DNSSEC per ISP

Il protocollo Domain Name System Security Extension (DNSSEC) consente ai fornitori di servizi Internet (ISP) di offrire un valore aggiunto a migliaia di clienti che fanno affidamento su un ambiente Internet sicuro per lavorare, studiare, svagarsi e interagire.

Verisign si impegna a collaborare con gli ISP per semplificare e standardizzare il protocollo DNSSEC. Scoprite l'importanza del protocollo DNSSEC, i passaggi da intraprendere per prepararvi all'implementazione del protocollo stesso e come gli strumenti, le informazioni e altre risorse di Verisign possono aiutarvi a pianificare, testare e abilitare il protocollo DNSSEC.

Perché scegliere subito Cosa fare Cosa tenere in considerazione Dove iniziare

A causa della maggior consapevolezza a proposito delle minacce DNS e della strutturazione di altre iniziative per la sicurezza di Internet, come il protocollo SSL (Secure Sockets Layer), il protocollo DNSSEC è diventato un must have per gli ISP, in base a requisiti interni quali gestione del rischio ed esigenza dei consumatori di un ambiente Internet più sicuro.

Agendo ora, siete in grado di tutelare al meglio i vostri clienti, rafforzare la vostra reputazione di leadership per la tutela della clientela e la sicurezza di Internet e per distinguervi dai vostri concorrenti. In qualità di nuovi utenti, avete inoltre una notevole influenza sullo sviluppo di prodotti, servizi e altre iniziative di settore che supportino e favoriscano il vostro business.

Vantaggi per ISP proattivi

Aggiungendo in modo proattivo questo importante ulteriore livello di sicurezza è possibile:

  • Contribuire alla riduzione del rischio, per i propri clienti, di subire attacchi di pirateria informatica
  • Consolidare il proprio marchio e la propria reputazione
  • Mantenere la fiducia e la fedeltà dei clienti
  • Offrire un'esperienza Internet più sicura come parte del pacchetto di soluzioni di valore offerte ai clienti
  • Attrarre e fidelizzare i clienti attenti alla sicurezza
  • Proteggere il proprio business principale allargando la fiducia in Internet
  • Consolidare la propria leadership e influenza per il futuro del protocollo DNSSEC

Gli ISP svolgono un ruolo fondamentale per il funzionamento di Internet e il successo del protocollo DNSSEC. I nomi dei server ricorsivi (resolver) gestiti dagli ISP, consentono agli utenti di Internet di risolvere rapidamente nomi di dominio milioni di volte al giorno. I server dei nomi ricorsivi costituiscono, inoltre, il vettore principale del fenomeno di avvelenamento della cache.

I server dei nomi ricorsivi abilitati per DNSSEC consentono di prevenire l'avvelenamento della cache nei seguenti modi: quando un server dei nomi ricorsivi richiede informazioni DNS da un server autoritativo di zona e la zona è firmata, il server dei nomi ricorsivo richiede anche la chiave DNSSEC della zona, in modo da poter verificare che l'informazione ricevuta sia identica a quella situata sul server autoritativo.

Per favorire la diffusione del protocollo DNSSEC all'interno dell'ecosistema di Internet, è necessario abilitarlo nel proprio server dei nomi ricorsivi e garantire la compatibilità della propria infrastruttura di rete (es. firewall, router, switch e servizi di bilanciamento del carico) con l'enorme quantità di risposte DNS generate dal protocollo DNSSEC. Nel corso del tempo, è possibile incorporare il protocollo DNSSEC nei propri cicli di sviluppo e testing. Gli ISP che forniscono servizi di hosting DNS dovranno, inoltre, abilitare la funzionalità DNSSEC per questi servizi.

La maggior parte dei server di nomi ricorsivi disponibili in commercio già supporta il protocollo DNSSEC e richiede soltanto un aggiornamento o una modifica dei parametri. Tuttavia, potrebbe essere necessario aggiornare o sostituire i server dei nomi obsoleti e i dispositivi di rete esistenti.

Verisign si impegna per consentirvi di identificare la strategia di distribuzione del protocollo DNSSEC più indicata per la vostra situazione.

La seguente tabella fornisce una serie di raccomandazioni da applicare quando ci si trova a dover affrontare problemi associati all'implementazione DNSSEC.

PROBLEMA: LE VERSIONI DATATE DI SOFTWARE DEI SERVER DI NOMI NON SUPPORTANO IL PROTOCOLLO DNSSEC.
Spiegazione: la piattaforma DNS si è dimostrata piuttosto resiliente. Di conseguenza, gli amministratori potrebbero non aggiornare i software dei server dei nomi molto spesso. Alcuni software dei server dei nomi, tra cui la versione obsoleta di BIND, non supportano il protocollo DNSSEC. Raccomandazione: riesaminate i vostri server dei nomi ed effettuate l'upgrade a una versione che supporti il protocollo DNSSEC e RSA-SHA256, NSEC e NSEC3.

Considerate le seguenti versioni compatibili con DNSSEC: BIND 9,9.0, 9,81-p1, 9,7.4-p1 e Unbound 1,4.16
PROBLEMA: I PACCHETTI ABILITATI PER DNSSEC PRESENTANO DIMENSIONI MAGGIORI (> 512 BYTE) RISPETTO A QUELLI TRADIZIONALI.
Spiegazione: i pacchetti DNSSEC presentano dimensioni maggiori rispetto a quelli tradizionali e contengono diverse informazioni. I software di server dei nomi compatibili con il protocollo DNSSEC possono incrementare l'utilizzo delle risorse di un server. I pacchetti di grandi dimensioni richiederanno una maggiore capacità della CPU, della memoria del server e della larghezza di banda per le operazioni ISP. Raccomandazione: riesaminate l'hardware dei vostri server dei nomi per verificarne che siano pronti per il carico aggiuntivo.
PROBLEMA: I SERVER DEI NOMI RICORSIVI RICHIEDONO L'ATTIVAZIONE DELLA CONVALIDA.
Spiegazione: per fornire le funzionalità DNSSEC ai vostri clienti è necessario attivare la convalida DNSSEC sui server dei nomi ricorsivi. Raccomandazione: valutate e decidete se attivare la convalida. Impostate, quindi, e mantenete un server dei nomi ricorsivi convalidato per DNSSEC.
PROBLEMA: IL PROTOCOLLO DNSSEC AUMENTERÀ LE RESPONSABILITÀ DERIVANTI DALLA GESTIONE DNS PER GLI AMMINISTRATORI DI SISTEMA.
Spiegazione: gli amministratori di sistema responsabili delle operazioni DNS dovranno condurre interventi di manutenzione periodici e aggiornare la chiave pubblica (utilizzata per l'autenticazione DNSSEC) quando gli operatori della zona principale si occuperanno delle nuove coppie di chiavi pubbliche/private per le firme digitali. Raccomandazione: assicuratevi che gli amministratori di sistema che gestiscono le vostre operazioni DNS siano a conoscenza del concetto del protocollo DNSSEC e della manutenzione trust anchor. Fornite una formazione tecnica e promuovete una maggiore familiarità con gli strumenti disponibili.
PROBLEMA: GLI UTENTI FINALI RISCONTRANO ERRORI NELLA CONVALIDA DNSSEC.
Spiegazione: un problema rilevante per ISP e community di Internet riguarda l'esperienza dell'utente finale al rilevamento di dati DNS fraudolenti e quando si presentano errori di risoluzione del nome causati da firme digitali utilizzate per l'autenticazione DNS già scadute. Raccomandazione: fornite una corretta formazione al team del Supporto clienti, che sarà così in grado di diagnosticare e spiegare tali errori agli utenti. Collaborate con Verisign, altri ISP e altri partecipanti dell'ecosistema Internet per trovare una soluzione standardizzata a questo problema.

È necessario intraprendere azioni graduali per raggiungere il proprio obiettivo: un sistema abilitato per DNSSEC che consenta di mantenere la fiducia degli utenti finali e in grado di fornire un vantaggio competitivo. In base a quanto appreso collaborando con società di registrazione e ISP e alle attività intraprese per distribuire il protocollo DNSSEC nella zona principale .edu, .net e .com, consigliamo di procedere come segue per iniziare.

Valutazione e formazione

  • Comprendere come il protocollo DNSSEC si integra nella strategia di sicurezza informatica.
  • Conoscere i vantaggi e le sfide dell'implementazione DNSSEC.
  • Comprendere la crittografia a chiave pubblica, gli standard di crittografia e le modalità di interazione tra firme digitali e chiavi pubbliche/private.
  • Garantite allo staff IT e del Supporto clienti una corretta formazione per la gestione dei problemi relativi al protocollo DNSSEC.
  • Sfruttare le risorse Verisign e pianificare apposite strategie per informare i propri clienti a proposito del protocollo DNSSEC.

Pianificazione

  • Fissare un calendario per l'adozione del protocollo DNSSEC.
  • Stabilire come il protocollo DNSSEC si integrerà nell'architettura DNS esistente.
  • Creare policy e processi per sistematizzare l'integrazione di aggiornamenti della chiave pubblica da parte di società di registrazione o altre trust anchor.

Valutazione e aggiornamento

  • Eseguire un inventario e rivedere la propria infrastruttura: verificare, ad esempio, quale versione del software DNS BIND o Unbound è in uso e stabilire se i server dei nomi supportano NSEC3 e SHA-256.
  • Stabilire l'impatto, se presente, del protocollo DNSSEC sulla larghezza di banda di rete (i pacchetti DNSSEC di grandi dimensioni incrementano il traffico di rete).
  • Considerare l'impatto del protocollo DNSSEC sulla gestione dei server dei nomi ricorsivi.
  • Richiedere ai produttori hardware la posizione occupata dal protocollo DNSSEC nella tabella di marcia e se sono disponibili aggiornamenti per le periferiche di rete esistenti.
  • Valutare prodotti e servizi che supportino l'implementazione.
  • Aggiornare l'hardware DNS e il software del server dei nomi, se necessario, perché risultino compatibili con il protocollo DNSSEC.

Partecipazione

  • Lavorare in collaborazione con consorzi di settore, enti di standardizzazione e produttori di software e hardware per contribuire allo sviluppo di soluzioni e strategie in grado di soddisfare le esigenze dell'organizzazione.
  • Collaborare e pianificare strategie per approfondire l'esperienza degli utenti finali quando il protocollo DNSSEC rileva dati "nocivi".

leggi di piùleggi di meno

PER SAPERNE DI PIÙ

Note legali// Privacy// Archivio// Contatti// Mappa del sito


© 2011-2013 VeriSign, Inc. Tutti i diritti riservati.
VERISIGN, il logo VERISIGN e altri marchi registrati, marchi di servizio e progetti sono marchi registrati o non registrati di VeriSign, Inc. e delle relative consociate negli Stati Uniti e in altri paesi. Tutti gli altri marchi registrati appartengono ai rispettivi proprietari.