Managed hosting door True

SIDN: vanaf 2009 overstap naar DNSsec

Dit artikel delen:

De organisatie die het .nl-domein beheert verwacht in 2009 te starten met het implementeren van DNSsec. SIDN wil daarmee het internetverkeer beter beveiligen. Het superbeveiligde DNSsec-protocol verhindert dat internetcriminelen gebruikers ongemerkt omleiden naar nepsites.

SIDN, de organisatie die het .nl-domein beheert verwacht in 2009 te starten met het implementeren van DNSsec (domain name system security extensions). SIDN wil daarmee het internetverkeer beter beveiligen. Olaf Kolkman, directeur van NlnetLabs: "DNSsec is te vergelijken met een lakzegel. Via dat lakzegel kun je de afzender authenticeren en kun je garanderen dat de inhoud van het informatiepakket onderweg niet gewijzigd is."

GOV-domein per 1 januari DNSsec

Het superbeveiligde DNSsec-protocol kan voorkomen dat internetcriminelen gebruikers ongemerkt omleiden naar nepsites. De kans dat dat laatste gebeurt is groter geworden nadat Dan Kaminsky begin juli wereldkundig maakte dat er een ernstig lek zit in het DNS-protocol. Dat lek maakt het mogelijk de cache van recursieve name servers te vervuilen. Dat zijn adresboeken die kopieën bewaren van ip-adressen van website en mailadressen. Ook na het installeren van een patch voor het ‘Kaminskylek' kunnen kwaadwillenden binnen tien uur een name server overnemen en vervuilen met nepadressen. Dat kan allerlei consequenties hebben: niet alleen kan mail worden afgevangen, maar zelfs SSL-certificaten voor internetbankiersites kunnen in theorie via dit lek vervalsd worden.

DNSsec kan dit probleem mogelijk oplossen. De Amerikaanse overheid gaat daarom vanaf januari 2009 DNSsec ondersteunen voor het gov.-domein. Overheidsorganen zijn bovendien vanaf die datum verplicht om deze uitbreiding van het internetbasisprotocol DNS te gebruiken voor hun internetverbindingen.

Breedbeeldtelevisie

Nederlandse providers, registrars (die domeinnamen registreren) en domeineigenaren kunnen pas van DNSsec gebruik maken als de SIDN eerst de nl-zone heeft voorbereid op DNSsec.

Sceptici beweren dat het nooit kan lukken om het hele internet op DNSsec te laten overschakelen. Bert Hubert, de ontwikkelaar van PowerDNS, zei hierover eerder tegen Computable: "DNSsec is echt een gewapend beton-oplossing, maar vereist dat netwerkbeheerders regelmatig nieuwe sleutels creëren. Die eis is weinig realistisch. Netwerkbeheerders zijn het zicht op hun DNS-infrastructuur vaak kwijt. Ze zijn gewend dat DNS gewoon werkt. Los daarvan: je zou de hele internetgemeenschap moeten overtuigen van het gebruik van een nieuw protocol. Maar het is net als bij breedbeeld-televisie: dat heeft alleen zin wanneer iedereen overstapt."

Januari 2009: ENUM-zone

SIDN implementeert DNSsec nu alvast voor een deel van het nl-domein: de ENUM-zone, die de link vormt tussen telefonie en internet (zie kader). De implementatie wordt uitgevoerd door NLnetLabs en zal naar verwachting in januari 2009 afgerond zijn.

Antoin Verschuren, technisch adviseur bij SIDN, de organisatie die het .nl-domein beheert: "Na evaluatie zal eenzelfde traject worden opgestart voor de .nl-zone. Wanneer en of precies hangt af van de resultaten met de ENUM zone. Maar ik verwacht wel dat we ergens in 2009 dit project zullen opstarten. SIDN heeft al eens een testbed gedraaid voor de .nl-zone, gebaseerd op de DNSsec-techniek van enkele jaren geleden. Dat was toen meer een proof of concept, maar DNSsec was toen nog niet echt klaar. DNSsec is nu wel klaar als protocol, maar er moet nog veel gedaan worden aan standaardtools. Om die ontwikkeld te krijgen moet er vraag zijn, een kip- en eiprobleem."

ENUM

ENUM vormt de link tussen internet en telefonie. Door het telefoonnummer om te keren en aan te vullen met ‘e164.arpa' ontstaat een domeinnaam die bruikbaar is op internet, of beter: op de IP-netwerken. Een denkbeeldig Nederlands telefoonnummer +31 (0) 20 - 123 45 67 wordt dan: 7.6.5.4.3.2.1.0.2.1.3.e164.arpa.  De ‘gebruiker' van het telefoonnummer kan door de ENUM-techniek namelijk zelf aangeven op welke wijze hij of zij bij voorkeur benaderd wil worden. Ongeacht waar deze persoon zich bevindt (thuis, op het werk, op vakantie) of welke medium gebruikt wordt (computer, telefoon, PDA, sms, mobiel, fax e.d.).

MEER WETEN OVER DNSsec

http://www.dnssec.net/ is een algemene portal waarin naar verschillende sites met tutorials, tools en technologie wordt verwezen.
http://www.dnssec-deployment.org/  is een site met achtergronden, nieuws en links.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

VS verplicht DNSSEC voor overheid

Firefox beschermt tegen DNS-gat

Getronics: niets mis met Amsterdamse DNS

Aantal DNS-aanvallen neemt toe

'Getronics incompetent bij DNS-patch Amsterdam'

Mailservers nog kwetsbaar voor DNS-lek

Internetbankieren onveilig ondanks 3x kloppen

DNS-lek ondermijnt vertrouwen in internet

Gepatchte DNS-servers binnen tien uur over te nemen

Nederlander vond als eerste details DNS-lek

DNS-lek maakt internetbankieren onveilig

DNS-patches vertragen internetverkeer

DNSSEC enige oplossing tegen DNS-lek

Gepatchte DNS-servers binnen een dag te hacken

Apple-patch voor DNS-lek deugt niet

Geen nieuwe patches ondanks DNS-gevaar

Apple brengt patch uit voor DNS-lek

DNS-servers aangevallen

Niet alle providers gepatcht tegen DNS-lek

Beheerder patcht DNS-lek vaak ongemerkt

Apple heeft nog geen patch voor DNS-lek

Kaminsky geeft meer details over DNS-lek

Cisco: schakel DNS-server uit

Zeker helft DNS-servers nog niet gepatcht

Patchen DNS-lek is niet voldoende

Minderheid bedrijven heeft DNS-lek gedicht

Details DNS-lek uitgelekt

DNSsec wordt wereldwijd meest gebruikt bij .NL

SIDN besteedt databasebeheer uit aan Trivento

.NL-domein krijgt in augustus 2010 DNSSEC

Eu-domein test beveiligd internetprotocol

SIDN stelt invoering DNSsec uit

SURFnet ondersteunt veilig internetprotocol

Internet krijgt beveiligd DNS-protocol

.com-domein krijgt beveiligd DNS-protocol

Kaminsky vond DNS-lek dankzij fitnessongelukje

SIDN verandert tarieven

Windows 7 biedt betere DNS-beveiliging

Organisaties verwaarlozen DNS-infrastructuur

Nederland patcht slechter tegen Kaminsky-lek

EU wil richtlijnen voor veiliger internet

Tsjechië stapt over op beveiligd DNS-protocol


Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.