Upload
webhostingpl
View
1.287
Download
2
Embed Size (px)
DESCRIPTION
Citation preview
DNSSEC – podsumowanie prac w rejestrze .pl
Zbigniew Jasiński
Wdrożenie na świecie• W chwili obecnej 61 rekordów DS znajduje się w strefie root: .ac
(Ascension Island), .ag (Antigua and Barbuda), .am (Armenia), .arpa, .asia, .be (Belgium), .bg (Bulgaria), .biz, .br (Brazil), .bz (Belize), .cat (Catalan community), .ch (Switzerland), .cl (Chile), .co (Colombia), .com, .cz (Czech Republic), .de (Germany), .dk (Denmark), .edu, .eu (European Union), fi. (Finland), .fr (France), gi. (Gibraltar), .gl (Greenland), .gov, .gr (Greece), .hn (Honduras), .in (India), .info, .io (British Indian Ocean Territory), .jp (Japan), kg (Kyrgyzstan), .la (Lao People's Democratic Republic), .lc (Saint Lucia), .li (Liechtenstein), .lk (Sri Lanka), .lu (Luxemburg), .me (Montenegro), .mn (Mongolia), .museum, .my (Malaysia), .na (Namibia), .nc (New Caledonia), .net, .nl (Netherlands), .nu (Niue), .org, .pm (Saint Pierre and Miquelon), .pr (Puerto Rico), .pt (Portugal), .re (Reunion), .sc (Seychelles), .se (Sweden), .sh (Saint Helena), .tf (French Southern Territories), .th (Thailand), .tm (Turkmenistan), .uk (United Kingdom), .us (United States), .wf (Wallis and Futuna), .yt (Mayotte)
Wdrożenie na świecie
http://secspider.cs.ucla.edu/SecSpider the DNSSEC Monitoring Project
Dokumentacja
• Wdrożenie (dokument wewnętrzny)– Istniejące standardy– Zmiany w obecnej infrastrukturze– Wybór urządzenia HSM– Nowe skrypty– Plan migracji– Analiza incydentów– Monitorowanie podpisanych stref– Role – Instrukcje stanowiskowe– Procedury
Dokumentacja
• DPS (DNSSEC Policy & Practice Statement Policy, dokument zewnętrzny, na podstawie draftu) – Miejsce publikacji danych– Wymagania operacyjne (rejestracja rekordów DS)– Funkcje zarządcze i kontrolne (kontrola fizyczna, nadzór
proceduralny)– Kompromitacja i disaster recovery– Kontrola bezpieczeństwa technicznego (zarządzanie kluczami, dostęp
do materiału kryptograficznego)– Podpisywanie strefy (wszelkie parametry DNSSEC dotyczące strefy)– Audytowanie procedur– Kwestie prawne (opłaty, odpowiedzialność, umowy, ochrona danych)– KASP (Key & Signing Policy)
Audyty
• Wewnętrzny– Pozytywny rezultat– Drobne błędy w konfiguracji (niekrytyczne)– Wprowadzenie niezbędnych poprawek zgodnie z
wytycznymi audytu
Audyty
• Zewnętrzny– Przeprowadzany przez firmę zewnętrzną– Sprawdzana dokumentacja projektu oraz
środowisko pre-produkcyjne– Sprawdzana infrastruktura DNS (serwery primary i
secondary)– System Registry poza audytem
Stan wdrożenia
• Strefa .pl, wszystkie strefy funkcjonalne i regionalne podpisane 02.09.2011
• Środowisko pre-produkcyjne równoległe do środowiska produkcyjnego
• Czekamy na wyniki audytu zewnętrznego
Problemy
• PKCS11 nie jest idealnym rozwiązaniem• Obecna implementacja PKCS11 w BIND nie
jest idealnie napisana• Ilość stref ma większe znaczenie niż ilość
domen w strefie• Dynamiczne updaty mogą być problemem
(bezpieczeństwo vs wygoda)
Sprzęt
• Niemiecki producent urządzeń kryptograficzny• Urządzenie dostosowane do naszych wymagań
(modyfikacje zwiększające bezpieczeństwo)• Dalsza współpraca z producentem