Внедрение DNSSEC для интернет-провайдеров

DNSSEC позволяет интернет-провайдерам повысить уровень безопасности взаимодействия пользователей с сетью. Вместе с развитием протоколов сетевой безопасности, таких как SSL (Secure Sockets Layer), технология DNSSEC становится неотъемлемой частью бизнеса интернет-провайдеров.

Начиная применение DNSSEC прямо сейчас, провайдеры могут повысить свою репутацию в глазах пользователей, выступая в выгодном свете на фоне конкурентов. Обладая опытом внедрения, провайдеры получают возможность влиять на процесс разработки будущих решений по внедрению DNSSEC, что будет положительно сказываться на их бизнесе.

Зачем внедрять DNSSEC?

Заблаговременно добавляя к своим решениям DNSSEC, провайдеры получают:

  • Снижение риска стать жертвами кибер-преступников для своих клиентов;
  • Укрепление репутации и защиты бренда;
  • Сохранение доверия и лояльности пользователей;
  • Включение DNSSEC в портфель оказываемых услуг;
  • Привлечение заботящихся о безопасности и о репутации пользователей;
  • Защиту своего бизнеса путём повышения доверия со стороны интернет- сообщества;
  • Возможность влиять на будущее DNSSEC.

Что необходимо сделать

Интернет-провайдеры играют важную роль в поддержании функционирования интернета. Поддерживаемые провайдерами рекурсивные серверы имён (резолверы) позволяют пользователям разрешать доменные имена миллионы раз за день, поэтому на них обращается внимание в первую очередь при выборе объекта для атаки типа «отравление кэша».

Резолверы с функционирующим DNSSEC позволяют избежать подобных атак следующим образом: когда резолвер запрашивает информацию о домене у авторитарного сервера в случае содержания на последнем подписанной зоны, резолвер также запрашивает ключевую информацию, что позволяет сверить идентичность полученной информации с информацией, содержащейся на авторитарном сервере.

Для распространения информации DNSSEC по экосистеме интернета необходима поддержка данной технологии на резолверах и готовность остальной сетевой инфраструктуры (межсетевые экраны, маршрутизаторы, коммутаторы, балансировщики нагрузки и так далее) к возросшему трафику, генерируемому DNSSEC. Особенно это касается провайдеров DNS-хостинга.

Что необходимо учитывать

Следующая таблица содержит рекомендации по решению ряда важных вопросов, связанных с внедрением DNSSEC.

ПОЯСНЕНИЕ РЕШЕНИЕ

Устаревшие версии программного обеспечения серверов имён не поддерживают DNSSEC

DNS с момента создания была довольно устойчивой технологией, что могло привести к отсутствию установленных обновлений. Некоторое ПО серверов имён, включая устаревшие версии BIND, не поддерживают DNSSEC.

Провести обновление ПО серверов имён до актуальных версий, поддерживающих DNSSEC, RSA-SHA256, ГОСТ, NSEC и NSEC3.

Пакеты обмена данными DNSSEC больше традиционных пакетов ( > 512 байт )

Пакеты DNSSEC несут больше информации, что накладывает увеличение нагрузки на память, процессор, полосу пропускания сервера.

Обновить аппаратное обеспечение серверов.

Включение валидации на рекурсивных серверах имён

Для предоставления функциональности DNSSEC пользователям требуется активировать механизм валидации на рекурсивных серверах.

Рассмотрев все аспекты технологии, включить механизм валидации и настроить резолвер.

Повышение ответственности системных администраторов

Ответственные за функционирование DNS системные администраторы должны будут периодически проводить процедуры обновления ключевой информации и проверки цепочек доверия.

Обеспечить обучение системных администраторов технологии DNSSEC, особо обращая внимание на понимание иерархии доверия.

Пользователи будут обнаруживать ошибки проверки

Серьёзной проблемой для провайдеров является опыт конечных пользователей по получению мошеннических данных DNS или по получению отказа в разрешении имени домена из-за просроченной подписи.

Провести обучение службы поддержки пользователей на предмет выявления и устранения неисправностей подобного рода. Взаимодействовать с интернет-сообществом с целью поиска стандартизованных решений.

С чего начать

Основываясь на опыте внедрения DNSSEC для доменов верхнего уровня, предлагается следовать нижеприведённому алгоритму.

Проведение исследований

  • Понять позиционирование DNSSEC в иерархии средств обеспечения безопасности;
  • Представить предоставляемые DNSSEC возможности и возникающие при внедрении сложности;
  • Понять работу криптографии с открытым ключом и процесс создания электронной подписи, ознакомиться со стандартами шифрования;
  • Провести учёбу среди персонала технической поддержки;
  • Разработать методические материалы для пользователей.

Планирование

  • Составить календарь внедрения DNSSEC;
  • Разработать внедрение DNSSEC в существующую инфраструктуру DNS;
  • Разработать порядок внесения в систему открытых ключей вышестояших участников.

Анализ и корректировка планов

  • Провести инвентаризацию ПО резолверов на предмет поддержки DNSSEC, алгоритмов NSEC3, SHA-256, ГОСТ;
  • Определить влияние DNSSEC на утилизацию полосы пропускания;
  • Рассмотреть влияние на процесс управления резолверами;
  • Оценить совместимость проекта с существующими решениями.

Внедрение

  • Лабораторные испытания системы;
  • Переход на рабочую версию.

Принятие участия

  • Обратная связь с разработчиками;
  • Участие в тематических форумах;
  • Ознакомление с отраслевыми новостями.

Практика применения DNSSEC для интернет-провайдеров