面向 ISP 的 DNSSEC
DNSSEC(域名系统安全扩展)帮助 ISP 为成千上万依靠安全互联网体验进行工作、学习、娱乐和交流的用户提供增值服务。
威瑞信与 ISP 配合,实现 DNSSEC 的简化和标准化。了解 DNSSEC 对您的意义、DNSSEC 准备工作的步骤,以及如何利用威瑞信工具、信息和其他资源有效地规划、测试和启用 DNSSEC。
随着对 DNS 威胁认识的日益加深和其他互联网安全行动(如安全套接字层)的发展,DNSSEC 在风险管理、客户期望互联网体验更为安全等内在要求的推动下,已成为 ISP 业务的标准配备。
如果现在便开始,您将能够更好地保护客户、强化自己在客户保护和互联网安全方面的声誉和领先地位,使企业脱颖而出。作为先发者,您还可以对产品和服务的研发,及其他行业活动施以影响,从而令自己的业务获得支持,从中受益。
为有远见的 ISP 带来的益处
主动添加这个重要保护层后,您将能够:
- 帮助客户缓解受到网络犯罪侵害的风险
- 帮助保护和梳理自己的品牌和声誉
- 维护客户的信任和忠诚度
- 为客户提供更安全的互联网体验,作为您价值主张的一部分
- 吸引和留住注重安全性的客户
- 增强互联网的可信度,保护您的核心业务
- 对 DNSSEC 今后的发展方向施以领导力和影响力
在保障互联网正常运行和推动 DNSSEC 成功方面,ISP 发挥着重要作用。通过 ISP 管理的递归名称服务器(解析程序),可以每天数百万次地帮助互联网用户快速解析域名。递归名称服务器也是缓存病毒的主要载体。
启用 DNSSEC 的递归名称服务器可通过以下方式阻止缓存病毒:当递归名称服务器向区域授权服务器请求 DNS 信息,且该区域已签名时,递归名称服务器还要请求该区域的 DNSSEC 密匙,以便能够验证接收的信息与授权服务器上的信息相一致。
为帮助在互联网生态系统中传播 DNSSEC,您需要在递归名称服务器上启用 DNSSEC,确保网络基础设施(如防火墙、路由器、交换机和负载均衡器)兼容 DNSSEC 生成的更大的 DNS 响应。最终,您可以将 DNSSEC 集成到开发和测试环节中。提供 DNS 主机托管服务的 ISP 也需要为这些服务启用 DNSSEC 功能。
大多数商用递归名称服务器都已支持 DNSSEC,仅需进行一次更新或更改一些参数。但您可能不得不升级或替换传统名称服务器和现有网络设备。
威瑞信尽力帮助您找到最适合您情况的 DNSSEC 部署策略。
下表提供了一些建议,帮助解决 DNSSEC 实施的一些重要相关问题。
| 问题:名称服务器软件的较早版本不支持 DNSSEC。 | |
|---|---|
| 解释:DNS 是一个非常有弹性的平台。因此,管理员可能不会频繁更新名称服务器软件。有些名称服务器软件(包括 BIND 的传统版本)将不支持 DNSSEC。 | 建议:检查您的名称服务器,升级到支持 DNSSEC 协议、RSA-SHA256、NSEC 和 NSEC3 的版本。 可考虑以下 DNSSEC 兼容版本:BIND 9.9.0、9.81-p1、9.7.4-p1 和 Unbound 1.4.16 |
| 问题:支持 DNSSEC 的数据包比传统 DNS 数据包大(> 512 字节)。 | |
| 解释:DNSSEC 数据包比传统数据包大,且包含不同信息。与 DNSSEC 相兼容的名称服务器软件可能会增加服务器的资源使用率。数据包越大,对 CPU、服务器内存和 ISP 运营带宽的要求也相应越高。 | 建议:检查您的名称服务器所运行的硬件以确保服务器做好了增加负载量的准备。 |
| 问题:递归名称服务器要求验证必须被“激活”。 | |
| 解释:要向您的客户提供 DNSSEC 功能,您必须在递归名称服务器上激活 DNSSEC 验证。 | 建议:评估和确定是否需要激活 DNSSEC 验证。然后对可识别 DNSSEC 的验证递归名称服务器进行设置和维护。 |
| 问题:DNSSEC 会增加系统管理员的 DNS 管理责任。 | |
| 解释:当根区域操作员转存新的公钥/私钥对进行数字签名时,负责 DNS 操作的系统管理员将需要定期进行信任度维护并更新公匙(用于 DNSSEC 认证)。 | 建议:确保管理您的 DNS 操作的系统管理员熟知 DNSSEC 概念且信任该维护。提供技术培训,提高管理员使用可用工具的熟练度。 |
| 问题:最终用户会遇到 DNSSEC 验证失败的问题。 | |
| 解释:网络服务供应商和互联网社区主要关心是在检测到欺诈性 DNS 数据或由于认证 DNS 的数字签名过期导致域名解析失败时,最终用户的感受。 | 建议:对客户支持小组进行教学和培训,使其了解如何诊断故障以及如何向用户群解释故障原因。与威瑞信、其他网络服务供应商和其他互联网生态系统参与方进行合作,共同探讨标准解决方案。 |
您可以采取系列标准措施来实现启用 DNSSEC 系统的目标,帮助维持最终用户对网络的信任度,形成竞争优势。通过与注册商和网络服务供应商的合作以及努力在根区域,如 .edu、.net 和 .com 中部署 DNSSEC 的学习基础之上,我们建议您从以下步骤开始:
调查和教育
- 了解 DNSSEC 是否遵循网络安全策略。
- 了解实施 DNSSEC 的益处和挑战。
- 了解公匙加密算法、加密标准以及如何将数字签名与公匙/私钥运用到一起。
- 确保您的 IT 和客户支持人员接受 DNSSEC 相关问题处理培训。
- 利用威瑞信资源,制定向用户介绍 DNSSEC 的策略。
规划
- 制定一个采用 DNSSEC 的时间表。
- 确定如何将 DNSSEC 运用于现有 DNS 结构的方法。
- 制定政策和程序,将注册商或其他可信方公钥更新整合信息系统化。
评估和更新
- 制作清单并检查基础设施,例如:注意您现在运行的是哪种版本的 DNS 或 Unbound DNS 软件,并确定您的名称服务器是否支持 NSEC3 和 SHA-256。
- 确定 DNSSEC 对网络带宽的影响(如果有的话)(DNSSEC 数据包越大,网络流量越大)。
- 思考 DNSSEC 如何影响递归名称服务器的管理。
- 询问您的硬件供应商有关 DNSSEC 的部署规划图,以及是否可以对您现有的网络设备进行升级。
- 评估支持实施的产品和服务。
- 按照需要对 DNS 硬件和名称服务器软件进行更新,使其与 DNSSEC 达到兼容。
参与
- 与行业协会、标准机构和其他软硬件供应商合作,帮助开发满足您组织需求的解决方案和途径。
- 共同合作制定策略,帮助最终用户处理 DNSSEC 所检测到的“不利”数据。