Глава Координационного центра доменов .RU/.РФ: резервный механизм DNS в нашей стране есть
Директор Координационного центра доменов .RU/.РФ Андрей Воробьев в интервью ТАСС рассказал о причинах сбоя работы доменной зоны .RU, случившейся 30 января, о первых итогах расследования инцидента и о том, что планируется делать для избежания повторения сбоев в будущем.
— В доменной зоне .RU 30 января произошел глобальный сбой. Что случилось в тот момент?
— 30 января многие пользователи заметили, что сайты, размещенные на доменах в зоне .RU, стали медленно открываться или не открывались вообще. И тут стоит сразу сказать, что это был не взлом, не атака и не репетиция отключения Рунета от глобальной сети. Причиной этого стал технический сбой, произошедший при подписании новым ключом шифрования данных зоны .RU, которые передавались в реестр корневой зоны.
Система DNS преобразует имена сайтов в IP-адреса. Компьютер запрашивает ближайший DNS-сервер, который сообщает ему адрес нужного сайта. Однако на каждом DNS-сервере нет списка всех адресов интернета. Поэтому серверы передают запрос по цепочке до главных серверов нужной доменной зоны — в нашем случае зоны .RU. А список корневых серверов всех доменных зон хранится в корневом реестре интернета. Поскольку система DNS разрабатывалась в 1980-х годах, когда интернет не был глобальным и вопросы безопасности не являлись приоритетом, поэтому при запросах DNS-серверы не имеют возможности проверять достоверность ответа. Для устранения этой уязвимости и был создан протокол DNSSEC. Он при помощи криптографических ключей позволяет проверять подлинность ответа DNS-сервера и исключает возможность подмены адресов как на уровне отдельных доменов, так и всей зоны.
В результате произошедшего 30 января сбоя часть данных, подписанных новым ключом, не была принята, после чего DNS-серверы по всему миру перестали "доверять" ответам корневых серверов зоны .RU, поскольку в реестре они потеряли достоверность. Можно сказать, что на сайтах в зоне .RU заклинили "замки", и из-за этого их стало невозможно открыть.
Несмотря на вечернее время, проблема была достаточно быстро устранена, эксперты Технического центра интернет исправили и передали в корневой реестр правильные данные. После чего было запущено обновление нашей доменной зоны в реестре. Так же, как обновляются приложения в вашем телефоне, только в масштабе всего домена .RU по всей стране.
— Министр цифрового развития РФ Максут Шадаев сообщал, что ведется расследование инцидента, но, наверное, уже есть его первые результаты?
— Да, в настоящее время специалисты Технического центра интернет и MSK-IX досконально изучают, что именно и как произошло. Но в целом уже понятно, что причиной сбоя стала некорректная работа программного обеспечения, реализующего механизм подписи файла с данными зоны .RU.
— В Координационном центре доменов .RU/.РФ указывалось, что данный случай не является уникальным и что в мировой практике было немало похожих ситуаций, связанных с применением DNSSEC. Но случалось ли, что такой инцидент отражался на всей доменной зоне?
— Действительно, тонкие места в настройках DNSSEC — "родовая травма" всей мировой системы уникальных идентификаторов. За все время использования этого протокола произошло около 200 подобных случаев, и некоторые из них "выключали" национальные доменные зоны целиком.
Только в прошлом году такие проблемы были у Австралии (доменная зона .au), Новой Зеландии (доменная зона .nz), Мексики (доменная зона .mx) и Венесуэлы (доменная зона .ve), а годом ранее — еще у десяти национальных доменов. На международных мероприятиях, в том числе на международных конференциях ICANN, организации, которыея управляют адресным интернет-пространством, технические эксперты из разных стран мира регулярно разбирают такие случаи, их причины и способы предотвращения.
— Если технология DNSSEC на самом деле несовершенна, может быть, лучше подождать до того момента, когда она будет полностью отлажена?
— Здесь нужно понимать сразу несколько вещей. Криптография — один из самых проблемных разделов технологий. Внутри нее множество стандартов, которые плохо взаимодействуют между собой, и проблемы с подписью чего-либо происходят постоянно. DNSSEC, в свою очередь, — мера вынужденная, так как оригинальная система DNS, как и большая часть интернета, не имеет вообще никаких механизмов защиты от взлома. То есть DNSSEC более безопасна и защищена, но при этом, как всякая относительно новая технология, пока неидеально отлажена.
Непроработанность DNSSEC во многом связана с тем, что пока она внедрена далеко не у всех провайдеров, хотя используется на уровне корневого реестра, то есть во всех доменах верхнего уровня. И тут возникает своего рода замкнутый круг, однако специалисты во всем мире работают над тем, чтобы сделать технологию еще лучше и надежнее.
— Какие выводы можно сделать из произошедшего? Что планируется или уже предпринимается для повышения надежности функционирования процедур DNSSEC?
— Сейчас специалисты Технического центра интернет и MSK-IX ведут ревизию внутренних регламентов работы с DNSSEC. Также принимаются дополнительные меры для улучшения процессов ротации ключей и повышения надежности используемого программного обеспечения, чтобы избежать подобных инцидентов в будущем.
При этом важно, чтобы не только Технический центр интернет и MSK-IX, но и остальные провайдеры понимали, что обеспечение бесперебойной работы в условиях инцидентов и защита интересов пользователей являются важнейшей задачей, и нужно быть более активными в подключении к резервным системам
Провайдеры должны брать пример с энергетиков, которые в случае аварий мгновенно переключают энергопотоки. Тем более что резервный механизм DNS в нашей стране есть — это недавно созданная Национальная система доменных имен (НСДИ). Важно отметить, что работоспособность для абонентов операторов, своевременно подключившихся к НСДИ, была обеспечена уже через час, для всех остальных — через 2,5 часа.