Hur mår den svenska delen av internet?

Så är hälsoläget på den svenska delen av internet

För åttonde gången i ordningen har IIS genomfört sin årliga undersökning av nåbarheten på nätet och hälsoläget i .se. Den första genomfördes 2007. I dag presenterar vi resultatet och vi kan konstatera att en del problem minskar men flera områden måste förbättras.

Syftet med undersökningen är att kartlägga och analysera kvaliteten och nåbarheten i framför allt domännamnssystemet (DNS) i .se-zonen och några andra viktiga funktioner för domäner registrerade i .se såsom e-post och webb. Genom att undersökningen har genomförts flera år i följd kan vi också visa på utveckling och trender inom flera av de undersökta områdena.

IIS ambition är att genom insamling och analys av fakta samt spridning av resultat bidra till att infrastrukturen för (åtminstone den svenska delen av) internet har god funktionalitet och hög tillgänglighet.

I årets rapport redovisar vi dessutom resultatet av en något fördjupad undersökning och analys inom området internationaliserade domännamn, IDN, det vill säga domännamn med andra tecken än a-z, 0-9 och bindestreck (-) och i vilken utsträckning det används i undersökningsgruppen.

2014 blir det sista året som vi genomför Hälsolägetrapporten, åtminstone på det här sättet. Vi kan efter dessa år konstatera att kvaliteten i .se-zonen har förbättrats avsevärt sedan vi började. Hur mycket av dessa förbättringar som kan tillskrivas vårt arbete är svårt att säga, men vi vill gärna tro att vi har gjort viss skillnad. Här är resultaten i korthet.

Behov av kompetenshöjning om DNS

De vanligaste felen i DNS-systemen är ungefär desamma som tidigare år. Det finns fler namnservrar annonserade i .se-zonen än som faktiskt svarar på frågor för domänen (drygt 5 procent), namnservrar svarar inte på frågor via protokollet TCP (5,5 procent) eller att endast en namnserver svarar på frågor om domänen (2 procent) vilket av robusthetsskäl borde vara minst två.

Dessa fel uppstår bara om den som administrerar och hanterar namnservrarna inte har tillräcklig kunskap om hur domännamnssystemet fungerar och hur det påverkas av exempelvis vissa brandväggsregler.

Det krävs resurser för en bättre DNS-infrastruktur

Medan verksamheter ofta lägger miljontals kronor på webbinfrastruktur med serverhallar, servrar, lastbalanserare, databaser och design så verkar få lägga några större resurser på en stabil och robust DNS-infrastruktur. I dag är DNS en växande måltavla för bland annat överbelastningsattacker – angreppen sker där motståndet är som svagast. Därför är det fundamentalt viktigt att förbättra infrastrukturen för DNS som en del av åtgärderna mot sådana attacker.

Färre öppna rekursiva namnservrar

Öppna rekursiva namnservrar kan missbrukas av andra och utnyttjas vid överbelastningsattacker. Mellan 2007 och 2014 har andelen namnservrar med rekursion påslaget minskat mycket kraftigt, från 40 procent till 4 procent.

Allt fler använder IPv6

När det gäller IPv6 för kommunikation med namnservrar ser vi en fortsatt ökning hos alla kategorier i hela undersökningsgruppen, från 54 procent 2013 till 61 procent 2014. Vanligast förekommer det inom kategorin Universitet och högskolor (86 procent). Den största ökningen har skett inom kategorin Media där det ökat från 33 procent som använde IPv6 2013 till 58 procent 2014. Även bland myndigheter, landsting och kommuner har ökningen varit avsevärd.

DNSSEC

Ökningen av DNSSEC-signerade domäner fortsätter. En del av ökningen kan förklaras med att MSB mellan 2012 och 2013 beviljat medel ur 2:4-anslaget för krisberedskap, vilket har kunnat sökas av utpekade myndigheter. Totalt har MSB fördelat 10 390 000 kronor att förbruka mellan 2012 och 2014.

Vid årets undersökning är andelen signerade .se-domäner nära 30 procent.

För att ge stöd och vägledning i att införa DNSSEC i en liten eller medelstor verksamhet har IIS publicerat praktiska rekommendationer. Vägledningen är framtagen för att kunna tjäna som ett hjälpmedel för exempelvis kommuner som håller på att införa DNSSEC och den kan också utgöra ett stöd i det löpande arbetet. Den finns att ladda ner här.

E-postservrar placerade i Sverige

I 2014 års mätning har vi ännu en gång tagit en titt på verksamheternas placering av e-postservrar, och om dessa står placerade i eller utanför Sverige (e-postservrar nåbara med IPv4-adresser). Årets resultat pekar på att det är något färre som har e-postservrar placerade i utlandet än tidigare. Att ha e-postservrar i utlandet ökar sannolikt risken för avlyssning om kommunikationen inte är skyddad med kryptering, vilket den de facto långt ifrån alltid är.

Vad händer nu?

Under 2014 har vi haft ett samarbete med det franska registryt Afnic där vi gemensamt har utvecklat ett nytt verktyg, Zonemaster som ska ersätta dagens DNSCheck. Vi har stora förhoppningar om att Zonemaster kommer att ligga till grund för att etablera en branschstandard för tester av domännamnssystemet. Zonemaster lanserades i början av februari 2015.

Nu är det upp till er, alla domäninnehavare och namnserveroperatörer för .se-domäner. Se till att ni har den bästa tänkbara designen och gör om det som inte är rätt. Se till att uppfylla de enkla rekommendationer som finns i rapporten, som borgar för bra tillgänglighet till era tjänster och en högre säkerhet. Signera era domäner med DNSSEC. Det borde inte finnas någonting som hindrar er från att ta det steget.

Hela rapporten hittar du här.

 

Etiketter: , , , , , , , , Foto: Ripoff Я E.R. av George Dowle (CC BY-NC-SA 2.0)
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

Ingen har kommenterat artikeln ännu.