Registripidajate Inforuum
Sisukord Kõik teemad

DNSSEC juurutamise Hea Tava registripidajatele

Järgnev on mõeldud nõuannetena abistamaks teenusepakkujaid kvaliteetse DNSSEC teenuse pakkumisel.

Krüptoalgoritmid

EISi kodulehel on avaldatud .ee tsooni puhul kasutatavad võtmealgortimid ja parameetrid:
http://internet.ee/et/dnssec/dnssec-eisis/.
Teenusepakkuja võiks lähtuda ka oma võtmeparameetrite valikul neist väärtustest. Nõrgemad algoritmid muudavad teenusepakkuja DNSSEC usaldusahela nõrgimaks lüliks ja seega potentsiaalseks sihtmärgiks rünnetele. Oluliselt keerulisemad algoritmid nõuavad aga suuremat arvutusressurssi, kuid usaldusaehela turvalisus tervikuna ei tõuse. EIS lähtub oma valikute tegemisel juurnimeserverites kasutatavatest parameetritest.

Kahe võtmepaariga lahendus

Soovitav on kasutada kahe võtmepaariga lahendust - ZSK ja KSK. ZSK ehk tsooni allkirjastamise võtmepaari kasutatakse konkreetse tsooni kirjete allkirjastamiseks. Seda võtit kasutatakse olenevalt tsooni suurusest ja kirjete arvust suhteliselt palju, mis tõttu on ressursi kasutuse seisukohalt mõttekas hoida seda võtit nii lühikesena kui võimalik. See omakorda tähendab, et võtit peab turvalisuse ja usaldusväärsuse tagamiseks suhteliselt tihti muutma. Et iga sellise muudatusega ei kaasneks ka võtme muutmine .ee tsoonis, kasutatakse teist võtmepaari usaldusahela loomiseks - KSK ehk võtme kirjete allkirjastamise võti. KSK avalik osa on DNS kirjete õigsuse kontrollimiseks ning saadetakse EISi. Et seda võtmepaari harvem vahetada, kasutatakse selle jaoks mahukamaid krüptoalgortime.

ZSK vahetus (rollover) olgu regulaarne

1024 bitise RSA-SHA256 ZSK võtmepaari soovitatav eluiga on 3 kuud kuni 1 aasta. EIS soovitab sellise pikkusega võtmeid vahetada vähemalt 2 korda aastas. Kõik planeeritud ja regulaarsed võtmevahetused peaksid toimuma automaatselt.

Kasuta NSEC3

NSEC tagab, et ka päringud tsooni seal mitte eksisteerivate domeeninimede kohta saaksid allkirjaga kinnitatud vastuse. NSEC3 takistab, aga selliste päringute abil tsoonifaili sisu loetlemist. NSEC3 parameetritena on soovitav kasutada ühte iteratsiooni 64bitise krüptograafilise soolaga, mille eluiga peaks olema sama, mis allkirjadel.

Dokumenteeri ja proovi läbi protseduurid

DNSSEC kaitseb hästi man-in-the-middle ja dns cache poisoning tüüpi rünnete vastu, kuid selleks vajalike võtmete haldus on täiendav kriitilise tähtsusega koht DNS süsteemis, millele tuleb hoolega tähelepanu pöörata, sest viga seal võib tähendada, et kaitstud domeen(id) on ühtäkki suurele osale maailmast kättesaamatud. Et seda vältida, peavad olema valmis nii tavapärases olukorras võtmete haldamise ja vahetamise protseduurid kui ka tegutsemise plaan nö kriisi situatsioonis, kus DNSSECi usaldusahel on juba katki. Need on protseduurid mida ei tehta igapäevaselt ja seetõttu on oluline, et need oleksid kirjalikus vormis ning läbi testitud. Olulisimad protseduurid on:

  • võtmete regulaarne (tavapärases olukorras) vahetamine - ZSK ja KSK;
  • võtmete vahetamine eriolukorras (rünne, süsteemi tõrge jne) - ZSK ja KSK;
  • süsteemi taasteplaan.

Avalda DNSSEC Practice Statement

DNSSEC Practice Statement (DPS) on välja poole suunatud dokument, mis kirjeldab, kuidas konkreetses organisatsioonis DNSSECi hallatakse. Dokumendi eesmärk on anda ülevaade kasutusel olevatest põhimõtetest, protseduuridest ja kordadest ning anda klientidele ja partneritele võimalus otsustada, kas nad usaldavad sellist lahendust.

DPS peaks olema avalikult kätte saadav organisatsiooni kodulehelt teenust tutvustavas osas.

Üks võti mitmele tsoonile või igale tsoonile oma?

Samu võtmepaare saab kasutada samaaegselt mitme DNS tsooni jaoks. Küll aga tuleb silmas pidada, et sama võtmepaari kasutamisel mitmetes tsoonides muudab see võtmepaari kaalukamaks ründe sihtmärgiks ning võtmete kompromiteerumisel on tekkiv kahju suurem. Seetõttu tuleks pöörata võtmete laia kasutuse korral rohkem tähelepanu ka võtmete turvalisusele, kasutades selleks näiteks spetsiaalset riistvaralist seadet - HSM (Hardware Security Module). Samal ajal võivad erinevad võtme kaitse lahendused seada oma poolseid piiranguid kasutatavate võtmete hulgale.

Registripidaja vahetus

Registripidajad ja DNSSEC teenuse pakkujad teevad omavahel koostööd kui klient on otsustanud teenusepakkujat vahetada. Et domeenile säiliks pidev DNSSECi kaitse on vajalik, et teenusepakkuja kelle juurest klient lahkub, lisaks uue teenusepakkuja DNSSECi avaliku võtme oma tsooni olemasolevate võtmete kõrvale ning teenindaks domeeni DNS kirjeid seni kuni võib eeldada, et uue teenuse pakkuja võtmed on jõudnud valdava enamuse lahendavate nimeserverite vahemälusse ehk peale võtme lisamist tsooni kuni kaks ööpäeva.

Vaata lisaks