RIPNDNS Network
advertisement
Технологические вопросы развития системы DNS национальных российских доменов Elena Voronina DNS Network: RIPNDNS Network: RIPNDNS network – это распределенная сеть DNS узлов, размещенных в 7 федеральных округах российской Федерации, Европе, Азии и Северной Америке . Резервирование оборудования и сетевых подключений, оптимальная связанность RIPNDNS с российскими и зарубежными ISPs, 24x7 техническая поддержка дает возможность безотказного DNS сервиса с минимальными временем ответа и 100% готовностью. Техническая поддержка для ccTLD Для .SU домена начиная с 1993 Для .RU домена начиная с 1995 Для .РФ домена начиная с 2010 07.05.2016 Ватутинки 2 RIPNDNS Distributed Network Topology В состав RIPNDNS сети входят 15 DNS узлов размещенных в 7 федеральных округах РФ, в Европе, Азии, Северной Америке 07.05.2016 Ватутинки 3 RIPNDNS Architecture Typical RIPNDNS node DNS-servers Secure Tunnel Control and monitoring DNS zone update Upstreams DNS statistics Statistics server Internet Exchange Console NOC RIPNDNS www.dnsstat.ru Monitoring & Support 24x7 publication DNS statistics DNS management Registry 07.05.2016 DNS zone update DNS zone update DNSSEC — enabled Ватутинки 4 Соответствие RFC RFC 5966: All the authoritative servers support the function via TCP; the network equipment is adjusted to the full-fledged support of DNS functioning via TCP. RFC 3901, 4472: Authoritative servers support both IPv4 and IPv6 addressing and use RFC recommendations to avoid DNS address space and hierarchy defragmentation. RFC 2182: The DNS servers are geographically distributed. They are located in different hosting facilities and connected to different providers. The location policy provides for installing the DNS servers in maximum possible immediate proximity to end-users. This conforms with RFC 2182. RFC 2671, 3226: The DNS servers and network equipment support the size of query/response up to 4096 bit. RFC 4033,4034,4035,5155: The DNSSEC. All other RFCs: Employment of the DNS server reference implementation (BIND) as the master platform and use of NSD as the standby one allows asserting the requirements set forth in these RFC are complied with. 07.05.2016 Ватутинки 5 Статистика Сервера статистики, входящие в состав каждого узла собирают статистику запросов и пересылают в центральный узел для последующей обработки. Формируются следующие ежедневные отчеты: • Агрегированная статистика запросов • Географическое распределение запросов (Для каждого узла) • Статистика ошибочных запросов 07.05.2016 Ватутинки 6 Статистика 07.05.2016 Ватутинки 7 Статистика 07.05.2016 Ватутинки 8 Узел RIPNDNS 07.05.2016 Ватутинки 9 Гарантии качества (Service accessibility levels) DNS service availability - 100% DNS name server availability – 99,99% UDP local resolution RTT =<5 ms TCP local resolution RTT =<5 ms UDP remote resolution RTT =<300 ms for at least 95% of the queries TCP remote resolution RTT =<500 ms for at least 95% of the queries DNS update time =< 60 min Server changeover time, once one of two node servers fails – 40 sec Дополнительно к BIND, ПО NSD software установлено на резервном сервере. Это позволит поднять альтернативную DNS систему в течение 24 часов. 07.05.2016 Ватутинки 10 DNSSEC-related DNS infrastructure 07.05.2016 Ватутинки 11 Информационная безопасность • • В рамках стандартного подхода к информационной безопасности рассматриваются 3 основных аспекта данных : Конфиденциальность (не является требованием DNS) • Доступность (усиление инфраструктуры) • Целостность Целью технологии DNSSEC является защита целостности данных, а точнее обеспечение возможности проверки целостности данных. DNSSEC ( Domain Name System Security Extensions) — набор спецификаций IETF, обеспечивающих безопасность информации, предоставляемой средствами DNS в IPсетях. В основе действия протокола DNSSEC лежит метод цифровой подписи ответов на запрос DNS. Для этого было создано несколько типов DNS записей, в их числе RRSIG, DNSKEY, DS и NSEC. Вся информация о защищенном домене в системе DNSSEC определенным образом зашифрована, поэтому может быть изменена только при помощи закрытого ключа шифрования 07.05.2016 Ватутинки 12 Обзор международной практики. Согласно отчета ICANN от 14.06 2012 подписано 87 TLDs из 313. 313 TLDs in the root zone in total 97 TLDs are signed; 87 TLDs have trust anchors published as DS records in the root zone; 4 TLDs have trust anchors published in the ISC DLV Repository 07.05.2016 Ватутинки 13 DNSSEC для.SU Алгоритмы и параметры . 1. Алгоритмы для формирования хэша ключа, необходимого для создания записи DS TLD Система регистрации предоставляет возможность владельцам доменов использовать следующие алгоритмы: SHA1 SHA2 ГОСТ Р 34.11-94 2. Алгоритмы для подписания записей зон TLDs. RSASHA256 длина ключа 2048 бит для KSK и 1024бит для ZSK. 3.Параметры Authenticated denial of existence For authentication of denial of existence the NSEC3 OPT-OUT mechanism is used [RFC 5155]. Zone signing key roll-over Pre-publication scheme will be applied for ZSK [RFC 4641]. Key signing key roll-over Double-signature scheme will be applied for KSK [RFC 4641]. Signature life-time and re-signing frequency DNSKEY RR set signature life-time is 20 days. Other RR sets signatures life-time is 45 days. Re-signing frequency is four times a day. Resource records time-to-live TTL of DNSKEY, DS and their corresponding RRSIG is set to 345600 (4 days). TTL of NSEC3 and the corresponding RRSIG is set to 3600 (1 hour). 07.05.2016 Ватутинки 14 Внедрение IPv6 • Базовая спецификация этого протокола была опубликована 12 лет назад (RFC2460, http://datatracker.ietf.org/doc/rfc2460/), а работа над его созданием началась в начале девяностых годах прошлого столетия. • Повод для начала работ - проблема нехватки IP-адресного пространства • IPv6 (Internet Protocol version 6) — новая версия протокола IP, призванная решить проблемы, с которыми столкнулась предыдущая версия (IPv4) при её использовании в интернете, за счёт использования длины адреса 128 бит вместо 32. Cамое очевидное преимущество IPv6 является существенно увеличенный размер адресного пространства. Размер адреса IPv6 составляет 128 бит, в четыре раза больше, чем у его предшественника, что экспоненциально увеличивает количество адресуемых устройств/ 2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d 192.192.192.192 3 февраля 2011, в Майами состоялась торжественная церемония вручения региональным Интернет-регистраторам пяти последних свободных блоков, состоящих из 16 млн. IPv4адресов. Так был окончательно исчерпан четырехмиллиардный резерв уникальных идентификаторов, которым обладал протокол Интернета версии 4. • • В истории всемирной Сети завершилась целая эпоха. 07.05.2016 Ватутинки 15 6 июня в Санкт-Петербурге прошел «Российский день IPv6», приуроченный ко Всемирному запуску IPv6 - World IPv6 Launch. Мероприятие было организовано Московским Internet Exchange (MSKIX) и Техническим центром Интернет (ТЦИ) при поддержке Координационного центра национального домена сети Интернет и Министерства связи и массовых коммуникаций Российской Федерации. 202 участника 407 уникальных зрителей видеотрансляции 07.05.2016 Ватутинки 16 Участникам точек обмена IX.RU доступны v6 адреса Route Serverа доступны по v6 DNS сервера доступны по v6 Web ресурсы доступны по v6 Почтовые ресурсы доступны по v6 NTP сервера доступны по v6 Круглосуточный мониторинг доступности по v6 … 07.05.2016 Ватутинки 17 От IPv4 к IPv6 • В Москве для IX.RU совместно с Техническим Центром Интернет запущен публичный сервис 6to4 (RFC 3056 и 3068) • Доступен по адресу 192.88.99.1 (anycast) • Особенности: – Прост в настройке – Поддерживаются только публичные адреса v4. (не поддерживается NAT) 07.05.2016 Ватутинки 18 Старт 6to4: Первые данные 07.05.2016 Ватутинки 19 MSK-IX IPV6 MSK-IX IPv6 трафик Уже ~5Gbit/sec IPv6 peers 123 настроено 141 участник использует IPV6 Наблюдается рост IPv6 в региональных проектах(например на NSK-IX в два раза выросло количество пиров за последний год) 07.05.2016 Ватутинки 20 DNS-сеть IPV6 07.05.2016 Ватутинки 21 DNS-сеть IPV6 07.05.2016 Ватутинки 22 IPv6 шагает по планете Top Websites Running IPv6 Global IPv6 Deployment Progress Report Alexa provides an approximate list of the most popular sites on the web. Alexa 1M raw domains: 1000000 Alexa 1M raw with a direct IPv4 address: 942269 Alexa 1M raw with a direct IPv6 address: 30237 Top Level Domains with IPv6 support Root Zone Downloaded: Fri Aug 10 00:30:06 2012 Root Zone Processed: Fri Aug 10 05:21:28 2012 Top Level Domains (TLDs): 315 TLDs with IPv6 nameservers: 268 Percentage of TLDs with IPv6 nameservers: 85.1% Networks Running IPv6 We can measure the percentage of networks running IPv6 by comparing the set of ASes in the IPv6 routing table to those in the combined set of IPv4 and IPv6. IPv4 and IPv6 RIBs Last Parsed: Fri Aug 10 01:08:44 PDT 2012 IPv4 ASes: 41940 IPv6 ASes: 6013 ASes using only IPv4: 36055 ASes using only IPv6: 128 ASes using IPv4 and IPv6: 5885 ASes using IPv4 or IPv6: 42068 Percentage of ASes (IPv4 or IPv6) running IPv6: 14.3% 07.05.2016 (top 100) facebook.com 2a03:2880:10:1f02:face:b00c:0:25 youm7.com 2400:cb00:2048:1::8d65:7df5 youtube.com 2001:4860:8005::be google.ca 2001:4860:4001:802::1018 blogspot.com 2001:4860:8005::bf google.com.mx 2001:4860:4001:803::101f google.de 2001:4860:4001:801::1017 blogspot.in 2001:4860:8005::bf google.co.id 2001:4860:4001:801::1018 google.co.jp 2001:4860:8005::5e google.com.sa 2001:4860:4007:801::1017 google.nl 2001:4860:8005::5e Ватутинки 23 IPv6 шагает по планете • • • • • На всех точках обмена трафиком IX.RU не только реализована адресация IPv6, но и активно растёт количество участников По данным ассоциации Euro-IX внедрение IPv6 на мировых точках обмена трафиком достигает практически 100%* На всех узлах DNS-сети используется IPV6-адресация Реализована возможность внесения в доменные зоны NS , использующих IPV6-адреса Однако, интернет-операторы пока не спешат использовать IPV6-адреса для предоставления сервиса: проблемы безопасности, биллинга, оборудования ,СОРМ, DPI и пр. * MSK-IX является участником ассоциации Euro-IX (включает в себя свыше 80 точек обмена трафиком по всему миру) 07.05.2016 Ватутинки 24 ? U R . .S Question… U .РФ 07.05.2016 Ватутинки 25
