На создание национальной системы DNS-серверов согласно утвержденным требованиям понадобятся десятки миллиардов рублей



    Минкомсвязи на днях утвердило требования к операторам связи и интернет-сервисам, которые выполняют функции DNS. Эти сервисы должны не только хранить информацию о пользователях в течение года, но и обеспечивать время отклика на уровне 100 мс.

    После анализа законопроекта специалистами Минэкомразвития оказалось, что для реализации этих требований нужно будет потратить десятки миллиардов рублей.

    Тем не менее, приказ «Об утверждении требований к функционированию технических и программных средств, используемых в целях выявления в сети интернет сетевых адресов, соответствующих доменным именам» уже подписан министром связи Константином Носковым. Это подзаконный акт к другому документу — закону «О суверенном интернете».

    Приказ, по словам его составителей, должен регулировать использование специфических программных и технических средств владельцами так называемых «уникальных идентификаторов совокупности средств связи в сети интернет». Владельцы, как правило — операторы связи, организаторы распространения информации в сети интернет и обладатели технологических сетей связи.

    Все эти лица и организации должны обеспечить бесперебойную работу своих DNS, а также передачу данных для DNS в неизменном виде, плюс взаимодействие пользователей услугами связи с национальной системой доменных имен. Ранее к этой системе отнесли доменные зоны .RU,.РФ, .SU, а также другие доменные зоны верхнего уровня, администраторами которых являются юридические лица из РФ.

    Лимит времени по ответу на запрос пользователя не должен превышать 100 мс. Изначальные требования были гораздо менее серьезными — в первоначальном варианте лимит времени ограничен 5 минутами.

    Еще одно условие — по истечении трех лет с момента вступления в силу приказа DNS должны выполнять требования по информационной безопасности, установленные приказами ФСТЭК (Федеральная служба технического и экспортного контроля) и Минкомсвязи.

    Что касается реакции Минэкомразвития на соответствующий документ, то она резко отрицательная. У Министерства — целый ряд замечаний о введении запретов и ограничений и возникновению необоснованных расходов субъектов предпринимательской деятельности.

    Так, DNS выполняются администраторами доменных зон и операторами реестра доменных зон. Но они не являются ни операторами связи, ни владельцами технологических сетей связи, ни владельцами номеров автономных систем. Соответственно, это регулирование на них не распространяется.

    Но даже если не возникнет внешняя угроза, если случится сбой в работе оборудования Технического центра интернета, то разрешение доменных имен в этих зонах станет технически нереализуемой задачей. Соответственно, Минэкомразвития требует разработать критерии для операторов реестров доменных зон, одновременно определив порядок их взаимодействия с операторами реестра корневой зоны интернета.

    При этом в Минэкомразвития отметили, что приказ Минкомсвязи направлен лишь на регулирование одного из видов DNS-серверов — рекурсивного. А есть еще Stub-сервера и авторитетные сервера. Последние отвечают за правильность разрешения доменных имен и устойчивость работы DNS.

    Соответственно, даже если с рекурсивными серверами все будет в порядке, а вот авторитетные сервера будут работать не так, как полагается, то деятельность национальной доменной зоны может быть нарушена. При этом в случае проблем обвинят провайдеров, которые не могут нести ответственность за подобные проблемы.

    В первой редакции законопроекта Минкомсвязи требовало от операторов связи обеспечивать бесперебойное взаимодействие пользователей услуг связи с Национальной системой доменных имен на территории России и за ее пределами. Но в Минэкомразвития указали, что отечественные операторы не могут отвечать за деятельность инфраструктуры вне России и не в состоянии выполнить это требование. Поэтому оно было убрано из финальной версии приказа.

    В целом, у Минэкомразвития есть еще много замечаний. Критическими, кроме озвученных выше, два. Первое — представители ведомства считают технически невыполнимым требование обеспечивать неизменность данных для работы DNS от операторов. Второе — выполнение DNS требований по информационной безопасности, установленных Минкомсвязи ФСТЭК. Проблема в том, что DNSSEC защищает лишь от модификации данных, а вот информацию можно просмотреть, скопировать и затем распространять.

    Что касается лимита в 100 мс, то по мнению Минэкомразвития и экспертов, оно нецелесообразно. У большинства операторов связи ответ от DNS приходит примерно за 8 мс. Т.е. если позволить операторам увеличить лимит времени, это может привести к ухудшению качества оказания услуг связи при обращении пользователей к Национальной системе доменных имен.

    На хранение информации об обращениях пользователей к DNS в течение года потребуется проведения ряда работ и создание дополнительной инфраструктуры. А это — не менее двух лет времени и затраты в объеме нескольких десятков миллиардов рублей.

    «Формально так и осталось неясным, про кого этот документ, — говорит Кулин. — Можно предположить, что он относится к DNS-ресолверам и коснется интернет-провайдеров, хостинг-провайдеров и ОРИ. Требование о неизменности передачи сообщений для DNS-систем технически нереализуемо, так как в протоколе DNS нет защиты от изменения сообщений. А в части ограничения времени ответа DNS-системы 100 мсек остается непонятным, как это время измерять», — заявил гендиректор хостинг-провайдера «Дремучий лес» Филипп Кулин.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 27

      +7
      По лимиту в 5 минут на ответ от DNS сразу видна техническая подкованность авторов…
        +3

        Ну они привыкли же что сначала надо подписать у вышестоящего начальника пакет...

        +1
        Почему в статье о самом главном сказано мимолетом? Росийские dns БУДУТ ХРАНИТЬ ИНФОРМАЦИЮ О ПОЛЬЗОВАТЕЛЯХ В ТЕЧЕНИИ ГОДА. Это хуже закона яровой — тут vpn не поможет
          +2

          Нужно начинать заполнять /etc/hosts

            0
            Да потому что никто не будет пользоваться российскими DNS. Учитесь настраивать собственные DNS-резолверы с шифрованием.
              0
              главное, чтобы зарубежные DNS-серверы не объявили нарушающими законодательство и РФ и не начали их блокировать. Что очень даже вероятно.
                0

                Для этого уже DoH придумали. А если госдура заблокирует HTTPS то это будет означать что чебурнет уже наступил.

                  +1

                  Уже собираются DoH блокировать: https://digital.gov.ru/ru/documents/7002/ (см. приложение).

                    0
                    вот это странно. И если с DNS over TLS все понятно, так как достаточно заблокировать 853 порт, но как быть с DNS over HTTPS мне не понятно
                      0
                      MitM, блокировка удаленных серверов пулами по IP.
                        0

                        Это весь клаудфлейр надо будет заблочить как минимум… Пол-интернета отключится :) Они думаю распихают свои 1.1.1.1 по всем остальным адресам.

                          0

                          Им заблокировать достаточно основные домены типа dns.google.com, и у большинства DoH работать не будет, пока eSNI не завезут.

                      0

                      Они и телеграм собираются блокировать уже пару лет, только толку? А DoH посложнее будет, особенно когда все браузеры на него переедут в обязательном порядке. И eSNI активируют.

              0
              а также передачу данных для DNS в неизменном виде,

              Тут ничего не сказано от чьего DNS. Я только за. Свои заглушки подсунуть не смогут. И часть сайтов опять заработает.
                0
                100мс совсем дофига, когда днс сервер на другом конце света отвечает намного быстрее

                  +1
                  У них же распределенная система. Скорее всего недалеко стоит
                    +2

                    Да, 8.8.8.8 это эникаст. У меня из Амстердамского ДЦ отвечает вообще за 1мс, если пакет в Америку бы летел то превысил скорость света :)


                    # ping 8.8.8.8
                    PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
                    64 bytes from 8.8.8.8: icmp_seq=1 ttl=56 time=0.993 ms
                    64 bytes from 8.8.8.8: icmp_seq=2 ttl=56 time=1.05 ms
                    64 bytes from 8.8.8.8: icmp_seq=3 ttl=56 time=0.980 ms
                    +1
                    Никого не смущает что в россии уже есть несколько зеркал корневых серверов? Для чего нужна ещё одна национальная система (ну кроме очевидного варианта распила)?
                      0
                      Чтобы отдавать правильные адреса заглушек.
                      0
                      Мне вот интересно, уже давно на всякие «интересные проекты» списываются суммы в миллиардах (последнее время — в десятках этих самых миллиардов). Для чего все эти дивные статьи расходов и куда девается львиная доля выделенных средств — ясно даже дереву.

                      А теперь вопрос — когда уже закочатся деньги в принципе? Они ж не безлимитные. Тащат уже даже не вагонами, а танкерами. Когда все то?
                        0
                        Россия богатая страна. Воруют, воруют, еще и остается.
                          0
                          Вы ошибаетесь. Если в одном месте воруют, то на самом деле воруют у нас с вами. Ваше здоровье, ваше образование, ваше удобство и даже ваше будущее. На гос.медицину денег НЕТ, а вот на это разворовывание бюджета деньги ЕСТЬ! Откуда скажите они взялись? из воздуха? Да вот из урезанию бюджета медицины, образования, пенсии, космической программы или ремонта дорог, лесного хозяйства, управления водного хозяйства и других ресурсов. Всё, что не является необходимым прямо сейчас для поддержания гос.машины — на всё это бюджет урезается в пользу проектов которые обкатаны под вывод средств из бюджета в пользу простых бедных граждан, нуждающихся в денежных средствах.
                            0

                            В чем я ошибаюсь? Я просто привел цитату более или менее известную…
                            А в остальном я с вами полностью согласен, иначе бы жил там еще..

                          +1
                          А деньги, в целом, не закончатся, если их вовремя у кого-то отбирать перераспределять. Например, налогами. Там НДС повысим, тут акциз, здесь беспошлинный лимит уменьшим. Я хоть и вырву фразу из контекста, но здесь, считаю, она вполне уместна:
                          Люди — новая нефть

                            0
                            Они Чиполлино до конца не досмотрели или досмотрели и уже подготовились.
                          0

                          а могли бы построить дороги в деревнях

                            0
                            Но зачем им это?

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое