Sjunet robust DNS. Teknisk Beskrivning

Relevanta dokument
Konfigurationer Video- och distansmöte Bilaga till Tekniska anvisningar

Konfigurationer Videooch distansmöte Bilaga till Tekniska anvisningar

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

Portförändringar. Säkerhetstjänster 2.1 och framåt

Sjukvårdsrådgivningen Kundtjänst 2008

Rotadministration och serverroller

Systemkrav. Åtkomst till Pascal

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Bilaga 2 Drift och Underhåll

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet

Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet

Mobilt arbetssätt inom vård och omsorg Linköping UH

Bilaga 2 Drift och Underhåll

Tekniska anvisningar Mötestjänsten Video- och distansmöte

Sjunet standardregelverk för informationssäkerhet

Rekommendationer teknisk lösning_samsa_ ver

Bilaga 2 utdrag urinförandehandbok

Nitha IT-stöd för händelseanalys. Beskrivning och tjänstespecifika villkor

! " #$%&' ( #$!

Koncernkontoret Avdelningen för Digitalisering och IT

Checklista. Konsumentinförande via Agent, Nationell Patientöversikt (NPÖ)

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt

Checklista. För åtkomst till Svevac

Handbok Remote Access TBRA

Arbetsplatstjänsten / SUA

Beställningsstöd för anslutning till NTJP

Hälsoläget i.se Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Säkerhetstjänster Spärr,Samtycke,Logg. Beskrivning och tjänstespecifika villkor

Bilaga 9. Överenskommelse om tjänstenivåer (SLA)

Video- och distansmöte - Beskrivning och tjänstespecifika villkor

DNSSEC implementation & test

DNS-test. Patrik Fältström. Ulf Vedenbrant.

Anslutningsvägledning. Nationell patientöversikt 2.0

Systemadministration. Webcert Fråga/Svar

Manual Komma igång med Softphone-klient

SERVICENIVÅER V

Kommunikationstorget i Västra Götaland

DNS. Linuxadministration I 1DV417

Bilaga 8D Tjänster för Stadens Pedagogiska Verksamheter

Felsökningsunderlag. för Nationell patientöversikt, NPÖ. Dokumentationsversion 3.0 Datum

Avtal om Kundens användning av tjänsten Video- och distansmöte

Manual - Inloggning. Webbadress: Webbadress demoversion: (användarnamn: demo / lösenord: demo)

Mobilt Efos och ny metod för stark autentisering

Konfigurering av eduroam

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0

Total överblick med webbaserad larmservicecentral.

Avtal om Kundens användning av Pascal Bilaga 1 - Tjänstespecifikation Pascal

;001. Pris. Bilaga till ramavtal mellan Statens inköpscentral och Borderlight AB. Kommunikation som tjänst.

Mobilt Efos och ny metod för stark autentisering

Termer och begrepp. Identifieringstjänst SITHS

Avtal Standard dator arbetsplats (SLA)

Mobilt Efos och ny metod för stark autentisering

Din guide till en säkrare kommunikation

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Instruktion för att kunna använda Säkerhetstjänsternas administrationsgränssnitt

Nationell Tjänsteplattform och säkerhetsarkitektur. Per Brantberg, område arkitektur/infrastruktur

Journal via nätet - Beskrivning och tjänstespecifika villkor

Skanova Service - snabbare felavhjälpning

Förvaltningsplan för Sjunet

Pascal - Beskrivning och tjänstespecifika villkor

Manual - Inloggning. Svevac

Manual - Inloggning. Svevac

Portalinloggning SITHS HCC och Lösenordsbyte manual

CLOUDair. Det enklaste sättet att få kontroll över dina installationer

Bilaga 5 Administration och kontroll

Varför och hur införa IPv6 och DNSSEC?

Manual - Inloggning. Svevac

Version: 2.0 NBS / / AS

Inkoppling av annan huvudman för användning av Region Skånes nätverk - RSnet

Termer och begrepp. Identifieringstjänst SITHS

Datacentertjänster IaaS

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

SITHS Rutin för RA i SITHS Admin

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Swegon Connect TBSC manual

BILAGA 3 TJÄNSTENIVÅ SLA ÖVERENSKOMMELSE OM TJÄNSTENIVÅ

Instruktion. Datum (12) Coverage Dokument id Rev Status? Godkänd. Tillhör objekt -

NPÖ konsument över Internet/Kunskapsöversikt NPÖ. Lars Törnblom/ Marita OlssonNarving Sveriges kommuner och landsting

EXTERN ÅTKOMST TILL SOCIALA SYSTEM FÖR UTFÖRARE INOM ÄLDREOMSORGEN OCH OMSORGEN OM FUNKTIONSHINDRADE

Pascal ordinationsverktyg ersätter e-dos

Checklista IT Artvise Kundtjänst

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Detta är en sammanfattande information och checklista över vad införandet av E- identitet för offentlig sektor, Efos, innebär.

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef Twitter: amelsec

Allt handlar om att kommunikationen måste fungera, utan avbrott.

Sammanträdesdatum Arbetsutskott (1) 28 Dnr KS/2016:389. Slutredovisningen av internkontroll 2017, KSF

Testpatienter. Godkända testpatienter i NPÖ produktionsmiljö

Laboration 4 Rekognosering och nätverksattacker

Att sätta upp en IPsec-förbindelse med mobil klient (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Felmeddelande - inloggning till Pascal

GIVETVIS. SKA DU HA INTERNET I DIN LÄGENHET! En guide till hur du installerar internet i ditt nya hem.

GIVETVIS. SKA DU HA INTERNET I DIN LÄGENHET! En guide till hur du installerar internet i ditt nya hem.

21.6 Testa VPN-tunneln

Allmänna villkor. för Mina meddelanden. Bilaga 4 Servicenivåer (SLA) version 1.0 (Gäller fr.o.m )

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

FEM FRÅGOR DU BÖR STÄLLA DIG INNAN DU KÖPER FÖRBINDELSER

Riktlinjer för tester och testdata i HSA. Version

Regelverk för identitetsfederationer för Svensk e-legitimation

Intygstjänster. - Beskrivning och tjänstespecifika villkor

Transkript:

Sjunet robust DNS Teknisk Beskrivning

Revisionshistorik Version Författare Kommentar 0-0.9 Björn Gustavsson 0.91 Christoffers Johansson 1. Inledning... 2 2. Syfte... 2 3. Bakgrund... 2 4. Kontaktvägar... 2 5. IP-adresser... 2 6. Lösningen... 3 7. Administration... 3 8. Lokala DNS-Inställningar... 4 9. Vyer... 5 10. Subzone... 5 11. Drift och förvaltning... 5 Sid 1/8

1. Inledning Detta dokument syftar till att ge berörda intressenter en teknisk överblick hur Sjunets robusta DNS fungerar och hur det driftas och förvaltas. 2. Syfte Detta dokument är till för att beskriva hur Sjunets DNS-system är designat samt till att öka förståelsen för lösningen 3. Bakgrund DNS-systemets syfte är att översätta DNS namn/värden till IP-adresser oberoende av Internet. Systemet är verksamhetskritiskt för tjänster inom e-hälsa och är därför robust designat och förvaltat för att ha en hög tillgänglighet. De flesta anrop som sker över ett nätverk till fjärrsystem görs genom att källmaskinen skickar förfrågan om ett DNS värde till en eller flera DNS servrar. Dessa svarar i sin tur med aktuell IP adress. Detta underlättar konfiguration av system genom att man bara behöver ändra IP adress centralt i DNS istället för på varje källmaskin. Om kontakten med Internet går ner och man försöker ställa DNS förfrågningar dit istället för via Sjunet medför det nästintill lika stora konsekvenser som om Sjunet i sig låg nere för berörda parter. Inera AB har därför identifierat ett behov av att införa en robust DNS- funktion på Sjunet för att homogenisera verksamheternas DNS-arkitektur samt eliminera alla beroenden till Internet för en fungerande DNS-funktion på Sjunet. 4. Kontaktvägar Frågor/incidenter skall ställas/anmälas till Inera AB. Kontaktvägarna hittas på 5. IP-adresser De IP-adresser som finns i miljön: DNS-namn IP-adress Funktion dnsadmin.sjunet.org 81.89.151.36 Administratörsgränssnittet login.dnsadmin.sjunet.org 81.89.151.42 Administratörsgränssnitt för inloggning med SITHS- Sid 2/8

kort dns1.sjunet.org 81.89.151.38 DNS1,auth dns2.sjunet.org 81.89.151.10 DNS2,auth dns3.sjunet.org 81.89.151.40 DNS3,resolver dns4.sjunet.org 81.89.151.12 DNS4,resolver dns1.sjunet.inera.se 193.44.76.181 DNS1,auth (internet) dns2.sjunet.inera.se 82.196.191.243 DNS2,auth (internet) 6. Lösningen Fysiskt skilda drifthallar, funktionerna i lösningen är sedan fördelade enligt följande Geografisk plats 1: Hidden Master Auktoritativ namnserver1 DNS-resolver1 Övervakning Syslogserver Front-end för 2-faktor-autentisering (login) Geografisk plats 2: Auktoritativ namnserver2 DNS-resolver2 Övervakning 7. Administration Administrationsgränssnittet är en webbaserad lösning. Behörighet för administration till utvalda resurser och subzoner delegeras av Inera efter beställning till Kundservice av den som är Sjunetansvarig eller motsvarande inom respektive organisation. Loggning av åtkomst, förändringar och versioner sparas för uppföljningssyfte. Autentiseringsmodulen för inloggning i administrationsgränssnittet baseras på 2-faktorautentisering med SITHS-certifikat. Policy för hanteringen av ex. TTL-värden, SOA-poster baseras på RFC 1912. Sid 3/8

8. Lokala DNS-Inställningar Beroende på hur man i dagsläget har satt upp sin interna DNS-struktur så kan man behöva implementera DNS zonen *.sjunet.org på olika sätt. Metod 1: Villkorlig forward till autentiseringsservrar för just zonen *.sjunet.org. Metod 2: DNS forwardlookup till resolverservrar, så att alla DNS uppslag skickas vidare till Sjunets DNS servrar. Metod 3: At man använder resolverservrarna på Sjunet direkt. Scenarion som vi identifierat: Sid 4/8

9. Vyer I den nya lösningen så har vi implementerat två olika vyer. VIEW-SJUNET och VIEW-INTERNET. DNS systemet känner av källadressen och presenterar olika vy för *.sjunet.org beroende på om klienten gör sina uppslag via Internet eller Sjunet Detta har vi gjort då vi vill censurera vad för DNS svar en Internetanvändare får på zonen sjunet.org. 10. Subzone Subzoner hanteras idag enligt två olika metoder. Metod 1: Det centrala systemet har hand om subzoner och dessa administreras via gränssnittet. Metod 2: Det centrala systemet delegerar zonen till en annan DNS server Detta får konsekvenser att det inte bara räcker att öppna brandväggen emot det centrala DNS systemet utan man måste även öppna emot alla subzons DNS servrar. Då dessa kan bytas och ändra IP adresser utan att vi hinner förvarna alla slutanvändare så är det sanktionerat att ha en generell udp/tcp öppning för port 53 mot alla Sjunets IP spann. (TCP krävs för DNSsec) 11. Drift och förvaltning Inera upphandlade DNS systemet som en funktion. Ansvaret för driften ligger hos leverantören Evry (Före detta SYSteam Drift Uppsala). Förvaltningen hanteras av Inera AB med stöd av Sjunets förvaltningsgrupp. Sid 5/8

12. SLA Tillgänglighet SLA: Vite: Med Tillgänglighet avses procentuell del av den totala tiden per månad som DNS-funktionen kan utnyttjas på avtalat sätt. 99,95% per månad. Etthundra (100) procent av den totala månadskostnad för drift och förvaltning för varje påbörjad procent som tillgängligheten understiger avtalad servicenivå per månad. Maximalt antal fel SLA: Vite: Med maximalt antal Fel avses summan av de incidenter som klassificerats som Fel under en tidsperiod Antalet Fel i DNS-funktionen skall vara maximalt ett (1) st per månad, samt maximalt sex (6) st per kalenderår. Tjugofem (25) procent av månadskostnad för varje antal Fel som felet/bristen överstiger avtalad servicenivå. Åtgärdstid SLA: Vite: Med Åtgärdstid avses maximal tid inom Servicetid som det får ta att helt åtgärda Fel räknat från att det upptäckts. < 1 timmar Tjugofem (25) procent av månadskostnad för varje påbörjad timme som felet/bristen överstiger avtalad servicenivå. timme som felet/bristen överstiger avtalad servicenivå. Fel Fel räknas från den tidpunkt som först inträffar av följande: Fel detekteras av övervakningssystem eller på annat sätt. Beställaren felanmäler via nationell kundtjänst Om Leverantörens funktion för felanmälan ej är nåbar skall tidpunkten räknas från den tidpunkt då anmälningsförsöket görs. Fel varar till dess Leverantören funnit att DNS-funktionen fungerar Sid 6/8

korrekt och Beställaren meddelats och accepterat. Planerat underhåll Planerat underhåll klassas som Fel om den anslutna Nyttjarens möjlighet att bruka DNS-funktionen begränsas så att det motsvarar ett Fel och att Beställaren inte godkänt det planerade underhållet. Leverantören informerar Beställaren om önskad tidpunkt för planerat underhåll senast 10 Arbetsdagar i förväg. Planerat underhåll, om godkänts av Beställaren, utförs av Leverantören på lördag morgnar mellan kl. 00:00-06:00 och på måndag morgnar mellan kl. 02:00-06:00 CET (Central European Time). Beställaren skall ha rätt att få tidpunkt för planerat underhåll ändrat, för det fall tillgängligheten på DNS-funktionen är mycket väsentlig för Nyttjarens verksamhet. Sid 7/8

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss