDNSKEY — для проверки CDS или генерации DS ● Являются сигналом для замены текущего DS RRset ● Для удаления DS — алгоритм «0» в CDS/CDNSKEY ● Регистратор сам устанавливает политики: ● периодически просматривает дочернюю зону ● требует явной инициации просмотра ● Регистратор может требовать дополнительной авторизации ● Требуется самостоятельный мониторинг DS Мне не известны регистраторы, поддерживающие такую автоматизацию Записи CDS/CDNSKEY D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 52
  53. Подходы к реализации Что поддерживать. Что не поддерживать. Как поддерживать. D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 53
  54. Реакция на сбои Любая процедура работы с DNSSEC должна иметь регламент по реакции на сбой. Вплоть до экстренного снятия делегирования подписи Прогнозирование Требуется прогнозирование возможных сбоев, связанных с интервалами времени Программное обеспечение не хочет ходить строем Требуется непрерывный мониторинг состояния подписанной зоны и целостности цепочки доверия Мониторинг D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 54
  55. Предварительное подписывание Зона предварительно подписывается и распространяется на авторитативные сервера Автоматическое подписывание DNS сервер имеет доступ к ключам и подписывает зону автоматически. Обычно возможен трансфер подписанной зоны на вторичные сервера Подписывание «на лету» DNS сервер имеет доступ к ключам и подписывает ответ на каждый запрос Подписывание зоны «на лету» D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 55
  56. Совместимость Несколько записей DS с разными алгоритмами отпечатка и несколько ключей с разными алгоритмами создаются для поддержки совместимости с резолверами Бессмысленность Дублирование ключей и подписей заметно увеличивает размер DNS-ответа, а уровень распространения DNSSEC сегодня так низок, что тянуть бремя совместимости бессмысленно Поддержка нескольких алгоритмов D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 56
  57. Оператор DNS может и должен использовать только один выбранный набор алгоритмов Эффективным алгоритмом подписи является ECDSA: ● защищенность не хуже RSA ● ECDSA в разы быстрее RSA ● данные ECDSA по размеру меньше RSA ● ECDSA позволяет умещать большинство ответов DNS в один UDP пакет Для отпечатка наиболее практично использовать алгоритм SHA-256 Рекомендуемые алгоритмы D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 57
  58. Поддержка CDS/CDNSKEY Просить у регистраторов поддержку автоматизации делегирования подписи API для операторов доменов? Реестр доменов .CA (CIRA) предлагает специальный протокол для операторов доменов: https://github.com/CIRALabs/DSAP/ Нельзя не сделать DNSSEC API, когда на слайде есть котик Мы все ждем DNSSEC API от регистратора D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 58
  59. Оператор DNS может предоставить инструмент для проверки делегирования домена. Например: http://dnsviz.net/ Оператор DNS может предложить клиентам прописывать используемые сертификаты x509 в записях TLSA домена Оператор DNS может создать собственные практики внедрения DNSSEC. На текущий момент их очень мало Что ещё может оператор DNS D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 59
  60. Автоматизация обслуживания зоны D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 60
  61. DNSSEC tools D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE https://www.dnssec-tools.org/ ● Набор утилит на Perl, использующих bind tools ● Автоматическое управление ключами ● Не умеет CDS/CDNSKEY (или я не нашел) ● Переподписывание требует внешней инициативы ● Есть собственный мониторинг ● Сайт «съедает» всю память моего компьютера 61
  62. OpenDNSSEC D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE ● Быстрый ● Умеет переподписывать ● Автоматическое управление ключами ● «Hook» для передачи записи DS ● Не умеет CDS/CDNSKEY ● Конфигурация в XML ● Много компонентов, включая программный HSM 62
  63. DNSSEC в различных реализациях серверов DNS D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 63
  64. https://www.isc.org/downloads/bind/dnssec/ Предварительное подписывание ● Хороший, проверенный набор утилит ● bind9tools в Linux дистрибутивах ● С версии 9.11 есть утилита управления ключами dnssec-keymanager Динамическое подписывание ● auto-dnssec — с версии 9.7 ● inline-siging — с версии 9.9 ● Подписывает всю зону, а не ответы «на лету» ● Не умеет CDS/CDNSKEY BIND (9.7+) D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 64
  65. Предварительное подписывание ● Своих утилит не имеет ● Делает что-то странное Динамическое подписывание ● NSEC3 «на лету» (режим narrow, «белая ложь») ● Умеет подписать трансфер Управление ключами ● Требуется внешнее управление ● Умеет CDS/CDNSKEY PowerDNS (4.0+) D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 65
  66. ● Своих утилит не имеет ● Только предварительно подписанные зоны ● Зато быстрый NSD D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 66
  67. Предварительное подписывание ● Имеет небольшой набор собственных утилит Динамическое подписывание ● Автоматическое подписывание и «на лету» ● NSEC «на лету», ссылается на RFC 7129 ● Имеет странные ограничения и недоработки ● «На лету» умеет только схему с одним ключом Управление ключами ● Вручную ● Автоматическое ● CDS/CDNSKEY с проверкой DS у родителя KNOT D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 67
  68. BIND utils Один из самых популярных инструментов командной строки. Входит в полную поставку ISC BIND. В UNIX- дистрибутивах обычно называется bind9utils LDNS utils Набор инструментов командной строки на основе библиотеки Ldns. Разработан при поддержке RIPE. В большинстве UNIX-дистрибутивах называется ldns-utils Инструменты командной строки D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 68
  69. Итог в трех слайдах Слайд «вопросы» близко D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 69
  70. Итог. Слайд 1 D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE Непрерывное обслуживание подписей 70
  71. Итог. Слайд 2 D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE Ротация ключей и общение с регистратором 71
  72. Практики Итог. Слайд 3 D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 72
  73. Пишите мне Если возникли вопросы, предложения или требуется помощь, да и в любом случае — пишите мне: phil@diphost.ru D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 73
  74. Самое популярное программное обеспечение для работы с DNSSEC. Проект OpenDNSSEC https://www.opendnssec.org/ Набор утилит dnssec-tools для обслуживания DNSSEC https://www.dnssec-tools.org/ Библиотека Ldns https://www.nlnetlabs.nl/projects/ldns/ Визуализация DNS и DNSSEC http://dnsviz.net/ Предложение CIRA по протоколу обновления DS https://github.com/CIRALabs/DSAP/ Полезные ресурсы D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 74
  75. RFC 4033 Введение в DNSSEC RFC 4034 Ресурсные записи для DNSSEC RFC 4035 Модификации протокола DNS для DNSSEC RFC 4509 Использование SHA-256 для записей DS RFC 5702 Использование SHA-2 в DNSKEY и RRSIG RFC 6605 Использование ECDSA и SHA-384 в DNSSEC RFC 6781 Эксплуатация DNSSEC RFC 7583 Соображения по ротации ключей DNSSEC RFC 4470 Подпись отрицательных ответов «на лету» RFC 7129 Подпись отрицательных ответов RFC 7344 Автоматизация делегирования доверия DNSSEC RFC 8078 Управление записями DS через CDS/CDNSKEY Подборка RFC по DNSSEC D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 75
  76. Это бесплатный документ, переданный в общественное достояние. Любой человек может свободно копировать, изменять, публиковать, цитировать, использовать, продавать или распространять этот документ на любых носителях целиком или по частям для любых коммерческих или некоммерческих целей во всех смыслах. Общественное достояние D I P H O S T Филипп Кулин, III квартал 2017 года, UNLICENSE 76
Advertisement