DNSSEC – podsumowanie prac w rejestrze .pl

Zbigniew Jasiński

Wdrożenie na świecie• W chwili obecnej 61 rekordów DS znajduje się w strefie root: .ac

(Ascension Island), .ag (Antigua and Barbuda), .am (Armenia), .arpa, .asia, .be (Belgium), .bg (Bulgaria), .biz, .br (Brazil), .bz (Belize), .cat (Catalan community), .ch (Switzerland), .cl (Chile), .co (Colombia), .com, .cz (Czech Republic), .de (Germany), .dk (Denmark), .edu, .eu (European Union), fi. (Finland), .fr (France), gi. (Gibraltar), .gl (Greenland), .gov, .gr (Greece), .hn (Honduras), .in (India), .info, .io (British Indian Ocean Territory), .jp (Japan), kg (Kyrgyzstan), .la (Lao People's Democratic Republic), .lc (Saint Lucia), .li (Liechtenstein), .lk (Sri Lanka), .lu (Luxemburg), .me (Montenegro), .mn (Mongolia), .museum, .my (Malaysia), .na (Namibia), .nc (New Caledonia), .net, .nl (Netherlands), .nu (Niue), .org, .pm (Saint Pierre and Miquelon), .pr (Puerto Rico), .pt (Portugal), .re (Reunion), .sc (Seychelles), .se (Sweden), .sh (Saint Helena), .tf (French Southern Territories), .th (Thailand), .tm (Turkmenistan), .uk (United Kingdom), .us (United States), .wf (Wallis and Futuna), .yt (Mayotte)

Wdrożenie na świecie

http://secspider.cs.ucla.edu/SecSpider the DNSSEC Monitoring Project

Dokumentacja

• Wdrożenie (dokument wewnętrzny)– Istniejące standardy– Zmiany w obecnej infrastrukturze– Wybór urządzenia HSM– Nowe skrypty– Plan migracji– Analiza incydentów– Monitorowanie podpisanych stref– Role – Instrukcje stanowiskowe– Procedury

Dokumentacja

• DPS (DNSSEC Policy & Practice Statement Policy, dokument zewnętrzny, na podstawie draftu) – Miejsce publikacji danych– Wymagania operacyjne (rejestracja rekordów DS)– Funkcje zarządcze i kontrolne (kontrola fizyczna, nadzór

proceduralny)– Kompromitacja i disaster recovery– Kontrola bezpieczeństwa technicznego (zarządzanie kluczami, dostęp

do materiału kryptograficznego)– Podpisywanie strefy (wszelkie parametry DNSSEC dotyczące strefy)– Audytowanie procedur– Kwestie prawne (opłaty, odpowiedzialność, umowy, ochrona danych)– KASP (Key & Signing Policy)

Audyty

• Wewnętrzny– Pozytywny rezultat– Drobne błędy w konfiguracji (niekrytyczne)– Wprowadzenie niezbędnych poprawek zgodnie z

wytycznymi audytu

Audyty

• Zewnętrzny– Przeprowadzany przez firmę zewnętrzną– Sprawdzana dokumentacja projektu oraz

środowisko pre-produkcyjne– Sprawdzana infrastruktura DNS (serwery primary i

secondary)– System Registry poza audytem

Stan wdrożenia

• Strefa .pl, wszystkie strefy funkcjonalne i regionalne podpisane 02.09.2011

• Środowisko pre-produkcyjne równoległe do środowiska produkcyjnego

• Czekamy na wyniki audytu zewnętrznego

Problemy

• PKCS11 nie jest idealnym rozwiązaniem• Obecna implementacja PKCS11 w BIND nie

jest idealnie napisana• Ilość stref ma większe znaczenie niż ilość

domen w strefie• Dynamiczne updaty mogą być problemem

(bezpieczeństwo vs wygoda)

Sprzęt

• Niemiecki producent urządzeń kryptograficzny• Urządzenie dostosowane do naszych wymagań

(modyfikacje zwiększające bezpieczeństwo)• Dalsza współpraca z producentem