Download
1 / 13
130 likes | 305 Views
Новая защита Интернета. Александр Венедюхин, «Доменные имена». IP: IPv4 -> IPv6. Очень много адресов: 128 бит Уникальный адрес - каждому электронному устройству ...а каждому не электронному - чип с адресом (RFID++) Много адресов - улучшенная маршрутизация
E N D
Новая защита Интернета Александр Венедюхин, «Доменные имена»
IP: IPv4 -> IPv6 Очень много адресов: 128 бит Уникальный адрес - каждому электронному устройству ...а каждому не электронному - чип с адресом (RFID++) Много адресов - улучшенная маршрутизация Мобильность: адреса могут мигрировать между сетями Домены, DNS и IP в новом Интернете
IP: IPv4 -> IPv6 Упрощается автоматическая идентификация: Нет NAT-ов, «фиксированный» адрес для доступа к Сети Домены, DNS и IP в новом Интернете
IP: безопасность маршрутизации Нашумевший случай: «отключение» сервисов Google (youtube.com) Теоретически, можно незаметно «увести» трафик сети Alex Pilosov, Tony Kapela (DEFCON 2008) Приятный факт: пока что злоупотребления крайне редки - сообщество операторов в целом ещё здорово Домены, DNS и IP в новом Интернете
IP: безопасность маршрутизации Новинки с грифом «что делать»: Доверять только проверенным «Подписи на префиксах» сетей, контроль допустимых анонсов (RPKI, модернизация BGP и т.д.) Домены, DNS и IP в новом Интернете
DNS: DNSSEC Летопись уязвимостей: с 90-х годов 20 века ...но мало кто беспокоился DNSSEC - давняя разработка Внедряют DNSSEC только сейчас, в конце 10-х годов 21 века DNSSEC: Удостоверение адресной информации, криптография с открытым ключом. Домены, DNS и IP в новом Интернете
DNSSEC в корне Корневые серверы DNS подготовленные данные данные для DNS ICANN обработка заявок, подготовка данных для корневой зоны Минторг США утверждение изменений Администратор TLD утверждённые данные VeriSign - фактическая реализация изменений раздача корневой зоны Подписывание зоны Домены, DNS и IP в новом Интернете Источники: www.root-dnssec.org, Dave Knight, ICANN
DNS: DNSSEC Ключи: KSK (подписывает «ключ зоны» ZSK) - в распоряжении ICANN (IANA), но также значение ключа контролируется Минторгом США. ZSK (подписывает зону) - в распоряжении VeriSign KSK - «даёт мандат» на фактическое управление зоной (ZSK) Домены, DNS и IP в новом Интернете Источник: Dave Knight (ICANN), NANOG 48 Austin, TX February 2010
Просто домены Новые gTLD: Плоское адресное пространство; Маркетинг и брендинг; Других вариантов развития - нет. Домены, DNS и IP в новом Интернете Источник: Dave Knight (ICANN), NANOG 48 Austin, TX February 2010
Новый Интернет Криптография: Строгая идентификация; Нет слепого доверия. Основной «рубильник»: У держателей ключей от... 1. Распределения «чисел» AS (IP-маршрутизация); 2. DNS; 3. и... «десктопных ОС» (DNSSEC в Win?). Домены, DNS и IP в новом Интернете Источник: Dave Knight (ICANN), NANOG 48 Austin, TX February 2010
Новый Интернет Политики: Ресурсы распределяются с ЭЦП: ...и домены; ...и IP-адреса. Всем по авторизованному сертификату (включая ISP и хостеров). Результат для пользователя - «Интернет - по паспорту». Домены, DNS и IP в новом Интернете Источник: Dave Knight (ICANN), NANOG 48 Austin, TX February 2010
Что читать: «Доменные имена» (в том числе, осень-2010) Статьи по теме: http://www.ripn.net:8080/articles/ Статус DNSSEC: http://www.root-dnssec.org/ Домены: http://info.nic.ru/ Домены, DNS и IP в новом Интернете
Спасибо за внимание.Вопросы? Домены, DNS и IP в новом Интернете
