dns

Минкомсвязи утвердило требования к операторам связи и интернет-сервисам, выполняющим функции DNS. Такие сервисы должны будут в течение года хранить информацию о пользователях и обеспечивать время отклика не более 100 мс. Минкэномразвития предупреждает, что данные требования приведут к затратам на десятки миллиардов.

Приказ Минкомсвязи о DNS

Министр связи Константин Носков подписал приказ «Об утверждении требований к функционированию технических и программных средств, используемых в целях выявления в сети интернет сетевых адресов, соответствующих доменным именам». Документ опубликован на Портале правовой информации и является подзаконным актом к так называемому закону «О суверенном интернете».

DNS (Domain Name System, система доменных имен) отвечает за соответствия сетевых адресов (IP) доменным именам.

Подписанный министром документ призван регулировать использование соответствующих программных и технических средств владельцами уникальных идентификаторов совокупности средств связи в сети интернет (номеров автономных систем) из числа операторов связи, организаторов распространения информации в сети интернет (ОРИ, обеспечивают общение пользователей интернета) и обладателей технологических сетей связи.

Указанные лица должны обеспечивать бесперебойное функционирование своих DNS, передачу данных для DNS в неизменном виде и взаимодействие пользователей услугами связи с национальной системой доменных имен. Ранее приказом главы Роскомнадзора Александра Жарова к национальной системе доменных имен были отнесены доменные зоны .RU, .РФ, .SU и иные доменные зоны верхнего уровня, администраторами которых являются российские юридические лица.

Требования к DNS: хранение журналов в течение года и ответ за 100 миллисекунд

Согласно приказу Константина Носкова, при осуществлении функций DNS соответствующие лица должны журнал действий своих пользователей с указанием даты и времени, записывая также информацию о сбоях в работе DNS. Указанная информация должна будет храниться в течение года и не изменяться в случае модернизации DNS.

Минкэномразвития предупреждает, что новые требования к DNS приведут к затратам в десятки миллиардов рублей

Предельное время ответа DNS на запрос пользователя должно составлять 100 мс с момента получения ответа от внешнего источника адресной информации. При этом в первоначальном варианте приказа Минкомсвязи предельное время ответа была гораздо больше – 5 минут.

Также по истечении трех лет с момента вступления в силу данного приказа DNS должны будут также выполнять требования по информационной безопасности, установленные приказами ФСТЭК (Федеральная служба технического и экспортного контроля) и Минкомсвязи.

Разгромный отзыв от Минэкономразвития

Когда Минкомсвязи выкладывало на Портале обсуждения проектов нормативных актов проект соответствующего приказа, он получил отрицательный отзыв от Минэкономразвития об оценке регулирующего воздействия. Министерство высказало к документу целый ряд замечаний о введении необоснованных запретов и ограничений и возникновению необоснованных расходов субъектов предпринимательской деятельности.

Во-первых, функции DNS, в первую очередь, выполняются администраторами доменных зон и операторами реестром доменных зон. Однако данные субъекты, как указывают в Минэкономразвития, не являются ни операторами связи, ни владельцами технологических сетей связи, ни владельцами номеров автономных систем. Соответственное, предлагаемое регулирование на них не распространится.

В то же время, даже при отсутствии внешней угрозы, в случае сбоя в работе оборудования Технического центра интернета (операторам реестров доменных зон .RU, .РФ и .SU), разрешение доменных имен в данных зонах станет невозможным. В связи с этим в Минэкономразвития считают целесообразным разработать требования к операторам реестров доменных зон и определить порядок их взаимодействия с операторами реестра корневой зоны интернета.

Также в Минэкономразвития указали, что DNS-сервера бывают трех типов: Stab-сервера, рекурсивные (кэширующие сервера) и авторитетные сервера. Приказ Минкомсвязи направлен на регулирование только одного типа данных серверов – рекурсивных, тогда как за правильность разрешения доменных имен и устойчивость работы DNS, в первую очередь, отвечают авторитетный сервер.

В случае, при устойчивом функционировании рекурсивных серверов в случае ненадлежащей работы авторитетного сервера деятельность национальной доменной зоны может быть прекращена. Минэкономразвития считает недопустимым возложение вины за такое развитие событий исключительно на «фактически невиновных» интернет-провайдеров.

В первоначальном варианте приказа Минкомсвязи содержалось требование для операторов связи по обеспечению взаимодействия пользователей услуг связи с Национальной системой доменных имена на территории России и за ее пределами. В Минэкономразвития указывали, что операторы связи за пределами России технически не смогут выполнить данное требование, в связи с чем – в части зарубежных государств – оно было убрано из финальной версии приказа.

Кроме того, в Минэкономразвития считают технически невыполнимым другое требование к операторам связи – об обеспечении неизменности данных, используемых для работы DNS – так как такого рода функции выполняют операторы реестров доменных зон.

Не согласны в Минэкономразвития и с требованиям о выполнении DNS требований по информационной безопасности, установленных Минкомсвязи ФСТЭК. В ведомстве указывают, что проток DNS не имеет защиты от указанных угроз, а его расширение DNSSEC защищает только от модификации данных. При этом передаваемая информация технически может быть просмотрена, скопирована и потом распространена.

Сколько миллисекунд реально нужно DNS на ответ

Требования об ответах от DNS на запрос пользователя в течении 100 мс в Минэкономразвитии считают нецелесообразным, так как у большинства операторов связи ответ от DNS приходит не более чем за 8 миллисекунд. Соответственно, введение указанного требования приведет к ухудшению качества оказания услуг связи при обращении пользователей к Национальной системе доменных имен.

Требование о хранении в течение года информации об обращениях пользователей к DNS вызывает опасение Минэкономразвития в связи с тем, что для его выполнения потребуется не менее двух лет и затраты в размере десятков миллиардов рублей. В связи с этим в министерстве считают необходимым конкретизировать информацию, подлежащую хранению.

Раскритиковал приказ Минкомсвязи и гендиректор хостинг-провайдера «Дремучий лес» Филипп Кулин. «Формально так и осталось неясным, про кого этот документ, — говорит Кулин. — Можно предположить, что он относится к DNS-ресолверам и коснется интернет-провайдеров, хостинг-провайдеров и ОРИ. Требование о неизменности передачи сообщений для DNS-систем технически нереализуемо, так как в протоколе DNS нет защиты от изменения сообщений. А в части ограничения времени ответа DNS-системы 100 мсек остается непонятным, как это время измерять».

От KaligulBorhes

"How long, ignoramuses, will you love ignorance? How long will fools hate knowledge?"