- Sīkdatnes, kas nodrošina Jūsu pieprasīto pakalpojumu darbību.
- Sīkdatnes, kas NIC sniedz informāciju par interneta vietnes www.nic.lv apmeklējumu un kuru izmantošanai ir nepieciešama Jūsu piekrišana.
Šis dokuments satur NIC.LV reģistra pakalpojumu DNSSEC prakses priekšrakstus (DPP). Tajos aprakstītas darba procedūras DNS drošības paplašinājumu (DNSSEC) pārvaldībai Latvijas augstākā līmeņa domēnā .LV DNSSEC ir esošās DNS sistēmas paplašinājums, kas nodrošina DNS datu autentifikāciju un ļauj pārliecināties, ka DNS atbildes saturs nav mainīts. Ar DNSSEC nodrošināti resursu ieraksti ir kriptogrāfiski parakstīti un izmanto asimetrisko kriptogrāfiju, lai izveidotu tā saukto „uzticamības ķēdi”, kas caurvij publisko DNS koku. Uzticamība aizsākas saknes zonā un seko tam pašam deleģēšanas procesam, kāds ir domēna vārdu reģistrācijai.
Dokumenta virsraksts : DNSSEC prakses priekšraksti .LV zonai
Versija : 0.2.2
Izveidots : 2012-01-16
Papildināts : 2013-09-25
Ir izdalāmas šādas lomas un atbildību deleģēšana attiecībā uz DNSSEC:
NIC.LV atbild par augstākā līmeņa domēnu .LV. Tas nozīmē, ka šī organizācija ir atbildīga par visu ar .LV zonas otrā līmeņa domēna vārdu reģistrāciju, izmaiņu un dzēšanas pārvaldību. Reģistra turētājs tāpat atbild par atbilstošo kriptogrāfisko atslēgu ģenerēšanu, nodrošinot šo atslēgu pienācīgu aizsardzību, zonas faila parakstīšanu un DS ierakstu uzturēšanu saknes zonā.
Reģistratūra ir atbildīga par domēna vārdu administrēšanu un pārvaldīšanu domēna vārda lietotāja uzdevumā. Tāpat reģistratūra atbild par atbilstošo DS ierakstu reģistrāciju un uzturēšanu Reģistrā.
Domēna vārda lietotājs ir fiziska vai juridiska persona, kas kontrolē domēna vārdu. Lietotāji ir atbildīgi par apakšzonu parakstīšanu un DS ierakstu reģistrāciju un uzturēšanu, izmantojot reģistratūru pakalpojumus vai pa tiešo .LV Reģistrā. Ja nepieciešams, zonas parakstīšanu var deleģēt reģistratūrai.
Šī DPP tiek attiecīgi papildināta, lai atspoguļotu izmaiņas sistēmās vai procedūrās.
Latvijas Universitātes Matemātikas un informātikas institūta Tīkla risinājumu daļa - NIC.LV.
Adrese: Raiņa bulvāris 29, Rīga, LV-1459, Latvija
Tālrunis: +371-67085858
E-pasts: dns@nic.lv
Šīs DPP grozījumi tiek veikti, papildinot esošo dokumentu vai publicējot jaunu šī dokumenta versiju. Šī DPP un tās grozījumi tiek publicēti tīmekļa vietnē: http://www.nic.lv/lv/dnssec-prakses-prieksraksti-lv-zonai
Ar DNSSEC saistītā informācija tiks publicēta vietnē http://www.nic.lv/lv/dnssec-prakses-prieksraksti-lv-zonai
Izveidotās atslēgu parakstošās atslēgas (APA) tiek publicētas DS ierakstu veidā saknes zonā. Citi uzticības enkuri vai repozitoriji izmantoti netiek.
DNSSEC aktivizē ar vismaz vienu DS ierakstu, ko Reģistrā iesūta reģistratūra vai domēna vārda lietotājs, to publicējot DNS, tādējādi izveidojot uzticības ķēdi līdz apakšzonai. Saņemot pirmo DS ierakstu, Reģistrs veic DS ieraksta un DNSKEY pārbaudi, kuru DS ieraksta iesūtītājs nepieciešamības gadījumā var atcelt.
Atbildība par apakšzonas pārvaldītāja identifikāciju un autentifikāciju gulstas uz reģistratūru un domēna vārda lietotāju.
Reģistrs pieņem DS ierakstus no reģistratūras, izmantojot EPP saskarni. Reģistratūras identifikācija un autentifikācija notiek ar EPP līdzekļiem. Domēna vārdu lietotāji var iesūtīt DS ierakstus, izmantojot klientu tiešsaistes sistēmu. DS ierakstam ir jābūt derīgam un izveidotam standartam RFC 5910 atbilstošā formātā. Vienam domēna vārdam drīkst norādīt līdz 4 DS ierakstiem. Reģistratūra vai domēna vārda lietotājs drīkst dzēst visus vai izvēlētus domēna vārda DS ierakstus.
Reģistrs neveic nekādas derīguma pārbaudes, lai pārliecinātos, ka domēna vārda lietotāja pārvaldībā ir atbilstošā privātā atslēga.
DS ierakstus var dzēst attiecīgā reģistratūra, izmantojot EPP saskarni, vai domēna vārda lietotājs, izmantojot klientu tiešsaistes sistēmu.
NIC.LV ir izstrādājis un ieviesis drošības politiku, saskaņā ar kuru tiek nodrošināta šajā DPP noteiktā nepieciešamā drošība.
NIC.LV vada pilnībā aprīkotu datu centru Latvijā. Datu centram ir nodalītas serveru telpas, atsevišķi skapji un papildu rezerves kopija no primārā datu centra ģeogrāfiski nodalītā vietā.
Fiziska pieeja darbības centriem ir tikai autorizētiem darbiniekiem. Ienākšanas fakts tiek automātiski ierakstīts žurnālā un telpa tiek nepārtraukti uzraudzīta.
Darbības centri ir aprīkoti ar vairākiem elektropadeves avotiem, izskaitot nepārtrauktās barošanas avotus un dīzeļģeneratoru, lai nodrošinātu nepārtrauktu elektrības padevi. Darbības centri tiek dzesēti ar savstarpēji aizstājošām gaisa kondicionēšanas iekārtām, lai nodrošinātu pastāvīgu un stabilu darbības vidi.
Aprīkojums izvietots vietās, kas nav pakļautas applūšanas riskam, tādēļ papildu aizsardzība pret plūdiem nav nepieciešama.
Telpas ir aprīkotas ar uguns detektoriem un dzēšanas sistēmām.
Datu nesēji ar sensitīvu informāciju tiek glabāti ugunsdrošā seifā, kas ir pieejams tikai NIC.LV vadībai un īpaši ieceltiem darbiniekiem.
Sensitīvie dokumenti un materiāli pirms izmešanas tiek iznīcināti.
NIC.LV regulāri veic kritisko datu kopijas, kas tiek glabātas no NIC.LV pamatdarbības vietas ģeogrāfiski nodalītā vietā.
Uzticamās personas ir visi darbinieki, līgumdarbinieki un konsultanti, kuriem ir pieeja vai kuri kontrolē kriptogrāfiskās darbības, kas var būtiski ietekmēt:
.LV zonas parakstīšanas atslēgas (ZPA) un atslēgas parakstīšanas atslēgas (APA) privātās komponentes ģenerēšanu un aizsardzību.
Jebkuras publiskās komponentes eksportu vai importu.
Zonas faila datu ģenerēšanu un parakstīšanu.
Uzticamās personas var būt:
Sistēmas administrators, SA.
Atbildīgais par drošību, AD.
Uzticams liecinieks.
Jebkura neautomātiski veicama procedūra zonas parakstīšanas sistēmā prasa vismaz viena sistēmas administratora un viena drošības oficiera klātbūtni.
Darbiniekiem var tikt piešķirtas uzticības lomas, ja tie nostrādājuši NIC.LV reģistrā ne mazāk par vienu gadu un tiem ir DNS pārvaldībai nepieciešamā kvalifikācija.
Iepriekšējās darbības pārbaudes notiek personāla atlases procesā.
Jebkurai personai ar uzticības lomu atslēgas ģenerēšanas procedūrā ir jāiziet apmācība. Reģistrs periodiski pārbauda nepieciešamību atkārtoti apmācīt personālu, kas ir atbildīgs par DNSSEC darbību.
NIC.LV nodrošina katru darbinieku ar dokumentāciju, kas ir nepieciešama darbinieka pienākumu veikšanai drošā un apmierinošā veidā.
DNSSEC sistēmā notiekošās darbības tiek nepārtraukti un automātiski fiksētas elektroniskajos audita žurnālfailos. Žurnālfailu veidošana arī ietver žurnālus, pārbaudes punktu saraksti un citus papīra dokumentus, kas ir būtiski drošībai un kas ir nepieciešami auditēšanai.
Piekļūšana telpai.
Attālinātas pieslēgšanās fakts.
Jebkura veida DNSSEC darbība.
Žurnālfaili tiek sistemātiski analizēti gan manuāli, gan automātiski.
Žurnālfailu informācija tiek glabāta žurnālfailu sistēmās ne mazāk kā vienu gadu. Pēc tam informācija tiek pārvietota arhīvā un tiek uzglabāta ne mazāk kā divus gadus.
Reģistrs atļauj pieeju audita žurnālfailiem tikai tām personām, kurām tas patiešām nepieciešams, tādējādi pasargājot audita žurnālfailus no neautorizētas pārskatīšanas, izmaiņām vai dzēšanas.
Reģistrs periodiski veic audita žurnālfailu rezerves kopijas uz ārējiem datu nesējiem.
Visas anomālijas žurnālfailu informācijā tiek izmeklētas, analizējot iespējamās ievainojamības.
Ja kāds notikums izraisa vai var izraisīt drošības incidentu, NIC.LV veic izmeklēšanu ar mērķi noteikt incidenta raksturu. Ja NIC.LV rodas aizdomas, ka incidenta rezultātā ir tikusi kompromitēta aktīvās atslēgas privātā komponente, jāveic ārkārtas atslēgu maiņas procedūra.
Aparatūras bojājuma gadījumā sistēmas administrators manuāli aktivizē sekundāro DNSSEC parakstīšanas sistēmu. Bojātais elements primārajā sistēmā jāaizvieto pēc iespējas ātrāk.
Ja ir radušās aizdomas vai tiek konstatēts, ka ZPA ir kompromitēta, kompromitētā atslēga nekavējoties jāizņem no apgrozības, aizstājot to ar no jauna vai iepriekš ģenerētu aizstājēju atslēgu. Ja ir radušās aizdomas vai tiek konstatēts, ka APA ir kompromitēta, tas jārisina, nekavējoties veicot atslēgu maiņas procedūru.
Gadījumā, ja notiek DNSSEC pakalpojuma pārtraukums, piemēram, sakarā ar ārkārtas situāciju datu centrā, Reģistrs atjauno pakalpojumu(s) rezerves datu centrā pēc iespējas īsākā laikā.
Lai vajadzības gadījumā pārtrauktu DNSSEC pakalpojumu, Reģistrs uzsāk iepriekš noteiktas procedūras. Par šo notikumu Reģistrs informē sabiedrību.
APA ģenerēšana notiek pēc nepieciešamības, un to veic vismaz divas uzticības personas vienlaicīgi. Šīm uzticības personām jābūt klāt visu darbību veikšanas laikā. Domēna .LV zonas APA tiek ģenerēta uz izdalītas un dublicētas serveru sistēmas. Domēna .LV zonas ZPA tiek ģenerēta automātiski saskaņā ar ZPA dzīves cikla plānu.
APA publisko daļu eksportē un pārbauda sistēmas administrators un atbildīgais par drošību. Atbildīgais par drošību veic DS ierakstu publicēšanu saknes zonā. Ģenerētās atslēgas automātiski tiek sinhronizētas ar dublikāta DNSSEC sistēmu. Sistēmas administratoram un atbildīgajam par drošību ir jāpārliecinās, ka sinhronizācija noritējusi veiksmīgi.
Reģistrs periodiski pārliecinās, ka parakstīšanas atslēgas ģenerēšanā izmantotie parametri atbilst tehnoloģijās vērojamajām tendencēm.
DNSSEC vajadzībām ģenerētās atslēgas izmantojamas tikai DNSSEC darbībās un nekad nedrīkst tikt izmantotas ārpus parakstīšanas sistēmām. Atslēgu drīkst izmantot tikai vienai zonai un nekad nedrīkst izmantot atkārtoti.
Privātās atslēgas nekad nedrīkst atrasties ārpus DNSSEC infrastruktūras bez pienācīgas aizsardzības.
Reģistrs pielieto vairākpersonu kontroli administratīvā līmenī.
Reģistrs nenodod atslēgas glabāšanā trešai personai.
Aizsargāto privāto atslēgu rezerves kopija tiek glabāta pārnēsājamā datu nesējā, kas tiek uzglabāts drošā aizzīmogotā aploksnē, kas savukārt glabājas ugunsdrošā seifā.
Visas lietotās atslēgas tiek uzglabātas arhīvā. Vienreiz lietotās atslēgas nekad netiek lietotas atkārtoti.
Privātās atslēgas tiek ģenerētas DNSSEC sistēmā. Tās tiek automātiski un nekavējoties sinhronizētas ar dublēto DNSSEC sistēmu.
APA ģenerē atbildīgais par drošību kopā ar sistēmas administratoru/uzticamu liecinieku. ZPA ģenerē un aktivizē DNSSEC sistēma automātiski.
APA deaktivizē atbildīgais par drošību kopā ar sistēmas administratoru/uzticamu liecinieku tad, kad beidzies tās lietošanas termiņš. ZPA automātiski deaktivizē sistēma, ja atslēgai beidzas lietošanas termiņš un ja jauna ZPA ir publicēta un pieejama.
Privātās atslēgas netiks iznīcinātas, bet gan ievietotas arhīvā.
Publiskās atslēgas tiek arhivētas saskaņā ar procedūrām, kas piemērojamas citas ar sistēmas trasējamību saistītas informācijas (piemēram, žurnālfaili) arhivēšanai.
Ilgākais termiņš APA lietošanai ir trīs gadi, kuriem pieskaitīts atslēgu nomaiņai nepieciešamais laiks. Ilgākais ZPA lietošanas termiņš ir 50 dienas. Reģistrs drīkst mainīt šos periodus pēc vajadzības. Novecojušās atslēgas nekad netiek lietotas atkārtoti.
Reģistrs ir loģiski nodalījis tīklus dažādās drošības zonās ar drošu komunikāciju starp tām. Ugunsmūros tiek veidoti žurnālfaili. Visa sensitīvā informācija, kas tiek sūtīta komunikāciju tīklā, vienmēr tiek šifrēta.
DNSSEC sistēma droši sinhronizē laiku ar uzticamu laika resursu NIC.LV tīkla iekšienē.
Reģistrs kontrolē katru ar sistēmas izstrādi saistīto procesu un novērtē sistēmu pirms tās ieviešanas, lai tādējādi uzturētu NIC.LV DNSSEC pakalpojuma sistēmas kvalitāti un drošumu. Sistēmas izejas kods tiek glabāts versiju kontroles sistēmā. Izejas koda arhīvam tiek regulāri veidotas rezerves kopijas, kas tiek glabātas atsevišķi ugunsdrošā seifā.
NIC.LV ir nepieciešamās tehnoloģijas un politikas dokumenti, lai kontrolētu un pārraudzītu sistēmu konfigurāciju. Drošības audits tiks regulāri atkārtots.
DNSSEC sistēma veidota tā, lai tai būtu nepieciešama pēc iespējas mazāka uzturēšana. Drošības un darbības kritiskie uzlabojumi tika piemēroti pēc formālā testēšanas un apstiprināšanas procesa.
Domēna .LV zonas parakstīšana tiks veikta saskaņā ar zemāk norādītajiem parametriem. Jebkuras izmaiņas parametros tiks atspoguļotas šajā dokumentā.
RSA algoritms ar atslēgas garumu 2048 biti tiek izmantots APA ģenerēšanai. Atslēgas garums 1024 biti tiek izmantots ZPA ģenerēšanai.
Reģistrs lieto NSEC3 ar OPT-OUT saskaņā ar standartu RFC 5155.
Paraksti tiek ģenerēti, lietojot RSA kriptogrāfiskai jaucējfunkcijai, izmantojot SHA-256 (RSA/SHA-256, RFC 5702).
Paredzamais lietošanas termiņš ZPA ir 50 dienas ar iepriekšējas publicēšanas metodi, kas aprakstīta RFC 4641.
Domēna .LV zonā APA nomaiņa tiek veikta katrus trīs gadus vai pēc nepieciešamības ar dubultās parakstīšanas metodi, kas aprakstīta RFC 4641.
ZPA paraksti ilgst no 5 līdz 60 dienām. Tie tiek atkārtoti parakstīti katras jaunas zonas ģenerēšanas reizē.
Pirms parakstītās zonas izplatīšanas DNS serveriem zonai ir jāveic vairākas pārbaudes: Uzticamības ķēdes pārbaude no DS ieraksta saknes zonā līdz SOA ieraksta parakstam .LV zonā. Derīguma termiņa pārbaude SOA ieraksta parakstam vismaz 5 dienām uz priekšu. Sekmīgi veikt vairākus iepriekš definētus pieprasījumus (ar atļautu DNSSEC) speciāliem ierakstiem zonā.
Pirms zonas izplatīšanas NIC.LV pārbauda, vai visi resursu ieraksti ir derīgi saskaņā ar spēkā esošajiem standartiem. Zonas neparakstītā satura integritāte pirms izplatīšanas arī tiek pārbaudīta.
DNSKEY: vienāds ar TTL, kas norādīts SOA ierakstam. NSEC3: vienāds ar SOA ieraksta minimālo lauku. DS: vienāds ar TTL, kas norādīts NS ierakstam. RRSIG: mainīgs un ir atkarīgs no parakstītā RRset.
Auditi tiek veikti, izmantojot saglabātos žurnālfailus un citu atbilstošo informāciju, lai pārliecinātos, ka visas atbilstošās procedūras tiek pilnībā ievērotas. Nepieciešamības gadījumā Reģistrs ievieš uzlabojumus NIC.LV DNSSEC pakalpojumā.
Katrus divus gadus NIC.LV pieaicina ārēju auditoru, kas veic drošības politikas un procedūru atbilstības novērtējumu. Apstākļi, kas var būt par pamatu papildu auditu veikšanai, ietver atkārtotu anomāliju novērošana, būtiskas izmaiņas personālā vai izmantotajā aparatūrā.
Auditoram ir jāspēj demonstrēt prasmes rīkoties ar IT drošības rīkiem, drošības auditu, DNS un DNSSEC.
Reģistrs nenes juridisku atbildību par šajā dokumentā aprakstītajiem jautājumiem. NIC.LV nenes nekādu materiālu atbildību par nepareizu uzticības enkuru vai parakstu lietošanu vai jebkuru citu nepareizu lietošanu saskaņā ar šo DPP. NIC.LV patur tiesības jebkurā brīdī apturēt DNSSEC, ja tā darbība apdraudēs .LV stabilitāti.
Šī DPP ir spēkā līdz jaunas versijas pieņemšanai.
Strīdi starp DNSSEC dalībniekiem jārisina saskaņā ar noteikumiem, par kuriem puses vienojušās savstarpējos līgumos.
NIC.LV DNSSEC pakalpojuma darbības laikā Reģistrs ievēro Latvijas Republikā spēkā esošo normatīvo aktu prasības un Reģistra izstrādātos noteikumus un procedūras.