- Door
- Randy ten Have
- geplaatst op
- 22 juni 2009 08:01 uur
NeuStar heeft een oplossing ontwikkeld die cache poinsining tegen moet gaan: De Neustar Cache Defender. Tot DNSSEC op alle nameservers ingevoerd is, zou deze oplossing uitkomst kunnen bieden om de beveiliging aan te scherpen. De eerste providers zijn inmiddels begonnen met het testen van het systeem, waaronder enkele Tier-1 providers.
Bij cache poisinging vind er een hijack plaats bij het antwoord dat een nameserver geeft aan een client. In plaats van het IP-adres 89.18.174.28 (IPv6: 2001:968:182::60) wordt een ander IP-adres terug gegeven vanuit deaanvaller en kunnen bezoekers – in dit geval van ISPam.nl – op een andere webserver uitkomen. Met name bij bankaire instellingen en een gekopieerde website kan een aanvaller zichzelf makkelijk verrijken. Bij een Braziliaanse bank heeft een dergelijke aanval al plaatsgevonden.
Het systeem van Neustar controleerd alle packages op authenticiteit en gebruikt digitale handtekeningen, zoals DNSSEC implementaties dit ook doen. Momenteel loopt er een patent aanvraag en Neustar wil het ontwikkelde systeem dan ook commercieel exploiteren. Wel zal het product gratis beschikbaar komen voor ISP’s omdat de kosten van het systeem betaald zijn door de managed services die Neustar aan veel van de Fortune 500 ondernemingen richt. Door het product gratis aan ISP’s aan te bieden hoopt Neustar op een snellere adoptie en biedt het natuurlijk mogelijkheden om aanvullende services aan te bieden.