kirei Rapport 10 januari 2013 Regionförbundet i Kalmar län Kirei 2012:13 Kvalitetsgranskning DNSSEC
1 Bakgrund Regionförbundet i Kalmar län har under 2012 bedrivit ett projekt med syfte att införa DNSSEC i regionens kommuner. Projektet har drivits med stöd av Länsstyrelsen i Kalmar län i samarbete med MSB (Myndigheten för samhällsskydd och beredskap). Kirei AB har fått i uppdrag av Regionförbundet att under december utföra en kvalitetsgranskning av projektet. Granskningen omfattar följande områden: Ställda krav Jämförelse av tekniskt lösningsförslag mot ställda krav Utbildning Dokumentation och rutiner Granskningen skall också innehålla en rekommendation för att framtidssäkra implementationen samt komma med råd för framtida utveckling. 1.1 Tillvägagångssätt Projektdeltagare vid nedanstående kommuner har intervjuats via telefon: Borgholm Emmaboda Högsby Hultsfred Kalmar Mösterås Nybro Oskarshamn Torsås Västervik Vimmerby Projektdeltagare från Mörbylånga kommun har tyvärr inte gått att nå för en intervju. 1
2 Granskning 2.1 Generella kommentarer Många kommuner har i samband med införandet av DNSSEC passat på att revidera sin DNS-miljö i allmänhet. Detta har i de flesta fall medfört att kommunerna installerat nya maskiner, delat upp auktoritativ och rekursiv DNS på olika maskiner, samt etablerat fler sekundära DNS-servrar. Många kommuner använder sig av Interlans tjänst ipv6dns.se för sekundär DNS. Flertalet deltagare har kommenterat projektets tidplan och anmärkt på att mycket av implementationsarbetet hamnat mot slutet av året och att det varit kort om tid. I praktiken har detta inneburit att man enbart gjort det nödvändigaste. Tiden för projektet har i allmänhet uppfattats som väl tilltagen. Några kommuner var av uppfattningen att projektet varit onödigt komplicerat, och att implementationen i många fall endast tagit en eller ett par dagar i anspråk. Samarbetet mellan kommunerna ser med några få undantag ut att vara begränsat, vilket ter sig något underligt då man i många fall skulle kunna nå stora skalfördelar om man samarbetade rörande implementation, drift och övervakning. 2.2 Ställda krav Förvånansvärt många kommuner uppger att de inte tagit del av de krav som ställts i förstudien. De krav man använt sig av för sin implementation är istället hämtade från de exempel som ges i utbildningsmaterialet. Då utbildningsmaterialet inte berör administrativa krav, t.ex. vad gäller spårbarhet; driftrutiner och utbildning, har dessa faktorer ofta helt bortsetts från vid implementationen. Ofta saknas också motiveringar till de uppställda kraven, vilket gör att det är svårt att se hur de tagits fram och vilka risker de är tänkta att möta. De som har tagit del av kraven ser ett stort gap mellan den miljö som kraven är skrivna för och den miljö som man idag har ute på kommunerna. Flera kommuner har uttryckt sin oro över att kraven inte är praktiskt användbara för en liten kommun och att förstudien inte varit objektiv. 2
Granskning 2.3 Jämförelse av tekniskt lösningsförslag mot ställda krav Samtliga kommuner har valt sin tekniska lösning baserat på utbildningsmaterialet ISC BIND med ZKT på UNIX eller Microsoft Windows Server 2012. Båda dessa lösningar har implementerats med gott resultat och i stort sett alla kommuner uppger att de är nöjda med resultatet. De som valt att bygga sin lösning på Microsoft Windows Server 2012 har alla drabbats av fel i programvaran. En tillfällig åtgärd har gjorts för att minimera konsekvenserna som detta fel orsakar, men ingen av kommunerna har enligt uppgift rapporterat in felet till Microsoft. Det är värt att notera att utbildningsmaterial inte tar upp alternativet att köra ISC BIND på Windows Server, trots att detta är väl fungerande och beprövat alternativ. Microsoft Windows Server 2012 lanserades hösten 2012, dvs. mitt under projektet, och kan idag inte anses vara en väl etablerad lösning. Detta har medfört att kommuner utan erfarenhet av UNIX-system känt sig tvingade att bygga en lösning baserad på Microsoft Windows Server 2012. Övervakning De flesta kommuner har idag implementerat övervakning av DNSSEC. Fem kommuner har integrerat övervakning av DNSSEC i sina befintliga övervakningssystem (Nagios/OP5) och de flesta övriga köper övervakning av DNSSEC som en tjänst av Interlan Gefle AB. 2.4 Utbildning Många kommuner är nöjda eller mycket nöjda med den utbildning som genomförts inom projektet. Kommunerna har också uppskattat den direkta hjälp de fått med genomförandet. Utbildningsmaterialet har fått godkänt av de flesta kommuner. En kommun uppgav att kvalitén på materialet varit ojämnt. 2.5 Dokumentation och rutiner Få av kommunerna har prioriterat att dokumentera sin implementation. De krav på dokumentation och rutiner som föreslås i förstudien har generellt sett inte hörsammats. 3
3 Rekommendationer inför framtiden För att möta önskemålen om mer realistiska krav föreslår Kirei att en vägledning för kommuner som inför DNSSEC tas fram. Vägledning bör innehålla: Kravrekommendationer vid val av teknisk plattform, Nyckelhantering Administrativa rutiner Riskhantering Övervakning Samtliga krav och rekommendationer skall vara väl avvägda, motiverade och anpassade till den tekniska och organisatoriska miljö som kommunerna befinner sig i. Vidare föreslår Kirei att kommunerna ges möjlighet att samverka kring införande av system för IP-adresshantering något inte bara underlättar hanteringen av DNS och DNSSEC, utan också är ett viktigt verktyg vid införande av IPv6. 4