Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Verslag SIDN relatiedag: DNSSEC voor het .nl-domein?

  • Door
  • Randy ten Have
  • geplaatst op
  • 15 december 2008 08:01 uur

Landrush numerieke .nl-domeinnaam rampzalig verlopenVrijdagmorgen tijdens de SIDN relatiedag heb ik de lezing van Esther Makaay, Service Architect bij de SIDN, gevolgd over het al dan niet invoeren van DNSSEC op het .nl-domein. De DNS infrastructuur is inmiddels even oud als het Internet: 25 jaar. En al die tijd zijn er weinig veranderingen gekomen. Wel zijn er in die tijd veel kwetsbaarheden aan het licht gekomen. Een van de grootste daarvan is het Kaminsky lek, dat enkele maanden terug bekend gemaakt werd.

Met het Kaminsky lek is het mogelijk een recursive DNS server te vervuilen, opdat deze een verkeerd IP-adres geeft als antwoord. Met een 100TX verbinding vanuit het datacentrum zouden kwaadwillenden tussen de 3 en 90 seconden nodig hebben om bijvoorbeeld de DNS server van je provider een ander IP-adres dan 89.18.174.28 (2001:968:182::60 voor de IPv6 gebruikers) terug te laten geven en zo al het verkeer om te leiden tot een andere website. Voor ISPam.nl niet zo’n ramp, maar voor een site van bijvoorbeeld een bancaire instelling wel.

Er is eigenlijk maar een goede oplossing om de DNS infrastructuur te beveiligen: DNSSEC. Met deze uitbreiding op de bestaande DNS infrastructuur, wordt de zonefile bij de update voorzien van een key. Computers kunnen dus altijd nagaan of het antwoord wat een DNS server geeft correct is. Het opzetten van een dergelijk systeem is echter niet zo moeilijk. De SIDN onderzoekt momenteel de mogelijkheden ervan en gaat kijken of DNSSEC een goede uitbreiding zou zijn van de huidige infrastructuur.

Immers, DNS is overal. Bellen via SIP, even een e-mail sturen, betalen bij een webwinkel of je bankzaken online regelen. Een veilige infrastructuur is daarbij zeer belangrijk, temeer omdat de DNS de hele basis vormt van het Internet. Momenteel is er echter maar 1 oplossing: patchen. Alternatieven zijn nog niet klaar, DNSSEC is niet ‘zo even’ in te voeren en TLS-opties pakken slechts een deel van het probleem aan.

Waarom morgen geen DNSSEC?
Deze vraag is makkelijk te beantwoorden. DNS is overal. Ook in de DSL-routers bij eindgebruikers. Het is belangrijk, dat er dus duidelijke afspraken gemaakt worden bij de invoering. Of die invoering voor het .nl-domein komt is daarom ook nog n iet zeker. De SIDN wil eerst alle voor- en nadelen bezoek en de haalbaarheid onderzoeken. Invoering van DNSSEC in Zweden leidde al eens tot het ‘Gavle incident’, waarbij 2/3 van de Zweedse bevolking delen van het Internet niet konden bereiken.

Reacties

Japje, 15 december 2008 11:09 am

"Er is eigenlijk maar een goede oplossing om de DNS infrastructuur te beveiligen: DNSSEC"

Dan Bernstein, bekend van qmail/djbdns/tcpserver/daemontools, heeft onlangs DNSCurve voorgesteld.

Het grote verschil is dat DNSCurve alleen de transport encrypt, en DNSSEC gaat veeeel verder (vandaar dat het ook lastiger is te implementeren) zoals het versleutelen van een hele zone.

Een 2e verschil is dat DNSCurve gebruikt maakt van een elliptische curve encryptie en DNSSEC doet RSA1024.

Een reden hiervoor is dat Bernstein (en niet alleen hij) verwacht dat RSA1024 niet lang stand zal houden door de steeds groter wordende rekenvermogen van computers.

Zo ver ik kan zien, en mijn beperkte ervaring met zowel DNSSEC als DNSCurve, heeft Bernstein een goed punt: Als een zone met een key word gesigned en men komt achter die key dan heeft men controle over de hele zone.
Nu hoor ik je denken, maar 1024 is badass zwaar. True maar zoals ik al zei worden de pc's steeds krachtiger, en botnets worden steeds groter. Een criminele organisatie die per see een zone zou willen hebben (.com?) kan er gewoon brute rekenkracht tegen aangooien om de private key te verkrijgen.

Dat is het grootste probleem bij de DNSSEC implementatie. Heb je de private key van een zone kun je er mee doen en laten wat je wil.

Encrypt je de transport is de tijd die je hebt om een DNS request te forgen veeeel kleiner omdat je binnen de tijd client-request -> server reply die beveiliging moet kraken. i.p.v. dat je rustig de tijd neemt de hele private key van een zone te bruteforcen en zodoende daarna elke request voor die zone kunt veranderen en hersignen.

Hopelijk is het verschil duidelijk... De koffie wil nog niet echt werken deze maandag ;)

John, 16 december 2008 12:46 am

Ja, ik ben ook nog geen onverdeeld voorstander van DNSSEC. Het maakt DNS ineens wel een stuk complexer. Waar nu nog zones jarenlang onaangeroerd blijven, moeten beheerders straks elke 6 maanden key-rollovers plannen. Dat is lang niet voor iedereen weggelegd en lijkt een snelle adoptie van DNSSEC in de weg te staan.

Jimmy Cappaert, 18 december 2008 8:53 am

Sorry, maar ik denk dat het nu nét niet SIDN moet zijn om hier pionier in te zijn en het selectje clubje moet bijtreden van DNSSEC-ondersteunende registries. Eerst moet er orde geschept worden in de huidige rommelcultuur dewelke SIDN tot nader order nog altijd handhaaft. Als er eindelijk een praktisch en degelijk beheerssysteem is voor de .NL-extensie, dan mag hier van mijn part nog uren over suf gedebatteerd worden. Nu echter de focus daarop leggen terwijl SIDN een puinhoop achterlaat, vind ik uiterst hypocriet en getuigt van weinig competentie.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.

Op ISPam.nl worden met ingang van 1 februari 2017 geen nieuwe berichten meer geplaatst. Het platform is daarmee een digitaal museum geworden dat ruim 10 jaar geschiedenis van de branche toont (2006-2017). xCAT.nl Publishing is tegenwoordig als juridische uitgeverij actief op het gebied van wetgeving.

Copyright 2006-2017 individuele auteurs en xCAT.nl Publishing. Alle rechten voorbehouden.
Overname van berichten is alleen toegestaan na toestemming van de auteur en uitgever.