Система доменных имен (DNS) — критически важный сервис в Интернете. Все больше атак эксплуатируют уязвимости DNS и, соответственно, все более остро встает вопрос безопасности. ICANN уже много лет поддерживает усилия по развертыванию DNSSEC (расширений безопасности DNS) через различные инициативы и программы по наращиванию потенциала. За последние два года эти усилия активизировались в рамках регионализации технического взаимодействия организации.
DNSSEC — это одно из решений, которое используется для помощи в обеспечении защиты разрешения DNS. Владельцы доменов, системные администраторы или операторы DNS подписывают ресурсные записи DNS в файлах корневой зоны, которые обслуживаются авторитативными DNS-серверами при помощи криптографии открытого ключа и хеш-алгоритмов. Защищенные рекурсивные резолверы, обычно размещаемые рядом с инфраструктурой интернет-провайдеров (ISP) или в корпоративных сетях, проверяют аутентичность и целостность ответов DNS, которые они получают о подписанных доменах. Эта операция называется DNSSEC-валидация. Защищенные рекурсивные резолверы помогают не допустить занесение ложных записей в кэш (явление, известное под названием «отравление кэша») и подтверждают, что полученные ими данные DNS для подписанных доменов поступают от аутентифицированных авторитативных DNS-серверов и не подверглись изменениям. Подпись доменов и валидация данных DNS дополняют друг друга. В качестве лучшей практики DNS следует использовать и то, и другое. Подробнее о DNSSEC см. здесь.
Мы бы хотели рассказать о недавно предпринятых нами усилиях и опыте продвижения и оказания поддержки в развертывании DNSSEC в Африке и на Ближнем Востоке, начиная с публикации Пособия по развертыванию DNSSEC для ccTLD (OCTO-029) на шести официальных языках ООН. В наших регионах мы работаем с теми, кто говорят на самых разных языках и считаем, что это пошаговое пособие будет полезно большой аудитории.
Мы также особенно активно помогаем операторам национальных доменов верхнего уровня (ccTLD) использовать DNSSEC для защиты своих зон. Для этого мы проводим с ними пошаговый анализ готовности к применению DNSSEC, проводим учебные курсы в совокупности с технической поддержкой, чтобы помочь ознакомиться с операциями по DNSSEC-подписи. Мы также используем тестовую среду, чтобы подчеркнуть сложности, которые могут возникнуть в отношении их конкретной конфигурации и помогаем улучшить документацию по операциям.
Мы исключительно рады тому, что некоторые ссTLD используют эти процессы и инструменты наращивания потенциала для дальнейшего развития своих навыков и проектов. Например, поводом для гордости является тот факт, что такие новые ccTLD, как как .ci и .rw используют DNSSEC для подписания своих зон. Другие ccTLD также активно занимаются разработкой процесса развертывания DNSSEC. Кроме того, мы продолжаем поощрять многих других, кто еще не защитил свою DNS и предлагаем им свою помощь; надеемся, что они тоже начнут этот процесс.
Кроме подписи зон, мы также помогли десятку сетевых операторов (в основном это интернет-провайдеры) и операторам мобильных сетей в Африке и на Ближнем Востоке включить DNSSEC-валидацию в своих рекурсивных резолверах. Сегодня включение DNSSEC-валидации достаточно простая процедура для практически всех рекурсивных резолверов. При этом рекомендуется проводить некоторые проверки, предшествующие включению валидации, такие как поддержка EDNS(0), TCP 53, синхронизация по времени, подбор правильного якоря доверия для корня и т. д. Это особенно важно при использовании производственной среды.
Наша поддержка в основном состоит в оказании помощи операторам не только понять в чем состоит важность DNSSEC-валидации, но и не забывать обращать внимание на обязательные предварительные проверки. Мы поддерживаем их в процессе верификации и помогаем запустить и протестировать этот процесс на каждом своем рекурсивном резолвере. Изначально некоторые операторы неохотно соглашались на изменения, которые могли привести к сбоям для их клиентов, но, поработав с нами, они начинали смелее и увереннее вносить эти усовершенствования, так как они обретали более четкое представление обо всех элементах и мерах по снижению потенциальных последствий.
Показатели развертывания DNSSEC в Африке и на Ближнем Востоке самые низкие в мире. Нам еще предстоит много работы, хотя у нас уже есть результаты. По данным лабораторий Сетевого информационного центра стран Азии и Тихоокеанского региона, показатели развертывания DNSSEC в Африке выросли за последние два года с 25% до 30%, а на Ближнем Востоке остались на отметке 50%. Мы продолжаем работать с нашими партнерами над улучшением показателей развертывания DNSSEC в Африке и на Ближнем Востоке.
Мы будем продолжать проводить курсы обучения и помогать операторам в этом регионе развертывать работу по подписи и валидации при помощи DNSSEC. Тем самым наша команда помогает улучшить безопасность и отказоустойчивость интернета. Новая программа KINDNS, запущенная ICANN в прошлом месяце — дополнительный инструмент в нашей работе, позволяющий операторам улучшать безопасность эксплуатации DNS.
Наш каталог курсов доступен онлайн. Все вопросы, замечания и обращения за помощью относительно DNS в целом и развертывания DNSSEC в частности, принимаются по адресу octo@icann.org. Мы будем рады помочь.
