wservices.ru - регистрация и анализ доменов Главная страница Помощь Служба поддержки Карта сайта Добавить в закладки
  IP Lookup | GEO IP | DNSBL | DNS Watch | Whois | Reverse IP | Whats | Hoster | Whois History | RIPN

ICANN 74: TechDay и обсуждение протокола DNSSEC. Whois-сервисы - wservices.ru. Проверка и регистрация доменов
ICANN 74: TechDay и обсуждение протокола DNSSEC

13 июня стартовала конференция ICANN 74. Впервые с 2020 года она проходит в гибридном формате: в Гааге (Нидерланды) и в виртуальном пространстве. Эксперты Координационного центра доменов .RU/.РФ принимают участие в конференции и в том, и в другом формате.

Одной из главных тем первого дня ICANN 74 стала безопасность и набор расширений протокола DNSSEC. Участники семинара, представлявшие регистратуры доменов Канады, Австралии, Швеции, Японии, а также интернет-компании и общественные организации, поделились опытом внедрения различных решений для совершенствования работы DNSSEC. Так, Йохан Стенстам (Swedish Internet Foundation, регистратура .SE) рассказал о сбое в работе шведской системы HSM (Hardware Secure Module), который привел к публикации нескольких тысяч невалидных DNSSEC-подписей в зоне .SE. В силу того, что DNSSEC был внедрен в зоне .SE около 10 лет назад, механизм проверки валидности подписей перед их публикацией реализован не был – в связи с высокой, по тем временам, ресурсозатратности. А далее шведские коллеги руководствовались принципом "не трогай то, что работает", и необходимых обновлений произведено не было. Корректную работу удалось восстановить лишь при помощи перезагрузки всей системы HSM, состоящей из 2 синхронизированных модулей. Во избежание повтора инцидента был полностью переписан стэк, отвечающий за генерацию подписей DNSSEC, после чего внедрена процедура их валидации перед публикацией.

Дэн Йорк (ISOC) представил статистику применения DNSSEC в мире, а также рассказал о проекте интерактивной карты применения DNSSEC. Эрик Остервейл (Университет Джорджа Мейсона) проинформировал о планах развития этой карты (Университет Джорджа Мейсона продолжит работы над ней в 2022 году), а также рассказал об использовании технологии DANE (DNS-based Authentication of Named Entities) в качестве первого шага к глобальной и масштабируемой системе обеспечения безопасности сетевых объектов. Он рассказал об исследованиях в области обеспечения безопасности при помощи технологии DANE на уровне интернет объектов, таких как файл, фотография, сообщение, письмо и т.д., а также представил экспериментальный проект GMU – систему защищенной электронной почты, в тестировании которой пригласил поучаствовать всех желающих.

Продолжился семинар выступлением Стива Крокера (Shinkuro, Inc), который выступил с обзором 8-го эпизода тематической сессии, посвященного двум проблемам в спецификации DNSSEC протокола: автоматизации обновления DS-записей (Delegation Signer) и процедуры «мульти-подписания» (Multi-Signer) ключей при использовании нескольких DNS-провайдеров. Он рассказал об уже проделанной работе, о проектах и разработках в соответствующих областях.

В заключение участники семинара в рамках 8-го эпизода обсудили сценарии обновления DS-записей, метод автоматизации DNSSEC Bootstrapping, а также проекты Multi-Signer, которые реализуются несколькими регистратурами. Большой интерес сообщества вызвало выступление Кима Дэвиса (ICANN/PTI), которое было посвящено системе управления корневой зоной Root Zone Management System (RZMS), не менявшейся последние 20 лет. Очевидно, что система нуждается в доработке, и Ким Дэвис рассказал о нынешних возможностях системы и ведущихся работах для ее улучшения в будущем. Например, в данный момент ведется разработка изменений в модели полномочий в личном кабинете системы; рассматриваются изменения в подходе к техническим проверкам, в частности переход от модели "прошел проверку/не прошел" к модели "прошел проверку/не прошел/получил предупреждение"; планируется внедрение мультифакторной авторизации; ведется разработка программного интерфейса API. Кроме того,  докладчик поделился возможными идеями будущего развития системы, такими как создание регламента пересмотра поддерживаемых крипто-алгоритмов и внедрение системы мониторинг ресурсных записей дочерних зон.

В первый день конференции традиционно прошел TechDay, на котором участники обсудили технические аспекты работы регистратур, поделились новостями и итогами проведенных исследований, а также представили свои проекты и инициативы. Открыла семинар Бриони Хилл (Nominet, регистратура .UK) – она представила проект Domain Watch, направленный на выявление регистраций фишинговых доменов и их последующую блокировку. Хуго Салгадо (Nic.CL, регистратура .CL) рассказал об опыте внедрения в зону .CL поддержки новой ресурсной записи ZONEMD, содержащей криптографический дайджест. А Мориц Мюллер (SIDN Labs, регистратура .NL) сделал обзор гетерогенной и устойчивой к сбоям инфраструктуры DNS домена .NL и рассказал об ошибке в работе резолвера Google, найденной экспертами SIDN Labs в январе и устраненной специалистами Google в феврале этого года.

Исследователь ICANN Рой Арендс рассказал о проведенном сканировании использования резолверами имен и IP-адресов серверов корневой зоны, которое позволило выявить ряд ошибок в ответах на DNS-запрос. Петер Робберехтс (DNS Belgium, регистратура .BE) выступил с докладом об использовании машинного обучения для идентификации вредоносных доменов в момент регистрации. Мэтс&mnsp;Дуфберг (Swedish Internet Foundation, регистратура .SE) рассказал о новых возможностях Zonemaster – средства поиска и проверки параметров «здоровья» DNS заданной зоны, например, содержимого ответов NS-серверов, параметры DNSSEC, корректности ресурсных записей и т.д.

В заключительной части TechDay выступил Бретт Карр (Nominet, регистратура .UK), который поделился опытом компании по приему на поддержку ключевых сервисов реестров действующих доменов верхнего уровня от других технических операторов и их передаче сторонним техническим операторам.

Завершил TechDay Хорди Ипаррагирре (EURid, регистратура .EU). Он рассказал об инициативе EURid, направленной на обмен данными о злоупотреблениях и противодействию DNS-абьюзу. Несмотря на молодость проекта, к нему уже присоединились регистратуры европейских доменов .BE, .DK и .EU. Участники создали децентрализованную инфраструктуру для обмена информацией и разработали соглашение о сотрудничестве с учетом действующих требований GDPR.

ICANN 74 продолжается – следите за нашими публикациями!

16.06.2022


 

© 2007-2024, wservices.ru