Managed hosting door True

Internet krijgt beveiligd DNS-protocol

Dit artikel delen:

De root van de DNS wordt voor het einde van dit jaar met DNSsec beveiligd. Dat maken de NTIA (National Telecommunications and Information Administration) en het NIST (National Institute of Standards and Technology) bekend. De rootzone is het hoogste niveau binnen de hiërarchische DNS-structuur. Eerder deze week voerde the Public Internet Registry DNSsec in voor het .org domein terwijl in februari al bekend werd dat Verisign DNSsec binnen twee jaar in gaat voeren voor de top-level domeinen die dit Amerikaanse bedrijf beheert: .com en .net.

DNSsec (domain name system security extensions) is een protocol dat backwards compatible is met internetfundament DNS, maar daarnaast authenticatie en databescherming biedt. Via DNSsec kan een provider controleren of DNS-gegevens te vertrouwen zijn. Wanneer een internetgebruiker foutieve DNS-gegevens ontvangt, kan hij worden omgeleid naar vervalste websites, of kunnen zijn mailberichten worden afgeleverd op het verkeerde adres.

Via DNSsec kunnen providers aan een DNS-server vragen om gegevens te voorzien van een digitale handtekening. Om die handtekening te kunnen controleren is een publieke sleutel nodig. Die publieke sleutel wordt verstrekt door de organisatie die een bepaald domein beheert. Olaf Kolkman, directeur van Nlnet Labs: ‘De ondertekening van de rootzone is een heel grote stap vooruit. Voor Nederlandse domeinnamen betekent de ondertekening van de rootzone concreet nog niets, omdat de .nl-zone nog niet ondertekend is. Maar met een getekende root wordt het aan de kant van de gebruikers nu ineens heel veel makkelijker om DNSsec te configureren. Doordat je gebruik maakt van de hiërarchische eigenschappen van de DNS-boom en begint bij de wortels, wordt providers veel werk bespaard. Het wachten is nu op .nl-beheerder om voor Nederlandse domeinen de keten compleet te maken.'

DNSsec wordt ondermeer al door de volgende domeinen ondersteund: Brazilië (.br), Bulgarije (.bg), -.gov, -org, Puerto Rico (.pr), Tsjechië (.cz), Thailand(.th) en Zweden (.se). Sceptici beweren dat het nooit kan lukken om het hele internet op DNSsec te laten overschakelen. Bert Hubert, de ontwikkelaar van PowerDNS, zei hierover eerder tegen Computable: ‘Je zou de hele internetgemeenschap moeten overtuigen van het gebruik van een nieuw protocol. Maar het is net als bij breedbeeld-televisie: dat heeft alleen zin wanneer iedereen overstapt.'

Ernstig lek in DNS

Het superbeveiligde DNSsec-protocol kan voorkomen dat internetcriminelen gebruikers ongemerkt omleiden naar nepsites. De kans dat dat laatste gebeurt is groter geworden nadat Dan Kaminsky in juli 2008 wereldkundig maakte dat er een ernstig lek zit in het DNS-protocol. Dat lek maakt het mogelijk de cache van recursieve name servers te vervuilen. Dat zijn adresboeken die kopieën bewaren van ip-adressen van website en mailadressen. Ook na het installeren van een patch voor het ‘Kaminskylek' kunnen kwaadwillenden binnen tien uur een name server overnemen en vervuilen met nepadressen. Dat kan allerlei consequenties hebben: niet alleen kan mail worden afgevangen, maar zelfs SSL-certificaten voor internetbankiersites kunnen in theorie via dit lek vervalsd worden.

Meer weten over DNSsec

http://www.dnssec.net/ is een algemene portal waarin naar verschillende sites met tutorials, tools en technologie wordt verwezen.
http://www.dnssec-deployment.org/  is een site met achtergronden, nieuws en links.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

.com-domein krijgt beveiligd DNS-protocol

Kaminsky vond DNS-lek dankzij fitnessongelukje

Windows 7 biedt betere DNS-beveiliging

Organisaties verwaarlozen DNS-infrastructuur

Getronics ontkent gestuntel met DNS-patch

Tsjechië stapt over op beveiligd DNS-protocol

SIDN: vanaf 2009 overstap naar DNSsec

VS verplicht DNSSEC voor overheid

Firefox beschermt tegen DNS-gat

Getronics: niets mis met Amsterdamse DNS

Aantal DNS-aanvallen neemt toe

'Getronics incompetent bij DNS-patch Amsterdam'

Mailservers nog kwetsbaar voor DNS-lek

DNS-lek ondermijnt vertrouwen in internet

Gepatchte DNS-servers binnen tien uur over te nemen

Nederlander vond als eerste details DNS-lek

DNS-lek maakt internetbankieren onveilig

DNS-patches vertragen internetverkeer

DNSSEC enige oplossing tegen DNS-lek

Gepatchte DNS-servers binnen een dag te hacken

Apple-patch voor DNS-lek deugt niet

Geen nieuwe patches ondanks DNS-gevaar

Apple brengt patch uit voor DNS-lek

DNS-servers aangevallen

Niet alle providers gepatcht tegen DNS-lek

Beheerder patcht DNS-lek vaak ongemerkt

Apple heeft nog geen patch voor DNS-lek

Kaminsky geeft meer details over DNS-lek

Veilig internetbankieren ondanks DNS-lek

Cisco: schakel DNS-server uit

Zeker helft DNS-servers nog niet gepatcht

Patchen DNS-lek is niet voldoende

Minderheid bedrijven heeft DNS-lek gedicht

Details DNS-lek uitgelekt

DNS infrastructuur vertoont nog steeds cruciale beveiligingsrisico's

DNS vaak onvoldoende beveiligd

DNSsec wordt wereldwijd meest gebruikt bij .NL

SIDN stelt invoering DNSsec uit

Internet moet zomer 2010 over zijn op DNSsec

SURFnet ondersteunt veilig internetprotocol

Oud-agent wordt hoogleraar webcriminaliteit


Reacties

Vreemd dat de NTIA en NIST dit bekend maken, terwijl zij hier niet over gaan. Gelukkig heeft ICANN, de organisatie die hier wel over gaat, toegezegd hieraan mee te werken.

ICANN is al een tijd bezig met DNSSEC, maar het lijkt er op dat met deze stap de verantwoordelijkheden (wie is verantwoordelijk voor welke stap in het proces, wie is verantwoordelijk voor de digitale sleutels, etc) voor de nabije toekomst verdeeld zijn.

Het ICANN persbericht staat op http://www.icann.nl/en/announcements/announcement-2-03jun09-en.htm.

Erg praktisch ook dat dit nu pas gebeurd. De rest van de wereld wil eigenlijk al van DNSsec af omdat het verouderd is en mogelijk onveilig vanwege de afhankelijkheid op MD5.

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.