Технологические вопросы развития системы DNS национальных российских доменов Elena Voronina

DNS Network: RIPNDNS Network: RIPNDNS network – это распределенная сеть DNS узлов, размещенных в 7 федеральных округах российской Федерации, Европе, Азии и Северной Америке. Резервирование оборудования и сетевых подключений, оптимальная связанность RIPNDNS с российскими и зарубежными ISPs, 24x7 техническая поддержка дает возможность безотказного DNS сервиса с минимальными временем ответа и 100% готовностью. Техническая поддержка для ccTLD Для.SU домена начиная с 1993 Для.RU домена начиная с 1995 Для.РФ домена начиная с Ватутинки

RIPNDNS Distributed Network Topology В состав RIPNDNS сети входят 15 DNS узлов размещенных в 7 федеральных округах РФ, в Европе, Азии, Северной Америке Ватутинки

RIPNDNS Architecture Ватутинки

Соответствие RFC RFC 5966: All the authoritative servers support the function via TCP; the network equipment is adjusted to the full-fledged support of DNS functioning via TCP. RFC 3901, 4472: Authoritative servers support both IPv4 and IPv6 addressing and use RFC recommendations to avoid DNS address space and hierarchy defragmentation. RFC 2182: The DNS servers are geographically distributed. They are located in different hosting facilities and connected to different providers. The location policy provides for installing the DNS servers in maximum possible immediate proximity to end-users. This conforms with RFC RFC 2671, 3226: The DNS servers and network equipment support the size of query/response up to 4096 bit. RFC 4033,4034,4035,5155: The DNSSEC. All other RFCs: Employment of the DNS server reference implementation (BIND) as the master platform and use of NSD as the standby one allows asserting the requirements set forth in these RFC are complied with Ватутинки

Статистика Сервера статистики, входящие в состав каждого узла собирают статистику запросов и пересылают в центральный узел для последующей обработки. Формируются следующие ежедневные отчеты: Агрегированная статистика запросов Географическое распределение запросов (Для каждого узла) Статистика ошибочных запросов Ватутинки

Статистика Ватутинки

Статистика Ватутинки

Узел RIPNDNS Ватутинки

Гарантии качества (Service accessibility levels) DNS service availability - 100% DNS name server availability – 99,99% UDP local resolution RTT =

DNSSEC-related DNS infrastructure Ватутинки

Информационная безопасность В рамках стандартного подхода к информационной безопасности рассматриваются 3 основных аспекта данных : Конфиденциальность (не является требованием DNS) Доступность (усиление инфраструктуры) Целостность Целью технологии DNSSEC является защита целостности данных, а точнее обеспечение возможности проверки целостности данных. DNSSEC ( Domain Name System Security Extensions) набор спецификаций IETF, обеспечивающих безопасность информации, предоставляемой средствами DNS в IP- сетях.IETFDNSIP В основе действия протокола DNSSEC лежит метод цифровой подписи ответов на запрос DNS. Для этого было создано несколько типов DNS записей, в их числе RRSIG, DNSKEY, DS и NSEC. Вся информация о защищенном домене в системе DNSSEC определенным образом зашифрована, поэтому может быть изменена только при помощи закрытого ключа шифрования Ватутинки

Обзор международной практики. Согласно отчета ICANN от подписано 87 TLDs из TLDs in the root zone in total 97 TLDs are signed; 87 TLDs have trust anchors published as DS records in the root zone; 4 TLDs have trust anchors published in the ISC DLV Repository Ватутинки13

DNSSEC для.SU Ватутинки Алгоритмы и параметры. 1. Алгоритмы для формирования хэша ключа, необходимого для создания записи DS TLD Система регистрации предоставляет возможность владельцам доменов использовать следующие алгоритмы: SHA1 SHA2 ГОСТ Р Алгоритмы для подписания записей зон TLDs. RSASHA256 длина ключа 2048 бит для KSK и 1024бит для ZSK. 3.Параметры Authenticated denial of existence For authentication of denial of existence the NSEC3 OPT-OUT mechanism is used [RFC 5155]. Zone signing key roll-over Pre-publication scheme will be applied for ZSK [RFC 4641]. Key signing key roll-over Double-signature scheme will be applied for KSK [RFC 4641]. Signature life-time and re-signing frequency DNSKEY RR set signature life-time is 20 days. Other RR sets signatures life-time is 45 days. Re-signing frequency is four times a day. Resource records time-to-live TTL of DNSKEY, DS and their corresponding RRSIG is set to (4 days). TTL of NSEC3 and the corresponding RRSIG is set to 3600 (1 hour).

Внедрение IPv6 Базовая спецификация этого протокола была опубликована 12 лет назад (RFC2460, а работа над его созданием началась в начале девяностых годах прошлого столетия. Повод для начала работ - проблема нехватки IP-адресного пространства IPv6 (Internet Protocol version 6) новая версия протокола IP, призванная решить проблемы, с которыми столкнулась предыдущая версия (IPv4) при её использовании в интернете, за счёт использования длины адреса 128 бит вместо 32.протоколаIPIPv4 интернете Cамое очевидное преимущество IPv6 является существенно увеличенный размер адресного пространства. Размер адреса IPv6 составляет 128 бит, в четыре раза больше, чем у его предшественника, что экспоненциально увеличивает количество адресуемых устройств/ 2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d февраля 2011, в Майами состоялась торжественная церемония вручения региональным Интернет-регистраторам пяти последних свободных блоков, состоящих из 16 млн. IPv4- адресов. Так был окончательно исчерпан четырехмиллиардный резерв уникальных идентификаторов, которым обладал протокол Интернета версии 4. В истории всемирной Сети завершилась целая эпоха Ватутинки

Ватутинки 6 июня в Санкт-Петербурге прошел «Российский день IPv6», приуроченный ко Всемирному запуску IPv6 - World IPv6 Launch. Мероприятие было организовано Московским Internet Exchange (MSK- IX) и Техническим центром Интернет (ТЦИ) при поддержке Координационного центра национального домена сети Интернет и Министерства связи и массовых коммуникаций Российской Федерации. 202 участника 407 уникальных зрителей видеотрансляции

Участникам точек обмена IX.RU доступны v6 адреса Route Serverа доступны по v6 DNS сервера доступны по v6 Web ресурсы доступны по v6 Почтовые ресурсы доступны по v6 NTP сервера доступны по v6 Круглосуточный мониторинг доступности по v6 … Ватутинки

От IPv4 к IPv6 В Москве для IX.RU совместно с Техническим Центром Интернет запущен публичный сервис 6to4 (RFC 3056 и 3068) Доступен по адресу (anycast) Особенности: –Прост в настройке –Поддерживаются только публичные адреса v4. (не поддерживается NAT) Ватутинки

Старт 6to4: Первые данные Ватутинки

MSK-IX IPV6 MSK-IX IPv6 трафик Уже ~5Gbit/sec IPv6 peers 123 настроено 141 участник использует IPV6 Наблюдается рост IPv6 в региональных проектах(например на NSK-IX в два раза выросло количество пиров за последний год ) Ватутинки

Ватутинки DNS-сеть IPV6

Ватутинки DNS-сеть IPV6

IPv6 шагает по планете Global IPv6 Deployment Progress Report Top Level Domains with IPv6 support Root Zone Downloaded: Fri Aug 10 00:30: Root Zone Processed: Fri Aug 10 05:21: Top Level Domains (TLDs): 315 TLDs with IPv6 nameservers: 268 Percentage of TLDs with IPv6 nameservers: 85.1% Networks Running IPv6 We can measure the percentage of networks running IPv6 by comparing the set of ASes in the IPv6 routing table to those in the combined set of IPv4 and IPv6. IPv4 and IPv6 RIBs Last Parsed: Fri Aug 10 01:08:44 PDT 2012 IPv4 ASes: IPv6 ASes: 6013 ASes using only IPv4: ASes using only IPv6: 128 ASes using IPv4 and IPv6: 5885 ASes using IPv4 or IPv6: Percentage of ASes (IPv4 or IPv6) running IPv6: 14.3% Top Websites Running IPv6 AlexaAlexa provides an approximate list of the most popular sites on the web. Alexa 1M raw domains: Alexa 1M raw with a direct IPv4 address: Alexa 1M raw with a direct IPv6 address: (top 100) facebook.com 2a03:2880:10:1f02:face:b00c:0:25 youm7.com 2400:cb00:2048:1::8d65:7df5 youtube.com 2001:4860:8005::be google.ca 2001:4860:4001:802::1018 blogspot.com 2001:4860:8005::bf google.com.mx 2001:4860:4001:803::101f google.de 2001:4860:4001:801::1017 blogspot.in 2001:4860:8005::bf google.co.id 2001:4860:4001:801::1018 google.co.jp 2001:4860:8005::5e google.com.sa 2001:4860:4007:801::1017 google.nl 2001:4860:8005::5e facebook.com youm7.com youtube.com google.ca blogspot.com google.com.mx google.de blogspot.in google.co.id google.co.jp google.com.sa google.nl Ватутинки23

IPv6 шагает по планете На всех точках обмена трафиком IX.RU не только реализована адресация IPv6, но и активно растёт количество участников По данным ассоциации Euro-IX внедрение IPv6 на мировых точках обмена трафиком достигает практически 100%* На всех узлах DNS-сети используется IPV6-адресация Реализована возможность внесения в доменные зоны NS, использующих IPV6-адреса Однако, интернет-операторы пока не спешат использовать IPV6-адреса для предоставления сервиса: проблемы безопасности, биллинга, оборудования,СОРМ, DPI и пр. * MSK-IX является участником ассоциации Euro-IX (включает в себя свыше 80 точек обмена трафиком по всему миру) Ватутинки

Question… Ватутинки