خدمة الامتدادات الأمنية لنظام اسم النطاق DNSSEC

طباعة ودية، بدف والبريد الإلكتروني

تقوم أفرينيك بإدارة ونشر بيانات منطقة Reverse DNS (RDNS) لمساحة IP التي تخصصها أو تعيّنها للأعضاء.

تشمل المناطق (Zones)

IPv4

  • 41.in-addr.arpa.
  • 196.in-addr.arpa.
  • 197.in-addr.arpa.
  • 102.in-addr.arpa.
  • 105.in-addr.arpa.
  • 154.in-addr.arpa.

IPv6

  • .arpa.ip0.c.2
  • 3.4.1.0.0.2.arpa.ip6.
  • 2.4.1.0.0.2.arpa.ip6.
الهدف

نشر الامتدادات الأمنية لنظام اسم النطاق في أفرينيك يهدف إلى

  • التوقيع على هذه المناطق (Sign these zones)
  • نشر سجل DS في المناطق الأصل (parent zones)
  • قبول سجلات DS من أعضائنا

إنه يتيح للمجتمع التحقق من صحة بيانات DNS الموثوقة من مناطق RDNS التابعة لأفرينيك والأعضاء لنشر سجلات DS لبناء سلسلة الثقة لمناطق RDNS الخاصة بهم.

نشر DNSSEC هو مشروع منسق مع NRO حيث تحتاج كتل ERX إلى إجراءات منسقة. يجب إرسال جميع الاتصالات المتعلقة بهذه المشاريع إلى dnssec-ops [at] afrinic [dot] net

لقد اعتمدنا خطة للنشر التدريجي بعناية لتفعيل DNSSEC في أفرينيك 

خطة التطبيق

بمجرد الانتهاء من مرحلة الاختبار ، ستقوم أفرينيك بدمج الموقع Signer في نظام التزويد في 3 مراحل. في هذه المرحلة ، يواصل نظام التزويد العمل كما هو. عند إنشاء مناطق جديدة ، يتم تمرير نسخ من المناطق غير الموقعة unsigned zones الموزعة إلى الموقع Signer لإنتاج منطقة موقعة signed zone

مراحل اختبار التطبيق

  • تثبيت الأدوات (Opendnssec ، NSD ، BIND ، DSC ، إلخ.)
  • قم بإنشاء مفاتيح للمناطق - KSK RSA 2048 / ZSK RSA 1024
  • الحصول على منطقة غير موقعة Unsigned zone في OpenDNSSEC وتوقيعها
  • نشر المناطق الموقعة signed zones تحت خوادم DNS المحلية
  • الاستعلام عن أحجام الاستجابة وتحليلها عبر UDP و TCP
  • التحقق باستخدام مفاتيح موثوق بها
  • تمرير مفاتيح الاختبار: ZSK و KSK
  • عمليات التمرير الرئيسية المجدولة وتغيير مفتاح الطوارئ
  • الاستنتاجات والدروس المستفادة

المرحلة 1 - المناطق غير الموقعة المنشورة

يتم فحص المنطقة الموقعة (signed zone) وتحميلها على خادم DNS عام. يتم إجراء جميع الاختبارات حول خادم DNS العام. سوف تقوم أفرينيك بتقييم عملية توقيع الموقع (signer) وتحديث نظام التزويد 

  • نظام التزويد الجديد: إنشاء مناطق موقعة signed zones متسقة
  • التحقق من التناسق لمحتوى المناطق(zones content) : استعلامات غير DNSSEC على حد سواء (غير موقعة وموقعة unsigned and signed)
  • استعلامات DNSSEC إلى المناطق الموقعة (signed zones)
  • الاستنتاجات والدروس المستفادة

المرحلة 2 - نشر المناطق الموقعة

في المرحلة السابقة الناجحة ، ستكون الخطوة التالية هي بدء نشر المناطق الموقعة (signed zones) بدلاً من المناطق غير الموقعة (unsigned zones). في هذه المرحلة ، سيبدأ نظام توفير DNS العكسي في نشر المناطق الموقعة (signed zones) بإخطار مناسب وخطة استرجاع. يتم توزيع المناطق (zones ) التي ينتجها الموقّع (signer) فقط على خوادم NS.

الاختبار

  • Zones transfer master/slaves consistency
  • Non dnssec queries on all NS
  • استعلامات DNSsec على جميع NS
  • الاستنتاجات والدروس المستفادة

خطة التراجع ( الخطة الاحتياطية)

الاستعادة من المرحلة حيث تقوم أفرينيك بنشر المناطق الموقعة (signed zones) بدون DS في المناطق الأصل (parent zones) كما يلي:

  1. نافذة لعمل خطة التراجع مفتوحة (نافذة صيانة).
  2. سيتم إرسال إشعار الصيانة الوشيكة ، مع وصف فني للتغيير ، إلى المجتمع.
  3. أثناء نافذة الصيانة ، ستبدأ أفرينيك في خدمة المناطق غير الموقعة (unsigned zones) ، وتجريدها من جميع معلومات DNSSEC. وزيادة رقم المسلسل الخدمي، من أجل إطلاق توزيع المنطقة غير الموقعة (unsigned zone).
  4. يتم إرسال تقرير تقني مفصل عن الظروف التي أدت إلى التراجع ، وتنفيذ الاستعادة نفسها إلى المجتمع.

المرحلة 3 - نشر DS في المناطق الأم

مع اكتمال نشر المناطق الموقعة (signed zones) ، لم يتم تأمين مناطق AFRINIC RDNS بعد DNSSEC. يجب نشر سجلات DS الخاصة بـ KSK في المناطق الأصل (parent zones). سيتم إنشاء سجلات DS وإرسالها إلى IANA من خلال نظام إدارة RDNS الخاص بهم. 

سيتم تكوين التوفير لمعالجة سجلات DS للنطاقات الفرعية. لا يتم تعديل الموقع والمنطقة النشر. مع اختبار نظام DNSSEC كامل وإطلاقه مع الإجراءات المعمول بها للعمل وفقًا لمعايير DPS ، سينتقل المشروع إلى عمليات AFRINIC العادية. ستكون المراقبة وقياس الأداء من الأنشطة المستمرة.

اختبارات

  • الاستعلام عن سجل DS على كافة خوادم ip6.arpa و in-rd.arpa
  • التحقق من صحة DNSSEC للجهات الإقليمية الموقعة (signed RRs) في المناطق الموقعة (signed zones) من أفرينيك مع مفتاح الجذر كمفتاح موثوق
  • الاستنتاجات والدروس المستفادة

خطة التراجع ( الخطة الاحتياطية)

الاستعادة من المرحلة حيث تقوم أفرينيك بنشر المناطق الموقعة (signed zones) مع DS في المناطق الأصل (parent zones)كما يلي:

  1. نافذة لعمل خطة التراجع مفتوحة (نافذة صيانة).
  2. سيتم إرسال إشعار بالظروف والإجراءات التصحيحية المقصودة ، مع التفاصيل الفنية ، إلى المجتمع.
  3. ستقوم AfriNIC بتنفيذ عملية ترحيل KSK طارئة لإزالة سجلات DS من المناطق الأصل (parent zones).
  4. سيستمر التواصل الجماهيري مع المجتمع ، بهدف ضمان توصيل أخبار الحالة والإجراءات المتخذة إلى أكبر عدد ممكن من الجمهور.
  5. بعد تأخير النشر المناسب ، كما هو محدد بواسطة DPS ، ستنفذ أفرينيك عملية انتقال إلى مناطق غير موقعة (unsigned zones) كما هو موضح في المرحلة التي تنشر فيها أفرينيك مناطق موقعة (signed zones) بدون DS في المناطق الأصل (parent zones).

أعضاء سجلات نشر DS

اختبارات

  • DS processing and DS RRs signing
  • التحقق من صحة سلسلة الثقة من الجذر إلى المنطقة الفرعية (مع نشر سجلات DS)
  • الاستنتاجات والدروس المستفادة 

بيان ممارسة DNSSEC - DPS

معّلمات توقيع المنطقة (Zone) - أطوال المفاتيح والخوارزميات

  • مفتاح توقيع المفتاح Key Signing Key: نستخدم طول مفتاح يبلغ 2048 بت مع RSA كخوارزمية توليد.
  • مفتاح توقيع المنطقة: نستخدم طول مفتاح 1024 بت مع RSA كخوارزمية توليد.
  • رفض مصدق للوجود: سيتم توفير إنكار مصدق للوجود من خلال استخدام سجلات NSEC كما هو محدد في RFC 4034.
  • تنسيق التوقيع: يتم إنشاء تواقيعنا باستخدام تجزئة SHA2-256 باستخدام RSA.
  • تجديد مفتاح توقيع المنطقة: سنقوم بتدوير ZSK على أساس شهري مع مخطط النشر المسبق كما هو موضح في RFC 4641 ، القسم 4.2.1.1.
  • تجديد مفتاح توقيع المفتاح: سنقوم بتدوير KSK على أساس سنوي مع مخطط التوقيع المزدوج كما هو موضح في RFC 4641 ، القسم 4.2.1.2.
  • مدة التوقيع وإعادة التوقيع: نعيد التوقيع على منطقتنا بمجرد إنشاء منطقة جديدة بعمر توقيع يبلغ 15 يومًا.

سجلات الموارد مدة البقاء - نوع السجل TTL

  • DNSKEY: يساوي TTL المستخدم لسجل SOA
  • NSEC: يساوي الحقل الأدنى لسجل SOA
  • RRSIG: يساوي أدنى مدة بقاء من مجموعة السجلات المغطاة
  • DS: يساوي TTL المستخدم لسجل NS

تفويضات DNSSEC

إجراءات طلب تفويضات DNSSEC (التاريخ: أبريل 2012 - الإصدار: 1.0)

يصف هذا القسم كيفية طلب تفويضات DNSSEC. إنه بالإضافة إلى الإجراء الحالي لطلب تفويض عكسي.

يرجى ملاحظة أنه حتى إشعار آخر من أفرينيك ، لن تكون سجلات DS مرئية في DNS. تابع الأخبار القادمة منا.

1 - كائن DOMAIN

يمكنك طلب تفويض عكسي عن طريق إرسال كائنات المجال عبر auto-dbm (بريد إلكتروني) أو عبر MyAFRINIC ، وهي الطريقة الموصى بها [1]. لن تعني DNSSEC أي تغيير في آليات التفويض الحالية. لتمكين تفويض DNSSEC ، يشتمل كائن المجال الآن على سمة "ds-rdata:".

domain: [mandatory] [single] [primary/look-up key]
descr: [mandatory] [multiple] [ ]
org: [optional] [multiple] [inverse key]
admin-c: [mandatory] [multiple] [inverse key]
tech-c: [mandatory] [multiple] [inverse key]
zone-c: [mandatory] [multiple] [inverse key]
nserver: [optional] [multiple] [inverse key]
ds-rdata: [optional] [multiple] [inverse key]
sub-dom: [optional] [multiple] [inverse key]
dom-net: [optional] [multiple] [ ]
remarks: [optional] [multiple] [ ]
notify: [optional] [multiple] [inverse key]
mnt-by: [optional] [multiple] [inverse key]
mnt-lower: [optional] [multiple] [inverse key]
refer: [optional] [single] [ ]
changed: [mandatory] [multiple] [ ]
source: [mandatory] [single] [ ]

 2- The "ds-rdata:" Attribute

في DNSSEC ، يتم إنشاء سجل مورد موقع التفويض (DS) من سجل موارد DNSKEY من خلال مقارنته بالمفتاح العام. يقوم الوالد بنشر وتوقيع سجل مورد DS. تحتوي السمة "ds-rdata:" على RDATA لسجلات موارد DS المتعلقة بالمجال (كما هو موضح في السمة "domain:").

Ds-rdata: 55555 8 2 CABC3A8AF15E93741BF45096DB1D3451D93B2F541166EA44F2D4781753328CB8

 3- تفويضات الشيكات

عند إرسال التحديث الخاص بك من خلال MyAFRINIC ، سيقوم محرك التحديث بإجراء عدد من الاختبارات كما هو موضح في الصورة أدناه.

التحقق من صحة dnssec FlowchartDSValidation

  • احتفظ بجميع عمليات التحقق الافتراضية التي يقوم بها MyAfrinic في التفويض العكسي
  • يتم إجراء التدقيق اللغوي للتأكد من أن DS الذي تم إدخاله بالتنسيق الصحيح:
  • keytag: {0-65535}; Algorithm:{3|5|6|7|8|10|12|253|254}; Digest type:{1-3}; Digest:{alphanumeric}
  • يعتمد طول الملخص على نوع الملخص كما يلي: النوع 1 (Sha1): 160 بت (40 حرفًا) / النوع 2 (Sha256) أو 3 (gost): 256 بت (64 حرفًا)
  • تحقق من وجود مفتاح في المنطقة الفرعية child zone مع وجود علامة مفتاح في سجل DS
  • تحقق مما إذا كانت خوارزمية المفتاح تطابق خوارزمية المفتاح في سمات DS
  • تحقق مما إذا كانت الخلاصة تطابق المفتاح مع العلامة المقابلة في المنطقة الفرعية
  • تحقق مما إذا كان هناك RRSIG يغطي DNSKEY المطابق لـ DS المقدم وصحيح.

[1] لا يوجد حاليًا أي فحص والتحقق من صحة DS مقدم من خلال dbm تلقائي


خطة التواصل مع أفرينيك

يعد التواصل الفعال أمرًا ضروريًا لنجاح هذا الجهد ، حيث أن عملية الانتقال التي تجري لها تأثير محتمل على خدمات AFRINIC RDNS. التواصل مع أعضاء أفرينيك والمجتمع ككل مهم. تتيح استراتيجية النشر المرحلي الوقت للتأثير في هذه الخطوات الإضافية على الفريق الذي ينفذها. من أجل اتخاذ القرارات الصحيحة ، من الضروري وجود القنوات المناسبة لتشجيع هذا الاتصال.

سيتم نشر الإعلانات والإصدارات والمعلومات الأخرى ذات الصلة على موقع أفرينيك. سيتم إرسال تحديثات الحالة الفنية الدورية إلى قوائم بريدية مختلفة لإبقاء المجتمعات الفنية والتشغيلية على علم بالتطورات.

عنوان البريد الإلكتروني dnssec-ops [في] AFRINIC.net سيسمح لأي طرف مهتم بالتواصل مباشرة مع فريق المشروع. سيتم استخدام قائمة بريدية مناقشة dnssec [في] afrinic.net لمناقشة نشر DNSSEC الخاص بـ AFRINIC وخدماتها 

شرائح ورشة العمل

  1. DNSSEC AFRINIC
  2. DNSSEC-Tutorial-Crypto-Defs
  3. Introduction-DNSSEC
  4. Short-Cryptography-Overview

 

 

آخر تعديل في -
التاريخ والوقت في موريشيوس -