Минкомсвязи утвердило требования к операторам связи и интернет-сервисам, выполняющим функции DNS. Такие сервисы на год будут сохранять данные о пользователях и обеспечивать оперативный отклик – не более 100 мс. У приказа нашлись противники: в Минэкономразвития предупредили об избыточных и миллиардных затратах на реализацию.
Все для суверенного рунета
DNS – это система доменных имен. Она обеспечивает соответствие между доменными именами и IP-адресами узлов в сети.
Существует несколько типов DNS-серверов:
- авторитарные отвечают за конкретную доменную зону. Авторитарный мастер-сервер (первичный) может вносить изменения в доменные зоны, слейв (вторичный) – только получает данные и сам их не меняет. Обычно мастер-сервер в доменной зоне один, слевов несколько.
- кеширующие серверы рекурсивно обслуживают клиентские запросы. Они могут обработать запрос самостоятельно, сформировав цепочку нерекурсивных запросов к авторитарному серверу, или передать его рекурсивно вышестоящему кеширующему «коллеге».
- форвардеры только перенаправляют рекурсивные запросы вышестоящим кеширующим серверам. Они позволяют снизить нагрузку на конкретный кеширующий сервер.
- корневые серверы – авторитарные мастер-сервера корневой зоны сети. В мире таких глобальных серверов 13, но в локальных сетях теоретически можно создать локальные аналоги.
- регистрирующие серверы принимают обновления от пользователей и обрабатывают их.
Национальную DNS определил Роскомнадзор: к системе отнесли доменные зоны .RU, .РФ, .SU, а также другие домены, которые администрируют российские юрлица.
Основные пункты приказа
Операторы должны обеспечить стабильную работу своих DNS. Они обязаны передавать информацию для DNS в неизменном виде и гарантировать нормальное взаимодействие пользователей с национальной DNS.
Самый спорный пункт документа – о хранении журналов. Записи в них должны включать сведения о действиях пользователей с указанием даты и времени. Здесь же нужно хранить данные о сбоях в системе. Даже если саму DNS модернизируют, журнал должен оставаться неизменным. Кроме того, операторы российских DNS должны выдавать ответ на запрос от внешнего источника за 100 мс или меньше. В одной из первых версий приказа операторам давали 5 минут – в 3 тысячи раз больше времени.
С другой стороны, среднее время ответа от DNS-сервера – 8 мс. Если в приказе установят 100 мс, это может ухудшить качество связи. Наконец, через три года после вступления приказа в силу начнут действовать новые, более строгие требования. Их Минкомсвязи разработает совместно с ФСТЭК.
Критика документа
Специалисты Минэкономразвития раскритиковали документ. Еще когда приказ был в стадии обсуждения для оценки регулирующего воздействия, эксперты ведомства дали на него отрицательный отзыв. Основные претензии – необоснованные запреты и расходы. Они могут стать преградой для ведения предпринимательской деятельности операторами DNS. В Минэкономразвития пояснили: функции DNS чаще всего выполняют операторы реестров и администраторы доменных зон. Но они не владеют технологическими сетями или номерами автономных систем, а также не являются операторами связи. А значит, под действие приказа не попадают.
Если в работе оборудования Технического центра интернета возникнет сбой, в доменных зонах .RU, .РФ и .SU станет невозможным разрешение доменных имен. Кому предъявлять претензии в такой ситуации, неясно. Как операторы реестров доменных зон будут взаимодействовать с операторами корневой зоны интернета, в приказе или в законе «О суверенном интернете» не сказано. Это также вызывает множество вопросов. Кроме того, приказ распространяется только на кеширующие (рекурсивные) серверы. Но не они, а авторитарные серверы обеспечивают правильность разрешения доменных имен и стабильность работы DNS. Если кеширующий сервер останется в строю, а авторитарный отключится, система прекратит работу. Неправильно наказывать за это операторов связи или интернет-провайдеров.
Также технически невозможно обеспечить неизменность данных для работы DNS. Сама по себе DNS не защищена от внешних угроз, которые позволяют изменить данные. Расширение стандарта DNSSEC способно предупредить редактирование информации. Но ее все равно можно перехватить, скопировать и распространить.
В Минэкономразвития подсчитали, что для создания инфраструктуры для хранения данных потребуется не менее двух лет. Проект такого масштаба обойдется в десятки миллиардов рублей. Выход – конкретизировать информацию, которую действительно нужно хранить. Это позволит сократить расходы и сделать проект жизнеспособным хотя бы в теории.