DNSSEC für Internet Service Provider
Transcription
DNSSEC für Internet Service Provider
DNSSEC für Internet Service Provider Ralf Weber ([email protected]) Donnerstag, 2. Juli 2009 1 Was für DNS Dienste bietet ein ISP an > Autoritative Zonen für Kunden und > Rekursive Resolver Dienste für Kunden Client 213.86.182.108 ! 213.86.182.108 ! www.colt.net ? www.colt.net ? 81.91.170.12 ! www.denic.de ? Client 74.125.43.99 ! Rekursiver Resolver Colt Autoritativer Name Server für colt.net 74.125.43.99 ! www.google.de ? www.google.de ? 81.91.170.12 ! www.denic.de ? Autoritativer Name Server für google.de Client Autoritativer Name Server für denic.de Donnerstag, 2. Juli 2009 2 DNS Dienste bei Colt CNS CNS ANS ANS Authoritative Name Server CNS CNS Caching Name Server CNS CNS ANS CNS CNS ANS CNS CNS CNS CNS CNS Donnerstag, 2. Juli 2009 3 Was braucht der ISP für DNSSEC > Software – ISC Bind – NLnetlabs NSD, Unbound – Nominum ANS, Vantio > Bessere Rechner – Mehr Speicher – Mehr CPU – Mehr Bandbreite > Zuwachs liegt unter Moores Law > Warum haben wir es dann noch nicht? Donnerstag, 2. Juli 2009 4 Workflow DNS Dienste Autoritative Zonen Rekursive Server Neue Kunden Domain Resolver betreiben Auf Name Server konfigurieren Domain bereits registriert Transfer anstossen Ja Neue Kunden konfigurieren Neue Software installieren Konfiguration testen Neue Software testen Test erfolgreich Test erfolgreich Nein Nein Fehler beheben Transfer erfolgreich Registrieren Nein Nein Fehler beheben Ja Ja Ja Domain für Kunden betreiben Konfiguration aktivieren Kunde kündigt Domain löschen Donnerstag, 2. Juli 2009 Nein Soll Domain zu einem anderen Provider Ja Software aktivieren Domain transferieren 5 Operative Betrachtungen > DNS als Dienst gibt es sehr lange – Mittlerweile sollte auch die Trennung von autoritativem und rekursivem Dienst erfolgt sein > Prozesse und Problemlösungen etabliert > Üblicherweise hoher Automationsgrad – Webregistrierung – Integration in OSS/BSS Systeme > Was für Auswirkungen hat DNSSEC auf diese Prozesse ? Donnerstag, 2. Juli 2009 6 Workflow Authoritative DNSSEC Zonen Neue Kunden Domain Soll Domain signiert transferiert werden Auf Name Server konfigurieren Domain bereits registriert Ja Ja Nein Alten Provider um Aufhebung der Signierung bitten Ist Domain signiert Ja Schlüssel mit altem Provider austauschen Nein Nein Transfer anstossen Nein Transfer erfolgreich Registrieren Ja Domain für Kunden betreiben Neuen KSK erzeugen Ja Domain transferieren KSK abgelaufen Nein Neuen DS beim Registry hinterlegen ZSK abgelaufen Ja Neuen ZSK erzeugen Ja Zone neu signieren Beide DS Records bei der Registry hinterlegen Nein Signaturen abgelaufen Zone mit beiden Schlüsseln signieren Signaturen und Schlüssel aus Zone entfernen Schlüssel mit altem Provider austauschen DS Record bei der Registry löschen Nein Will Kunde kündigen Nein Ja Ja Domain löschen Donnerstag, 2. Juli 2009 Nein Soll Domain zu einem anderen Provider Ja Soll Domain signiert transferiert werden Nein 7 Auswirkungen für Autoritative Zonen > Prozesse müssen geändert werden – Zeitaufwending – Fehlerbehaftet > Schnittstellen zu Externen (Registry) müssen geändert werden – Änderungen an RRI..... – Dazu Softwareentwicklung bei Registraren..... – Auth_Info.... > Providerwechsel für DNSSEC Zonen muss erst definiert werden > Momentane Software hat noch geringen Automationsgrad – Wird hoffentlich besser – Erste Ansätze vorhanden (Bind9 Zone Resigning) > Für all diese Dinge gibt es das Testbed Donnerstag, 2. Juli 2009 8 Workflow Rekursive DNSSEC Resolver Resolver betreiben Fehler beheben Nein Neue Kunden konfigurieren Neue Software installieren Neue Trust Anchor installieren Konfiguration testen Neue Software testen Neue Trust Anchor testen Test erfolgreich Test erfolgreich Nein Fehler beheben Test erfolgreich Nein Fehler beheben Ja Konfiguration aktivieren Donnerstag, 2. Juli 2009 Ja Ja Software aktivieren Trust Anchor aktivieren 9 Auswirkungen Rekursive Resolver > Ein neuer Prozess analog zu den bestehenden > Trust Anchor der root Zone sind vorhanden (ITAR - https://itar.iana.org/) > Automation bereits erhältlich (RFC5011) – NLnetlabs autotrust > Einfache Test-Aufbauten vorstellbar – Gespeicherte Anfragen gegen DNSSEC Resolver und Antwortvergleich – Alternative IP Adresse – Spezielles Kundensegment auf Anfrage (Opt-In) > Einstieg über rekursiven Resolver erlaubt operative Erfahrungen bevor es zu Problemen mit Kundendomains kommt. – Signierte Testzone in .de oder Reverse von RIPE Donnerstag, 2. Juli 2009 10 Zusammenfassung > DNSSEC erfordert Anpassungen and Prozesse und Schnittstellen > Die Teilnahme am DENIC DNSSEC Testbed ist der beste Weg Erfahrungen über DNSSEC zu bekommen und DNSSEC einzuführen > Ein einfacher Einstieg ist über das Anbieten eines DNSSEC kompatiblem Rekursiven Resolvers möglich Donnerstag, 2. Juli 2009 11 Was ist DNSSEC sicher DNSSEC DNS (normal) Autoritativer Server Rekursiver Server Autoritativer Server Rekursiver Server Donnerstag, 2. Juli 2009 Client / Stub Resolver Client / Stub Resolver 12 Was ist DNSSEC sicher DNSSEC DNS (normal) Autoritativer Server Rekursiver Server Autoritativer Server Rekursiver Server Donnerstag, 2. Juli 2009 Client / Stub Resolver Client / Stub Resolver 13