Новая защита Интернета Александр Венедюхин, «Доменные имена» IP: IPv4 -> IPv6 Очень много адресов: 128 бит Уникальный адрес - каждому электронному устройству ...а каждому не электронному - чип с адресом (RFID++) Много адресов - улучшенная маршрутизация Мобильность: адреса могут мигрировать между сетями Домены, DNS и IP в новом Интернете IP: IPv4 -> IPv6 Упрощается автоматическая идентификация: Нет NAT-ов, «фиксированный» адрес для доступа к Сети Домены, DNS и IP в новом Интернете IP: безопасность маршрутизации Нашумевший случай: «отключение» сервисов Google (youtube.com) Приятный факт: Теоретически, можно незаметно «увести» трафик сети Alex Pilosov, Tony Kapela (DEFCON 2008) пока что злоупотребления крайне редки - сообщество операторов в целом ещё здорово Домены, DNS и IP в новом Интернете IP: безопасность маршрутизации Новинки с грифом «что делать»: Доверять только проверенным «Подписи на префиксах» сетей, контроль допустимых анонсов (RPKI, модернизация BGP и т.д.) Домены, DNS и IP в новом Интернете DNS: DNSSEC Летопись уязвимостей: с 90-х годов 20 века ...но мало кто беспокоился DNSSEC - давняя разработка Внедряют DNSSEC только сейчас, в конце 10-х годов 21 века DNSSEC: Удостоверение адресной информации, криптография с открытым ключом. Домены, DNS и IP в новом Интернете DNSSEC в корне подготовленные данные данные для DNS ICANN Администратор TLD Корневые серверы DNS обработка заявок, подготовка данных для корневой зоны Минторг США утверждение изменений утверждённые данные VeriSign - фактическая реализация изменений Подписывание зоны Источники: www.root-dnssec.org, Dave Knight, ICANN раздача корневой зоны Домены, DNS и IP в новом Интернете DNS: DNSSEC Ключи: KSK (подписывает «ключ зоны» ZSK) - в распоряжении ICANN (IANA), но также значение ключа контролируется Минторгом США. ZSK (подписывает зону) - в распоряжении VeriSign KSK - «даёт мандат» на фактическое управление зоной (ZSK) Источник: Dave Knight (ICANN), NANOG 48 Austin, TX February 2010Домены, DNS и IP в новом Интернете Просто домены Новые gTLD: Плоское адресное пространство; Маркетинг и брендинг; Других вариантов развития - нет. Источник: Dave Knight (ICANN), NANOG 48 Austin, TX February 2010Домены, DNS и IP в новом Интернете Новый Интернет Криптография: Строгая идентификация; Нет слепого доверия. Основной «рубильник»: У держателей ключей от... 1. Распределения «чисел» AS (IP-маршрутизация); 2. DNS; 3. и... «десктопных ОС» (DNSSEC в Win?). Источник: Dave Knight (ICANN), NANOG 48 Austin, TX February 2010Домены, DNS и IP в новом Интернете Новый Интернет Политики: Ресурсы распределяются с ЭЦП: ...и домены; ...и IP-адреса. Всем по авторизованному сертификату (включая ISP и хостеров). Результат для пользователя - «Интернет - по паспорту». Источник: Dave Knight (ICANN), NANOG 48 Austin, TX February 2010Домены, DNS и IP в новом Интернете Что читать: «Доменные имена» (в том числе, осень-2010) Статьи по теме: http://www.ripn.net:8080/articles/ Статус DNSSEC: http://www.root-dnssec.org/ Домены: http://info.nic.ru/ Домены, DNS и IP в новом Интернете Спасибо за внимание. Вопросы? Домены, DNS и IP в новом Интернете