Новая защита Интернета Александр Венедюхин, «Доменные имена»
IP: IPv4 -> IPv6 Домены, DNS и IP в новом Интернете Очень много адресов: 128 бит Уникальный адрес - каждому электронному устройству...а каждому не электронному - чип с адресом (RFID++) Много адресов - улучшенная маршрутизация Мобильность: адреса могут мигрировать между сетями
IP: IPv4 -> IPv6 Домены, DNS и IP в новом Интернете Упрощается автоматическая идентификация: Нет NAT-ов, «фиксированный» адрес для доступа к Сети
Домены, DNS и IP в новом Интернете IP: безопасность маршрутизации Приятный факт: пока что злоупотребления крайне редки - сообщество операторов в целом ещё здорово Нашумевший случай : «отключение» сервисов Google (youtube.com) Теоретически, можно незаметно «увести» трафик сети Alex Pilosov, Tony Kapela (DEFCON 2008)
Домены, DNS и IP в новом Интернете IP: безопасность маршрутизации Новинки с грифом «что делать»: Доверять только проверенным «Подписи на префиксах» сетей, контроль допустимых анонсов (RPKI, модернизация BGP и т.д.)
Домены, DNS и IP в новом Интернете DNS: DNSSEC Летопись уязвимостей: с 90-х годов 20 века...но мало кто беспокоился DNSSEC - давняя разработка Внедряют DNSSEC только сейчас, в конце 10-х годов 21 века DNSSEC: Удостоверение адресной информации, криптография с открытым ключом.
DNSSEC в корне Администратор TLD ICANN обработка заявок, подготовка данных для корневой зоны Минторг США утверждение изменений VeriSign - фактическая реализация изменений раздача корневой зоны Подписывание зоны данные для DNS Домены, DNS и IP в новом Интернете подготовленные данные утверждённые данные Корневые серверы DNS Источники: Dave Knight, ICANN
Домены, DNS и IP в новом Интернете DNS: DNSSEC Источник: Dave Knight (ICANN), NANOG 48 Austin, TX February 2010 Ключи: KSK (подписывает «ключ зоны» ZSK) - в распоряжении ICANN (IANA), но также значение ключа контролируется Минторгом США. ZSK (подписывает зону) - в распоряжении VeriSign KSK - «даёт мандат» на фактическое управление зоной (ZSK)
Домены, DNS и IP в новом Интернете Просто домены Источник: Dave Knight (ICANN), NANOG 48 Austin, TX February 2010 Новые gTLD: Плоское адресное пространство; Маркетинг и брендинг; Других вариантов развития - нет.
Домены, DNS и IP в новом Интернете Новый Интернет Источник: Dave Knight (ICANN), NANOG 48 Austin, TX February 2010 Криптография: Строгая идентификация; Нет слепого доверия. Основной «рубильник»: У держателей ключей от Распределения «чисел» AS (IP-маршрутизация); 2. DNS; 3. и... «десктопных ОС» (DNSSEC в Win?).
Домены, DNS и IP в новом Интернете Новый Интернет Источник: Dave Knight (ICANN), NANOG 48 Austin, TX February 2010 Политики: Ресурсы распределяются с ЭЦП:...и домены;...и IP-адреса. Всем по авторизованному сертификату (включая ISP и хостеров). Результат для пользователя - «Интернет - по паспорту».
Домены, DNS и IP в новом Интернете Что читать: «Доменные имена» (в том числе, осень-2010) Статьи по теме: Статус DNSSEC: Домены:
Спасибо за внимание. Вопросы? Домены, DNS и IP в новом Интернете