1 / 25

Технологические вопросы развития системы DNS национальных российских доменов

Технологические вопросы развития системы DNS национальных российских доменов. Elena Voronina. DNS Network:. RIPNDNS Network: RIPNDNS network – это распределенная сеть DNS узлов, размещенных в 7 федеральных округах российской Федерации, Европе, Азии и Северной Америке .

jock
Download Presentation

Технологические вопросы развития системы DNS национальных российских доменов

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Технологические вопросы развития системы DNS национальных российских доменов Elena Voronina

  2. DNSNetwork: RIPNDNSNetwork: RIPNDNS network – это распределенная сеть DNS узлов, размещенных в 7 федеральных округах российской Федерации, Европе, Азии и Северной Америке . Резервирование оборудования и сетевых подключений, оптимальная связанность RIPNDNS с российскими и зарубежными ISPs, 24x7 техническая поддержка дает возможность безотказного DNS сервиса с минимальными временем ответа и 100% готовностью. Техническая поддержка для ccTLD Для .SU домена начиная с 1993 Для .RU домена начиная с 1995 Для .РФ домена начиная с 2010 Ватутинки

  3. RIPNDNS Distributed Network Topology В состав RIPNDNS сети входят 15 DNS узловразмещенныхв 7 федеральных округах РФ, в Европе, Азии, Северной Америке Ватутинки

  4. RIPNDNS Architecture Ватутинки

  5. Соответствие RFC RFC 5966: All the authoritative servers support the function via TCP; the network equipment is adjusted to the full-fledged support of DNS functioning via TCP. RFC 3901, 4472: Authoritative servers support both IPv4 and IPv6 addressing and use RFC recommendations to avoid DNS address space and hierarchy defragmentation. RFC 2182: The DNS servers are geographically distributed. They are located in different hosting facilities and connected to different providers. The location policy provides for installing the DNS servers in maximum possible immediate proximity to end-users. This conforms with RFC 2182. RFC 2671, 3226: The DNS servers and network equipment support the size of query/response up to 4096 bit. RFC 4033,4034,4035,5155: The DNSSEC. All other RFCs: Employment of the DNS server reference implementation (BIND) as the master platform and use of NSD as the standby one allows asserting the requirements set forth in these RFC are complied with. Ватутинки

  6. Статистика • Сервера статистики, входящие в состав каждого узла собирают статистику запросов и пересылают в центральный узел для последующей обработки. • Формируются следующие ежедневные отчеты: • Агрегированная статистика запросов • Географическое распределение запросов (Для каждого узла) • Статистика ошибочных запросов Ватутинки

  7. Статистика Ватутинки

  8. Статистика Ватутинки

  9. Узел RIPNDNS Ватутинки

  10. Гарантии качества (Service accessibility levels) DNS service availability - 100% DNS name server availability – 99,99% UDP local resolution RTT =<5 ms TCP local resolution RTT =<5 ms UDP remote resolution RTT =<300 ms for at least 95% of the queries TCP remote resolution RTT =<500 ms for at least 95% of the queries DNS update time =< 60 min Server changeover time, once one of two node servers fails – 40 sec Дополнительно к BIND, ПО NSD software установлено на резервном сервере. Это позволит поднять альтернативную DNS систему в течение 24 часов. Ватутинки

  11. DNSSEC-related DNS infrastructure Ватутинки

  12. Информационная безопасность • В рамках стандартного подхода к информационной безопасности рассматриваются 3 основных аспекта данных : • Конфиденциальность (не является требованием DNS) • Доступность (усиление инфраструктуры) • Целостность • Целью технологии DNSSEC является защита целостности данных, а точнее обеспечение возможности проверки целостности данных. • DNSSEC ( Domain Name System Security Extensions) — набор спецификаций IETF, обеспечивающих безопасность информации, предоставляемой средствами DNS в IP-сетях. • В основе действия протокола DNSSEC лежит метод цифровой подписи ответов на запрос DNS. Для этого было создано несколько типов DNS записей, в их числе RRSIG, DNSKEY, DS и NSEC. Вся информация о защищенном домене в системе DNSSEC определенным образом зашифрована, поэтому может быть изменена только при помощи закрытого ключа шифрования Ватутинки

  13. Обзор международной практики. Согласно отчета ICANN от 14.06 2012 подписано 87 TLDs из 313. 313 TLDs in the root zone in total 97 TLDs are signed; 87 TLDs have trust anchors published as DS records in the root zone; 4 TLDs have trust anchors published in the ISC DLV Repository Ватутинки

  14. DNSSEC для.SU Алгоритмы и параметры . 1. Алгоритмы для формирования хэша ключа, необходимого для создания записи DS TLD Система регистрации предоставляет возможность владельцам доменов использовать следующие алгоритмы: SHA1 SHA2 ГОСТ Р 34.11-94 2. Алгоритмы для подписания записей зон TLDs. RSASHA256 длина ключа 2048 бит для KSK и 1024бит для ZSK. 3.Параметры Authenticated denial of existence For authentication of denial of existence the NSEC3 OPT-OUT mechanism is used [RFC 5155]. Zone signing key roll-over Pre-publicationscheme will be applied for ZSK [RFC 4641]. Key signing key roll-over Double-signatureschemewill be applied for KSK [RFC 4641]. Signature life-time and re-signing frequency DNSKEY RR set signature life-time is 20 days. Other RR sets signatures life-time is 45 days. Re-signing frequency is four times a day. Resource records time-to-live TTL of DNSKEY, DS and their corresponding RRSIG is set to 345600 (4 days). TTL of NSEC3 and the corresponding RRSIG is set to 3600 (1 hour). Ватутинки

  15. Внедрение IPv6 • Базовая спецификация этого протокола была опубликована 12 лет назад (RFC2460, http://datatracker.ietf.org/doc/rfc2460/), а работа над его созданием началась в начале девяностых годах прошлого столетия. • Повод для начала работ - проблема нехватки IP-адресного пространства • IPv6 (Internet Protocol version 6) — новая версия протоколаIP, призванная решить проблемы, с которыми столкнулась предыдущая версия (IPv4) при её использовании в интернете, за счёт использования длины адреса 128 бит вместо 32. • Cамое очевидное преимущество IPv6 является существенно увеличенный размер адресного пространства. Размер адреса IPv6 составляет 128 бит, в четыре раза больше, чем у его предшественника, что экспоненциально увеличивает количество адресуемых устройств/ • 2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d • 192.192.192.192 • 3 февраля 2011, в Майами состоялась торжественная церемония вручения региональным Интернет-регистраторам пяти последних свободных блоков, состоящих из 16 млн. IPv4-адресов. Так был окончательно исчерпан четырехмиллиардный резерв уникальных идентификаторов, которым обладал протокол Интернета версии 4. • В истории всемирной Сети завершилась целая эпоха. Ватутинки

  16. 6 июня в Санкт-Петербурге прошел «Российский день IPv6», приуроченный ко Всемирному запуску IPv6 - World IPv6 Launch. Мероприятие было организовано Московским Internet Exchange (MSK-IX) и Техническим центром Интернет (ТЦИ) при поддержке Координационного центра национального домена сети Интернет и Министерства связи и массовых коммуникаций Российской Федерации. 202 участника 407 уникальных зрителей видеотрансляции Ватутинки

  17. Участникам точек обмена IX.RU доступны v6 адреса Route Serverа доступны по v6 DNS серверадоступны по v6 Web ресурсы доступны по v6 Почтовые ресурсы доступны по v6 NTP сервера доступны по v6 Круглосуточный мониторинг доступности по v6 … Ватутинки

  18. От IPv4 к IPv6 • В Москве для IX.RU совместно с Техническим Центром Интернет запущен публичный сервис 6to4 (RFC 3056 и 3068) • Доступен по адресу 192.88.99.1 (anycast) • Особенности: • Прост в настройке • Поддерживаются только публичные адреса v4. (не поддерживается NAT) Ватутинки

  19. Старт 6to4:Первые данные Ватутинки

  20. MSK-IXIPV6 MSK-IXIPv6 трафик Уже ~5Gbit/sec IPv6 peers 123 настроено 141 участник использует IPV6 Наблюдается рост IPv6 в региональных проектах(например на NSK-IX в два раза выросло количество пиров за последний год) Ватутинки

  21. DNS-сеть IPV6 Ватутинки

  22. DNS-сеть IPV6 Ватутинки

  23. IPv6 шагает по планете Global IPv6 Deployment Progress Report Top Level Domains with IPv6 support Root Zone Downloaded: Fri Aug 10 00:30:06 2012 Root Zone Processed: Fri Aug 10 05:21:28 2012 Top Level Domains (TLDs): 315 TLDs with IPv6 nameservers: 268 Percentage of TLDs with IPv6 nameservers: 85.1% Networks Running IPv6 We can measure the percentage of networks running IPv6 by comparing the set of ASes in the IPv6 routing table to those in the combined set of IPv4 and IPv6. IPv4 and IPv6 RIBs Last Parsed: Fri Aug 10 01:08:44 PDT 2012 IPv4 ASes: 41940 IPv6 ASes: 6013 ASes using only IPv4: 36055 ASes using only IPv6: 128 ASes using IPv4 and IPv6: 5885 ASes using IPv4 or IPv6: 42068 Percentage of ASes (IPv4 or IPv6) running IPv6: 14.3% Top Websites Running IPv6 Alexa provides an approximate list of the most popular sites on the web. Alexa 1M raw domains: 1000000 Alexa 1M raw with a direct IPv4 address: 942269 Alexa 1M raw with a direct IPv6 address: 30237 (top 100) facebook.com 2a03:2880:10:1f02:face:b00c:0:25 youm7.com 2400:cb00:2048:1::8d65:7df5 youtube.com 2001:4860:8005::be google.ca 2001:4860:4001:802::1018 blogspot.com 2001:4860:8005::bf google.com.mx 2001:4860:4001:803::101f google.de 2001:4860:4001:801::1017 blogspot.in 2001:4860:8005::bf google.co.id 2001:4860:4001:801::1018 google.co.jp 2001:4860:8005::5e google.com.sa 2001:4860:4007:801::1017 google.nl 2001:4860:8005::5e Ватутинки

  24. IPv6 шагает по планете • На всех точках обмена трафиком IX.RU не только реализована адресация IPv6, но и активно растёт количество участников • По данным ассоциации Euro-IX внедрение IPv6 на мировых точках обмена трафиком достигает практически 100%* • На всех узлах DNS-сети используется IPV6-адресация • Реализована возможность внесения в доменные зоны NS , использующих IPV6-адреса • Однако, интернет-операторы пока не спешат использовать IPV6-адресадля предоставления сервиса: проблемы безопасности, биллинга, оборудования ,СОРМ, DPI и пр. • * MSK-IX является участником ассоциации Euro-IX (включает в себя свыше 80 точек обмена трафиком по всему миру) Ватутинки

  25. Question… Ватутинки

More Related