Внедрение DNSSEC для регистраторов доменных имен

Регистраторы играют ключевую роль в успешном распространении DNSSEC. Многие интернет-провайдеры и регистратуры доменов верхнего уровня уже используют DNSSEC при предоставлении услуг. Внедрение DNSSEC требует аккуратного, методичного подхода, что требует серьезных временных затрат на планирование, внедрение, тестирование и доработку своего решения.
Начав внедрение прямо сейчас, регистратор позиционирует себя в качестве лидера по внедрению решений для обеспечения безопасности в сети Интернет, что в свою очередь позволит ему задать темп и направление развития отрасли.

Зачем внедрять DNSSEC?

Инициативное внедрение этого важного уровня безопасности позволит регистратору:

  • Помочь владельцам доменов в защите своего бренда и данных своих пользователей;
  • Завоевать доверие и лояльность владельцев доменов;
  • Привлечь заботящихся о безопасности и о репутации владельцев доменов;
  • Позиционировать DNSSEC как новую услугу;
  • Предоставить возможность использовать DNS в качестве транспорта для доверенного распространения другой важной информации (например, открытых ключей для различных сервисов);
  • Защитить свой бизнес, завоевав доверие сетевого сообщества.

Что необходимо сделать

Для начала оказания услуг, появления которых ожидают администраторы доменных имен, необходимо начать подписывать записи о доменных именах в доменной зоне. Внедрение подразумевает следующие этапы:

  • Создание ключевой пары для подписания зоны;
  • Создание и подписание файла зоны;
  • Управление ключами для данной зоны.

Подразумевается, что DNS-резолверы в сети Интернет имеют возможность проверять достоверность возвращаемых авторитарным сервером данных.
Также потребуется переработка интерфейса пользователей с целью добавления возможности вносить данные о ключах для их доменов, а также переработка имплементации протокола EPP (Extensible Provisioning Protocol) для добавления возможности передавать такую информацию администратору реестра доменных имён.

Подписание зоны

На этапе создания и подписания зоны выполняются следующие шаги:

  • Генерация ключей подписи зоны (Zone Signing Keys – ZSKs), с помощью которых осуществляется электронная подпись записей в зоне;
  • Генерация ключей подписи ключевых наборов (Key Signing Keys – KSKs), с помощью которых подписываются ключевые наборы для каждой зоны и строится цепочка доверия;
  • Создание неподписанной зоны;
  • Подписание зоны;
  • Тестирование системы подписания в лабораторных условиях без доступа к сети;
  • Тестирование системы подписания на внутренней сети;
  • Внедрение в рабочую систему.

Управление ключами

В системе DNSSEC предполагается периодическая смена ключей – ротация – с целью минимизации риска их компрометации. Ротация ключей затрагивает смену ZSK и вызывает необходимость переподписания зоны новым ключом. При ротации KSK необходимо обновить DS-запись в реестре информацией о новом ключе KSK.
Управление ключами включает в себя:

  • Осуществление ротации KSK и ZSK;
  • Периодическое переподписание зоны на действующих ключах с целью обновления подписей ресурсных записей в зоне;
  • Обновление DS-записей в родительской зоне.

Внимание!

Содержание подписанной зоны требует наличия сервера имён, способного работать по технологии DNSSEC. Управление ключами требует наличия специализированного программного и аппаратного обеспечения. Внедрение и управление этими компонентами требует значительных временных затрат. Есть несколько возможностей справиться с этой задачей:

  • Разработать собственную систему;
  • Приобрести готовое решение;
  • Отдать разработку, сопровождение и обслуживание системы на аутсорсинг в компанию, которая будет проводить процедуры подписания и ротации.

С чего начать

Основываясь на опыте внедрения DNSSEC для доменов верхнего уровня, предлагается следовать нижеприведённому алгоритму.

Проведение исследований

  • Позиционировать DNSSEC в иерархии средств обеспечения безопасности;
  • Определить возможности, предоставляемые DNSSEC, а также возникающие при внедрении сложности;
  • Понять работу криптографии с открытым ключом и процесс создания электронной подписи, ознакомиться со стандартами шифрования;
  • Провести учёбу среди персонала технической поддержки;
  • Разработать методические материалы для администраторов доменов.

Планирование

  • Составить календарь внедрения DNSSEC;
  • Разработать внедрение DNSSEC в существующую инфраструктуру DNS;
  • Принять решение о поставщике: собственная разработка, готовое решение или аутсорсинг.

Анализ и корректировка планов

  • Рассмотреть влияние DNSSEC на утилизацию полосы пропускания (связано с увеличением трафика);
  • Рассмотреть изменения, вносимые DNSSEC в процесс управления DNS;
  • Разработать нормативную документацию (описание политик безопасности, процедур управления ключами и ротации ключей; введение новых должностей персонала; подготовить материальную базу для безопасного хранения ключевой информации);
  • Проверить на корректность сетевые настройки и настройки серверов имён;
  • Провести обновление аппаратного и программного обеспечения до уровня поддержки DNSSEC;
  • Проанализировать продукцию третьих сторон на потенциальную совместимость с системой.

Внедрение

  • Провести лабораторные испытания системы;
  • Перейти на рабочую версию.

Принятие участия

  • Обратная связь с разработчиками;
  • Участие в тематических форумах;
  • Ознакомление с отраслевыми новостями.