DNSSEC prakses priekšraksti .LV zonai

Drukāt

1. Pārskats

Šis dokuments satur NIC.LV reģistra pakalpojumu DNSSEC prakses priekšrakstus (DPP). Tajos aprakstītas darba procedūras DNS drošības paplašinājumu (DNSSEC) pārvaldībai Latvijas augstākā līmeņa domēnā .LV DNSSEC ir esošās DNS sistēmas paplašinājums, kas nodrošina DNS datu autentifikāciju un ļauj pārliecināties, ka DNS atbildes saturs nav mainīts. Ar DNSSEC nodrošināti resursu ieraksti ir kriptogrāfiski parakstīti un izmanto asimetrisko kriptogrāfiju, lai izveidotu tā saukto „uzticamības ķēdi”, kas caurvij publisko DNS koku. Uzticamība aizsākas saknes zonā un seko tam pašam deleģēšanas procesam, kāds ir domēna vārdu reģistrācijai.

1.1 Dokumenta nosaukums un identifikācija

Dokumenta virsraksts : DNSSEC prakses priekšraksti .LV zonai
Versija : 0.2.2
Izveidots : 2012-01-16
Papildināts : 2013-09-25

1.2 Kopiena un piemērojamība

Ir izdalāmas šādas lomas un atbildību deleģēšana attiecībā uz DNSSEC:

1.2.1 LV reģistra turētājs

NIC.LV atbild par augstākā līmeņa domēnu .LV. Tas nozīmē, ka šī organizācija ir atbildīga par visu ar .LV zonas otrā līmeņa domēna vārdu reģistrāciju, izmaiņu un dzēšanas pārvaldību. Reģistra turētājs tāpat atbild par atbilstošo kriptogrāfisko atslēgu ģenerēšanu, nodrošinot šo atslēgu pienācīgu aizsardzību, zonas faila parakstīšanu un DS ierakstu uzturēšanu saknes zonā.

1.2.2 Reģistratūra

Reģistratūra ir atbildīga par domēna vārdu administrēšanu un pārvaldīšanu domēna vārda lietotāja uzdevumā. Tāpat reģistratūra atbild par atbilstošo DS ierakstu reģistrāciju un uzturēšanu Reģistrā.

1.2.3 Domēna vārda lietotājs

Domēna vārda lietotājs ir fiziska vai juridiska persona, kas kontrolē domēna vārdu. Lietotāji ir atbildīgi par apakšzonu parakstīšanu un DS ierakstu reģistrāciju un uzturēšanu, izmantojot reģistratūru pakalpojumus vai pa tiešo .LV Reģistrā. Ja nepieciešams, zonas parakstīšanu var deleģēt reģistratūrai.

1.3 Specifikāciju administrēšana

Šī DPP tiek attiecīgi papildināta, lai atspoguļotu izmaiņas sistēmās vai procedūrās.

1.4 Specifikāciju administrēšanas organizācija

Latvijas Universitātes Matemātikas un informātikas institūta Tīkla risinājumu daļa - NIC.LV.

1.5 Kontaktinformācija

Adrese:     Raiņa bulvāris 29, Rīga, LV-1459, Latvija
Tālrunis:   +371-67085858
Fakss:  +371-67225072
e-pasts:    dns@nic.lv

1.6 Specifikācijas maiņas procedūras

Šīs DPP grozījumi tiek veikti, papildinot esošo dokumentu vai publicējot jaunu šī dokumenta versiju. Šī DPP un tās grozījumi tiek publicēti tīmekļa vietnē: http://www.nic.lv/lv/dnssec-prakses-prieksraksti-lv-zonai.html

2. Publicēšana un repozitoriji

2.1 Publicēšanas vietne

Ar DNSSEC saistītā informācija tiks publicēta vietnē http://www.nic.lv/lv/dnssec-prakses-prieksraksti-lv-zonai.html

2.2 Atslēgu parakstošo atslēgu publicēšana

Izveidotās atslēgu parakstošās atslēgas (APA) tiek publicētas DS ierakstu veidā saknes zonā. Citi uzticības enkuri vai repozitoriji izmantoti netiek.

3. Darbības prasības

3.1 DNSSEC aktivizēšana apakšzonai

DNSSEC aktivizē ar vismaz vienu DS ierakstu, ko Reģistrā iesūta reģistratūra vai domēna vārda lietotājs, to publicējot DNS, tādējādi izveidojot uzticības ķēdi līdz apakšzonai. Saņemot pirmo DS ierakstu, Reģistrs veic DS ieraksta un DNSKEY pārbaudi, kuru DS ieraksta iesūtītājs nepieciešamības gadījumā var atcelt.

3.2 Apakšzonas pārvaldītāja identifikācija un autentifikācija

Atbildība par apakšzonas pārvaldītāja identifikāciju un autentifikāciju gulstas uz reģistratūru un domēna vārda lietotāju.

3.3 DS resursa ierakstu reģistrācija

Reģistrs pieņem DS ierakstus no reģistratūras, izmantojot EPP saskarni. Reģistratūras identifikācija un autentifikācija notiek ar EPP līdzekļiem. Domēna vārdu lietotāji var iesūtīt DS ierakstus, izmantojot klientu tiešsaistes sistēmu. DS ierakstam ir jābūt derīgam un izveidotam standartam RFC 5910 atbilstošā formātā. Vienam domēna vārdam drīkst norādīt līdz 4 DS ierakstiem. Reģistratūra vai domēna vārda lietotājs drīkst dzēst visus vai izvēlētus domēna vārda DS ierakstus.

3.4 Privātās atslēgas esamības pierādīšanas veids

Reģistrs neveic nekādas derīguma pārbaudes, lai pārliecinātos, ka domēna vārda lietotāja pārvaldībā ir atbilstošā privātā atslēga.

3.5 DS ierakstu dzēšana

DS ierakstus var dzēst attiecīgā reģistratūra, izmantojot EPP saskarni, vai domēna vārda lietotājs, izmantojot klientu tiešsaistes sistēmu.

4. Aprīkojuma, pārvaldības un darbības kontrole

4.1 Fiziskā kontrole

NIC.LV ir izstrādājis un ieviesis drošības politiku, saskaņā ar kuru tiek nodrošināta šajā DPP noteiktā nepieciešamā drošība.

4.1.1 Sistēmas atrašanās vieta

NIC.LV vada pilnībā aprīkotu datu centru Latvijā. Datu centram ir nodalītas serveru telpas, atsevišķi skapji un papildu rezerves kopija no primārā datu centra ģeogrāfiski nodalītā vietā.

4.1.2 Fiziskā pieeja

Fiziska pieeja darbības centriem ir tikai autorizētiem darbiniekiem. Ienākšanas fakts tiek automātiski ierakstīts žurnālā un telpa tiek nepārtraukti uzraudzīta.

4.1.3 Elektroapgāde un gaisa kondicionēšana

Darbības centri ir aprīkoti ar vairākiem elektropadeves avotiem, izskaitot nepārtrauktās barošanas avotus un dīzeļģeneratoru, lai nodrošinātu nepārtrauktu elektrības padevi. Darbības centri tiek dzesēti ar savstarpēji aizstājošām gaisa kondicionēšanas iekārtam, lai nodrošinātu pastāvīgu un stabilu darbības vidi.

4.1.4 Applūšanas riski

Aprīkojums izvietots vietās, kas nav pakļautas applūšanas riskam tādēļ papildu aizsardzība pret plūdiem nav nepieciešama.

4.1.5 Ugunsdrošība

Telpas ir aprīkotas ar uguns detektoriem un dzēšanas sistēmām.

4.1.6 Datu nesēju uzglabāšana

Datu nesēji ar sensitīvu informāciju tiek glabāti ugunsdrošā seifā, kas ir pieejams tikai NIC.LV vadībai un īpaši ieceltiem darbiniekiem.

4.1.7 Atkritumu izmešana

Sensitīvie dokumenti un materiāli pirms izmešanas tiek iznīcināti.

4.1.8 Rezerves kopiju glabāšana ģeogrāfiski nodalītā vietā

NIC.LV regulāri veic kritisko datu kopijas, kas tiek glabātas no NIC.LV pamatdarbības vietas ģeogrāfiski nodalītā vietā.

4.2 Procedūru kontrole

4.2.1 Uzticības lomas

Uzticamās personas ir visi darbinieki, līgumdarbinieki un konsultanti, kuriem ir pieeja vai kuri kontrolē kriptogrāfiskās darbības, kas var būtiski ietekmēt:

.LV zonas parakstīšanas atslēgas (ZPA) un atslēgas parakstīšanas atslēgas (APA) privātās komponentes ģenerēšanu un aizsardzību.
Jebkuras publiskās komponentes eksportu vai importu.
Zonas faila datu ģenerēšanu un parakstīšanu.

Uzticamās personas var būt:

Sistēmas administrators, SA.
Atbildīgais par drošību, AD.
Uzticams liecinieks.

4.2.2 Pienākumu nodalīšanu prasošs uzdevums

Jebkura neautomātiski veicama procedūra zonas parakstīšanas sistēmā prasa vismaz viena sistēmas administratora un viena drošības oficiera klātbūtni.

4.3 Personāla kontrole

4.3.1 Kvalifikācijas, pieredzes un pieejas prasības

Darbiniekiem var tikt piešķirtas uzticības lomas, ja tie nostrādājuši NIC.LV reģistrā ne mazāk par vienu gadu un tiem ir DNS pārvaldībai nepieciešamā kvalifikācija.

4.3.2 Iepriekšējās darbības pārbaudes

Iepriekšējās darbības pārbaudes notiek personāla atlases procesā.

4.3.3 Kvalifikācijas prasības

Jebkurai personai ar uzticības lomu atslēgas ģenerēšanas procedūrā ir jāiziet apmācība. Reģistrs periodiski pārbauda nepieciešamību atkārtoti apmācīt personālu, kas ir atbildīgs par DNSSEC darbību.

4.3.4 Personāla nodrošināšana ar dokumentiem

NIC.LV nodrošina katru darbinieku ar dokumentāciju, kas ir nepieciešama darbinieka pienākumu veikšanai drošā un apmierinošā veidā.

4.4 Audita žurnālfailu veidošanas procedūras

DNSSEC sistēmā notiekošās darbības tiek nepārtraukti un automātiski fiksētas elektroniskajos audita žurnālfailos. Žurnālfailu veidošana arī ietver žurnālus, pārbaudes punktu saraksti un citus papīra dokumentus, kas ir būtiski drošībai un kas ir nepieciešami auditēšanai.

4.4.1 Pierakstāmo notikumu veidi

Piekļūšana telpai.
Attālinātas pieslēgšanās fakts.
Jebkura veida DNSSEC darbība.

4.4.2 Žurnālfaila apstrādes biežums

Žurnālfaili tiek sistemātiski analizēti gan manuāli, gan automātiski.

4.4.3 Audita žurnālfailu informācijas uzglabāšanas ilgums

Žurnālfailu informācija tiek glabāta žurnālfailu sistēmās ne mazāk kā vienu gadu. Pēc tam informācija tiek pārvietota arhīvā un tiek uzglabāta ne mazāk kā divus gadus.

4.4.4 Audita žurnālfailu aizsardzība

Reģistrs atļauj pieeju audita žurnālfailiem tikai tām personām, kurām tas patiešām nepieciešams, tādējādi pasargājot audita žurnālfailus no neautorizētas pārskatīšanas, izmaiņām vai dzēšanas.

4.4.5 Audita žurnālfailu rezerves kopiju veidošanas procedūras

Reģistrs periodiski veic audita žurnālfailu rezerves kopijas uz ārējiem datu nesējiem.

4.4.6 Ievainojamību novērtējums

Visas anomālijas žurnālfailu informācijā tiek izmeklētas, analizējot iespējamās ievainojamības.

4.5 Incidentu risināšana un ārkārtas situāciju vadība

4.5.1 Incidentu un kompromitētu atslēgu risināšanas procedūras

Ja kāds notikums izraisa vai var izraisīt drošības incidentu, NIC.LV veic izmeklēšanu ar mērķi noteikt incidenta raksturu. Ja NIC.LV rodas aizdomas, ka incidenta rezultātā ir tikusi kompromitēta aktīvās atslēgas privātā komponente, jāveic ārkārtas atslēgu maiņas procedūra.

4.5.2 Sabojāti datorresursi, programmatūra un/vai dati

Aparatūras bojājuma gadījumā sistēmas administrators manuāli aktivizē sekundāro DNSSEC parakstīšanas sistēmu. Bojātais elements primārajā sistēmā jāaizvieto pēc iespējas ātrāk.

4.5.3 Privāto atslēgu kompromitēšanas risinājuma procedūras

Ja ir radušās aizdomas vai tiek konstatēts, ka ZPA ir kompromitēta, kompromitētā atslēga nekavējoties jāizņem no apgrozības, aizstājot to ar no jauna vai iepriekš ģenerētu aizstājēju atslēgu. Ja ir radušās aizdomas vai tiek konstatēts, ka APA ir kompromitēta, tas jārisina, nekavējoties veicot atslēgu maiņas procedūru.

4.5.4 Darbības nepārtrauktība un IT ārkārtas situāciju vadība

Gadījumā, ja notiek DNSSEC pakalpojuma pārtraukums, piemēram, sakarā ar ārkārtas situāciju datu centrā, Reģistrs atjauno pakalpojumu(s) rezerves datu centrā pēc iespējas īsākā laikā.

4.5.5 Pakalpojuma izbeigšana

Lai vajadzības gadījumā pārtrauktu DNSSEC pakalpojumu, Reģistrs uzsāk iepriekš noteiktas procedūras. Par šo notikumu Reģistrs informē sabiedrību.

5. Tehniskās drošības kontrole

5.1 Atslēgu pāra ģenerēšana un uzstādīšana

5.1.1 Atslēgu pāra ģenerēšana

APA ģenerēšana notiek pēc nepieciešamības, un to veic vismaz divas uzticības personas vienlaicīgi. Šīm uzticības personām jābūt klāt visu darbību veikšanas laikā. Domēna .LV zonas APA tiek ģenerēta uz izdalītas un dublicētas serveru sistēmas. Domāna .LV zonas ZPA tiek ģenerēta automātiski saskaņā ar ZPA dzīves cikla plānu.

5.1.2 Publiskās atslēgas nodrošana

APA publiskā daļu eksportē un pārbauda sistēmas administrators un atbildīgais par drošību. Atbildīgais par drošību veic DS ierakstu publicēšanu saknes zonā. Ģenerētās atslēgas automātiski tiek sinhronizētas ar dublikāta DNSSEC sistēmu. Sistēmas administratoram un atbildīgajam par drošību ir jāpārliecinās, ka sinhronizācija noritējusi veiksmīgi.

5.1.3 Publisko atslēgu parametru ģenerēšana un kvalitātes pārbaude

Reģistrs periodiski pārliecinās, ka parakstīšanas atslēgas ģenerēšanā izmantotie parametri atbilst tehnoloģijās vērojamajām tendencēm.

5.1.4 Atslēgu izmantošanas mērķi

DNSSEC vajadzībām ģenerētās atslēgas izmantojamas tikai DNSSEC darbībās un nekad nedrīkst tikt izmantotas ārpuse parakstīšanas sistēmām. Atslēgu drīkst izmantot tikai vienai zonai un nekad nedrīkst izmantot atkārtoti.

5.2 Privāto atslēgu aizsardzība un kriptogrāfiskā moduļa tehnoloģiskā kontrole

Privātās atslēgas nekad nedrīkst atrasties ārpus DNSSEC infrastruktūras bez pienācīgas aizsardzības.

5.2.1 Privātās atslēgas (m-no-n) vairākpersonu kontrole

Reģistrs pielieto vairākpersonu kontroli administratīvā līmenī.

5.2.2 Privātās atslēgas nodošana trešai personai

Reģistrs nenodod atslēgas glabāšanā trešai personai.

5.2.3 Privātās atslēgas rezerves kopija

Aizsargāto privāto atslēgu rezerves kopija tiek glabāta pārnēsājamā datu nesējā, kas tiek uzglabāts drošā aizzīmogotā aploksnē, kas savukārt glabājas ugunsdrošā seifā.

5.2.4 Privātās atslēgas arhivēšana

Visas lietotās atslēgas tiek uzglabātas arhīvā. Vienreiz lietotās atslēgas nekad netiek lietotas atkārtoti.

5.2.5 Privāto atslēgu pārsūtīšana uz vai no kriptogrāfiskā moduļa

Privātās atslēgas tiek ģenerētas DNSSEC sistēmā. Tās tiek automātiski un nekavējoties sinhronizētas ar dublēto DNSSEC sistēmu.

5.2.6 Privātās atslēgas aktivēšanas metode

APA ģenerē atbildīgais par drošību kopā ar sistēmas administratoru/uzticamu liecinieku. ZPA ģenerē un aktivizē DNSSEC sistēma automātiski.

5.2.7 Privātās atslēgas deaktivizācija

APA deaktivizē atbildīgais par drošību kopā ar sistēmas administratoru/uzticamu liecinieku tad, kad beidzies tās lietošanas termiņš. ZPA automātiski deaktivizē sistēma, ja atslēgai beidzas lietošanas termiņš un ja jauna ZPA ir publicēta un pieejama.

5.2.8 Privātās atslēgas iznīcināšana

Privātās atslēgas netiks iznīcinātas, bet gan ievietotas arhīvā.

5.3 Citi atslēgu pārvaldīšanas aspekti

5.3.1 Publiskās atslēgas arhivēšana

Publiskās atslēgas tiek arhivētas saskaņā ar procedūrām, kas piemērojamas citas ar sistēmas trasējamību saistītas informācijas (piemēram, žurnālfaili) arhivēšanai.

5.3.2 Atslēgu lietošanas termiņi

Ilgākais termiņš APA lietošanai ir trīs gadi, kuriem pieskaitīts atslēgu nomaiņai nepieciešamais laiks. Ilgākais ZPA lietošanas termiņš ir 50 dienas. Reģistrs drīkst mainīt šos periodus pēc vajadzības. Novecojušās atslēgas nekad netiek lietotas atkārtoti.

5.4 Tīkla drošības kontrole

Reģistrs ir loģiski nodalījis tīklus dažādās drošības zonās ar drošu komunikāciju starp tām. Ugunsmūros tiek veidoti žurnālfaili. Visa sensitīvā informācija, kas tiek sūtīta komunikāciju tīklā, vienmēr tiek šifrēta.

5.5 Laika zīmogs

DNSSEC sistēma droši sinhronizē laiku ar uzticamu laika resursu NIC.LV tīkla iekšienē.

5.6 Dzīves cikla tehniskā kontrole

5.6.1 Sistēmas izstrādes kontrole

Reģistrs kontrolē katru ar sistēmas izstrādi saistīto procesu un novērtē sistēmu pirms tās ieviešanas, lai tādējādi uzturētu NIC.LV DNSSEC pakalpojuma sistēmas kvalitāti un drošumu. Sistēmas izejas kods tiek glabāts versiju kontroles sistēmā. Izejas koda arhīvam tiek regulāri veidotas rezerves kopijas, kas tiek glabātas atsevišķi ugunsdrošā seifā.

5.6.2 Drošības pārvaldības kontrole

NIC.LV ir nepieciešamās tehnoloģijas un politikas dokumenti, lai kontrolētu un pārraudzītu sistēmu konfigurāciju. Drošības audits tiks regulāri atkārtots.

5.6.3 Dzīves cikla drošības kontrole

DNSSEC sistēma veidota tā, lai tai būtu nepieciešama pēc iespējas mazāka uzturēšana. Drošības un darbības kritiskie uzlabojumi tika piemēroti pēc formālā testēšanas un apstiprināšanas procesa.

6. Zonas parakstīšana

Domēna .LV zonas parakstīšana tiks veikta saskaņā ar zemāk norādītajiem parametriem. Jebkuras izmaiņas parametros tiks atspoguļotas šajā dokumentā.

6.1 Atslēgas garumi un algoritmi

RSA algoritms ar atslēgas garumu 2048 biti tiek izmantots APA ģenerēšanai. Atslēgas garums 1024 biti tiek izmantots ZPA ģenerēšanai.

6.2 Autentisks esamības noliegums

Reģistrs lieto NSEC3 ar OPT-OUT saskaņā ar standartu RFC 5155.

6.3 Paraksta formāts

Paraksti tiek ģenerēti, lietojot RSA kriptogrāfiskai jaucējfunkcijai, izmantojot SHA-256 (RSA/SHA-256, RFC 5702).

6.4 Zonas parakstīšanas atslēgas nomaiņa

Paredzamais lietošanas termiņš ZPA ir 50 dienas ar iepriekšējas publicēšanas metodi, kas aprakstīta RFC 4641.

6.5 Atslēgas parakstīšanas atslēgas nomaiņa

Domēna .LV zonā APA nomaiņa tiek veikta katrus trīs gadus vai pēc nepieciešamības ar dubultās parakstīšanas metodi, kas aprakstīta RFC 4641.

6.6 Paraksta dzīves ilgums un atkārtotas parakstīšanas biežums

ZPA paraksti ilgst no 5 līdz 60 dienām. Tie tiek atkārtoti parakstīti katras jaunas zonas ģenerēšanas reizē.

6.7 Zonas parakstīšanas atslēgu pāra pārbaude

Pirms parakstītās zonas izplatīšanas DNS serveriem zonai ir jāveic vairākas pārbaudes: Uzticamības ķēdes pārbaude no DS ieraksta saknes zonā līdz SOA ieraksta parakstam .LV zonā. Derīguma termiņa pārbaude SOA ieraksta parakstam vismaz 5 dienām uz priekšu. Sekmīgi veikt vairākus iepriekš definētus pieprasījumus (ar atļautu DNSSEC) speciāliem ierakstiem zonā.

6.8 Resursu ierakstu pārbaude

Pirms zonas izplatīšanas NIC.LV pārbauda, vai visi resursu ieraksti ir derīgi saskaņā ar spēkā esošajiem standartiem. Zonas neparakstītā satura integritāte pirms izplatīšanas arī tiek pārbaudīta.

6.9 Resursu ierakstu dzīvlaiks

DNSKEY: vienāds ar TTL, kas norādīts SOA ierakstam. NSEC3: vienāds ar SOA ieraksta minimālo lauku. DS: vienāds ar TTL, kas norādīts NS ierakstam. RRSIG: mainīgs un ir atkarīgs no parakstītā RRset.

7. Atbilstības audits

Auditi tiek veikti, izmantojot saglabātos žurnālfailus un citu atbilstošo informāciju, lai pārliecinātos, ka visas atbilstošās procedūras tiek pilnībā ievērotas. Nepieciešamības gadījumā Reģistrs ievieš uzlabojumus NIC.LV DNSSEC pakalpojumā.

7.1 Organizācijas atbilstības audita biežums

Katrus divus gadus NIC.LV pieaicina ārēju auditoru, kas veic drošības politikas un procedūru atbilstības novērtējumu. Apstākļi, kas var būt par pamatu papildu auditu veikšanai, ietver atkārtotu anomāliju novērošana, būtiskas izmaiņas personālā vai izmantotajā aparatūrā.

7.2 Auditora identitāte/kvalifikācija

Auditoram ir jāspēj demonstrēt prasmes rīkoties ar IT drošības rīkiem, drošības auditu, DNS un DNSSEC.

8. Juridiskie jautājumi

Reģistrs nenes juridisku atbildību par šajā dokumentā aprakstītajiem jautājumiem. NIC.LV nenes nekādu materiālu atbildību par nepareizu uzticības enkuru vai parakstu lietošanu vai jebkuru citu nepareizu lietošanu saskaņā ar šo DPP. NIC.LV patur tiesības jebkurā brīdī apturēt DNSSEC, ja tā darbība apdraudēs .LV stabilitāti.

8.1 Spēkā esamība

Šī DPP ir spēkā līdz jaunas versijas pieņemšanai.

8.2 Strīdu risināšana

Strīdi starp DNSSEC dalībniekiem jārisina saskaņā ar noteikumiem, par kuriem puses vienojušās savstarpējos līgumos.

8.3 Piemērojamās tiesības

NIC.LV DNSSEC pakalpojuma darbības laikā Reģistrs ievēro Latvijas Republikā spēkā esošo normatīvo aktu prasības un Reģistra izstrādātos noteikumus un procedūras.