Dns-rootservers gaan op 5 mei over op dnssec

Op 5 mei voltooien domeinautoriteiten over de hele wereld de eerste fase van de dnssec-implementatie. Hiermee krijgen antwoorden van dns-servers een digitale handtekening, wat man-in-the-middle aanvallen zou moeten tegengaan.

De DNS Security Extensions voegen enkele nieuwe features aan het dns-protocol toe om zo te kunnen waarborgen dat de communicatie tussen dns-server en gebruiker niet door een derde partij wordt beïnvloed. Via een zogeheten man-in-the-middle attack is het mogelijk om een request naar een dns-server te onderscheppen en gebruikers zo een andere website voor te schotelen dan de site waarnaar ze op zoek waren. Met de nieuwe extensies krijgen antwoorden van een dns-server een digitale handtekening, die de authenticiteit van de pakketjes moet waarborgen.

De implementatie van de extensies zou overigens voor problemen kunnen zorgen, aldus Icann-topman Bruce Tonkin tegenover itnews. Antwoorden op requests aan een dns-server worden momenteel in pakketjes van maximaal 512 bytes verstuurd. Na de invoering van dnssec zullen deze pakketjes tot 2 kilobyte groot zijn. Sommige oudere dns-resolvers zullen deze grotere pakketjes mogelijk uit veiligheidsoverwegingen blokkeren.

Bijna alle grote isp's zouden al op de nieuwe technologie zijn voorbereid, maar bedrijven die zelf hun dns-omzetting regelen, zouden problemen kunnen krijgen. Momenteel draait een deel van de dertien rootservers de nieuwe extensies al. Kan een stuk hardware niet met een pakketje van één van de geüpgrade servers overweg, dan kan deze de request vooralsnog naar een andere rootserver sturen. Na 5 mei beschikken alle dertien rootservers over dnssec, waardoor dit geen optie meer is en incompatibele netwerkhardware mogelijk problemen gaat geven.

IT-banen

Reacties (62)

hanneman 3 mei 2010 13:19

Deze incompatibiliteit met oudere servers/clients schijnt wel mee te vallen...

The DNSSEC protocol is an addition to the existing DNS protocol, and not a replacement. In order for clients to receive the signed responses, along with the information required to verify the reply, clients must explicitly set a "DO" flag in the query they send to the resolver. If this flag is not set, the resolver will return a response in the standard, pre-DNSSEC format.

Old clients, which are unable to handle the DNSSEC extensions will not set this flag in outgoing requests, and thus will have no issues reading the reply they receive. Equally, if a client that does support DNSSEC queries a server which does not, the response will be returned in the standard format, and no record will be found at the parent nameserver indicating that a signed response should have been received.

http://www.neowin.net/new...h---internet-will-live-on

[Reactie gewijzigd door hanneman op 31 juli 2024 09:57]

Verwijderd @hanneman • 3 mei 2010 13:43

Ik zie hier al een mogelijkheid voor een man in the middle attack: de middleman zet die flag gewoon uit in het request, en kan dan gewoon data volgens de oude standaard terugsturen. De client kan niet zomaar weten of dat komt omdat de dns server niet beter kan, of omdat er iemand tussen zit.

compufreak88 @Verwijderd • 3 mei 2010 13:48

Een client die de vlag zet, verwacht ook een digitale handtekening terug te krijgen. De man-in-the-middle zal dus nog steeds een geldige digitale handtekening naar de client moeten sturen zodat de client de response accepteert.

buzzin @Verwijderd • 3 mei 2010 13:49

Dat kan vanaf nu dus wel....je kunt altijd verwachten dat je zo'n handtekening terugkrijgt als je deze specifiek vraagt.
Wel kan zo'n handtekening natuurlijk vervalst worden, al zal dat best lastig worden...

Tassadar 3 mei 2010 14:02

Overigens gaat het hier om DURZ, een deliberately unverifiable root zone. Met andere woorden, de boel is wél gesigneerd, maar deze signature kan nog niet worden geverifieerd. Het helpt nu dus ook nog precies 0,0 tegen man-in-the-middle attacks!

Het hele doel van DURZ is om de impact van grotere DNS packets te testen: werken alle DNS resolvers er goed mee, zijn alle firewalls goed afgericht, hoe is de processorbelasting van DNS servers, wat doet het met dataverkeer, enz.

Pas als dat allemaal duidelijk is, en de meeste problemen zijn opgelost, zal de signature alsnog worden vervangen door een geldige signature, die dus wél te verifiëren is. Dan pas helpt de implementatie daadwerkelijk tegen man-in-the-middle attacks.

De huidige planning is om per 1 juli van dit jaar op een te valideren signature over te gaan.

Zie voor meer informatie deze interessante blogpost: http://www.root-dnssec.or...atus-update-january-2010/

[Reactie gewijzigd door Tassadar op 31 juli 2024 09:57]

Verwijderd 3 mei 2010 14:51

Hier kan gecontroleerd worden op enige problemen die kunnen ontstaan:
https://www.dns-oarc.net/oarc/services/replysizetest

BBenedictus 3 mei 2010 13:53

Ik vraag mij wel af of dit niet meer belastend zal zijn op je internetlijntje. Aangezien de DNS pakketjes van 512 bytes naar 2048 bytes gaan.

Als ik zie hoeveel DNS requests er langs onze ISA server gaat.

IJsbeer @BBenedictus • 3 mei 2010 14:11

Jouw internetlijntje doet geen DNS requests naar de root-servers. Jouw internetlijntje gebruikt de DNS van je ISP (of evt. Google/OpenDNS, etc). Die van je ISP maken verbinding met de root-DNS servers.

Deze upgrade moet dus vooral voorkomen dat je DNS van je ISP betere data bevat. Een man in the middle attach kan vanaf dan nog wel plaatsvinden gezien er weinig ISP's zijn die DNSSEC ondersteunen.
Het is alleen 'iets' meer werk, omdat er nogal wat ISP DNS servers zijn.

hstuivenberg @IJsbeer • 3 mei 2010 14:17

Dat is dus maar even de vraag. Voor thuisgebruik is dat inderdaad juist, maar er zijn toch wel heel veel bedrijven die zelf hun DNS servers laten resolven.

hommer

@hstuivenberg • 3 mei 2010 15:04

En als je dat dus ooit hebt opgezet met tinyDNS kun je een probleem krijgen aangezien die alleen de 512 bytes UDP paketten accepteerd.

CAPSLOCK2000

Internet
Internettoegang
Netwerktechnologie

@IJsbeer • 3 mei 2010 17:33

Het is de bedoeling dat jouw PC ook DNSSEC gaat controleren. Hij doet het nog niet, en de benodigde software is nog niet erg consumentenvriendelijk. Daarom hoor je nu alleen nog van ISP's en andere netwerkreuzen die er mee bezig zijn.

Persoonlijk heb ik meer vertrouwen in de beveiliging en goede intenties van de root servers dan van mijn ISP. Niet dat ik zo'n slechte ISP heb, maar de beheerders van de root servers zijn gewoon beter. Voor mij is het dus belangrijker om de DNS server van m'n provider te controleren dan de root servers.

4Lph4Num3r1c @IJsbeer • 3 mei 2010 15:28

Volgens mij geeft hij aan dat het zijn ISA server betreft, dus hoogstwaarschijnlijk een zakelijke omgeving. Dus is het helemaal niet uitgesloten dat ze rechtstreeks de rootservers benaderen.

CAPSLOCK2000

Internet
Internettoegang
Netwerktechnologie

@BBenedictus • 3 mei 2010 17:16

Ik vraag mij wel af of dit niet meer belastend zal zijn op je internetlijntje. Aangezien de DNS pakketjes van 512 bytes naar 2048 bytes gaan.

Als ik zie hoeveel DNS requests er langs onze ISA server gaat.

Ja, natuurlijk is het meer belastend, je moet immers 4 keer meer data verstoken, maar je moet het wel in perspectief blijven zien, 2kb blijft heel weinig data. Ik denk dat 1 bittorrentgebruiker zwaarder is voor je netwerk dan 10.000 dns gebruikers.

Persoonlijk maak ik me meer zorgen om de processorbelasting die cryptografie op grote schaal met zich mee brengt, maar ook daar geldt dat het best te overzien is.

eagle00789 3 mei 2010 13:20

Ik ben eens benieuwd wat dit nu precies gaat inhouden voor de veiligheid en hoeveel problemen we hierdoor gaan krijgen.

Verwijderd @eagle00789 • 3 mei 2010 13:44

Censureren via dns zal een stuk lastiger worden.

CAPSLOCK2000

Internet
Internettoegang
Netwerktechnologie

@Verwijderd • 3 mei 2010 17:27

Hoe dat?
Het zal iets moeilijker worden om ongemerkt te censureren, maar niet veel.
Het is nog steeds mogelijk om queries volledig tegen te houden. DNSSEC probeert ook niet om de inhoud van je DNS queries geheim te houden. Het zorgt er alleen voor dat je kan controleren of de inhoud veranderd. Als je helemaal geen antwoord krijgt zul je nooit weten of de andere kant niet bestaat of dat er gecensureerd wordt.

Verwijderd @CAPSLOCK2000 • 4 mei 2010 08:54

Veel censuur software op DNS niveau routert "onwelgevallige" IP adressen naar een waarschuwingspagina of zelfs naar 127.0.0.1. Dat kan nu niet meer ongemerkt.

0vestel0 3 mei 2010 15:22

Ga er van uit dat je hier gewoon helemaal niets van merkt. Waarom zou je ook.
Maar mocht de volledige Root eruit liggen. Dan gaan we gewoon over op de Alternative open Root Servers.

wimmi @0vestel0 • 3 mei 2010 15:34

WTF gast?
Wat is dat nu weer voor een lame idee!

De Wiki zegt over Alternative Open Root Servers:
(Shutdown 31.12.2008 00:00 UTC)
Used to be a mirror of the ICANN root.

Wijs mensen dan op OpenDNS ofzo.

FreshMaker

Internet

@wimmi • 3 mei 2010 18:25

ik voorzie een hyperventilerende pcgebruiker

net als de millenium bug, die zou ons allemaal treffen, man wat een gedoe

5 mei gaat iedereen naar bed, wordt 6 mei wakker, en voila - alles is een storm in een glas water ....

arjankoole

Internettoegang

@FreshMaker • 4 mei 2010 00:09

maar die 200% overpay die ik toen met oud-en-nieuw werken kreeg, was toch erg gewaardeerd.

MrSpacely @FreshMaker • 4 mei 2010 09:21

Er is die tijd ervoor ook heel er veel werk gedaan om ervoor te zorgen dat niet alles in de soep zou lopen. Het was een echt groot probleem maar doordat een heleboel mensen hard eraan gewerkt hebben werkte bijna alles na 00:00 01-01-2000 nog goed.

Noxious 3 mei 2010 13:14

Kan een stuk hardware niet met een pakketje van één van de geüpgrade servers overweg, dan kan deze de request vooralsnog naar een andere rootserver sturen.

Zouden daar ook statistieken van zijn? Lijkt me wel boeiend om te zien hoe vaak dit soort problemen voorkomen.

Waarschijnlijk zullen een hoop bedrijven/personen er pas achter komen als het 'niet meer werkt'.

Verwijderd 3 mei 2010 13:25

Dat werkt lang niet altijd, er zijn nl. genoeg server die virtualhosts hebben, dan heeft verbinden naar IP weinig nut aangezien de webserver niet weet welke site hij dan moet laden.

Noxious @Verwijderd • 3 mei 2010 13:28

In dat geval werkt een hosts file wel prima overigens

Maar het lijkt me totaal overbodig om er op te rekenen dat er zulke grote problemen gaan ontstaan. Sowieso query je zelf niet de root servers, maar die van je provider. En ik mag hopen dat providers inmiddels up to date genoeg zijn.

nuuwnhuusk @Noxious • 3 mei 2010 13:45

En je hebt natuurlijk ook nog een cache in je computer en je router, laten die servers een paar minuten down gaan dan hoeft dat geen enkel probleem te veroorzaken.

Verwijderd 3 mei 2010 13:14

Hopelijk ligt het internet er dan niet uit.

Dark Angel 58 @Verwijderd • 3 mei 2010 13:17

lol ik moest heel even aan south park aflevering denken...
hele wereld stond in de crisis toen internet uitviel.

Ik denk dat het wel meevalt, er zijn toch fallback servers?

[Reactie gewijzigd door Dark Angel 58 op 31 juli 2024 09:57]

Noxious @Dark Angel 58 • 3 mei 2010 13:25

Misschien moet je het artikel even lezen, de fallback servers die er nu zijn, worden ook overgezet op de nieuwe standaard, dus die zijn er dan niet meer.

Het internet uitvallen zal wel meevallen, en providers zijn er ook op voorbereid mag ik hopen.

Verwijderd @Noxious • 3 mei 2010 15:38

Ik heb net de DNS van KPN en het oude Hetnet getest, de laatste is niet compatibel. Maar het boeit niet, het is een storm in een glas water..

quote: http://www.neowin.net/new...h---internet-will-live-on
Old clients, which are unable to handle the DNSSEC extensions will not set this flag in outgoing requests, and thus will have no issues reading the reply they receive. Equally, if a client that does support DNSSEC queries a server which does not, the response will be returned in the standard format, and no record will be found at the parent nameserver indicating that a signed response should have been received.

Maak je dus maar niet druk..

humbug @Noxious • 3 mei 2010 15:14

Maar je kunt aannemen dat de bedrijven eerst 1 serie overzetten, testen en dan pas de failback gaan overzetten.

sniek @Dark Angel 58 • 3 mei 2010 14:49

Als de ROOT servers er uit liggen dan kan er alsnog geresolved worden op ISP niveau... DNS cache!

Maar het zal niet lang moeten duren.

Verwijderd @Dark Angel 58 • 3 mei 2010 13:37

Gelukkig toonde SP ook de oplossing: gewoon even het internet resetten :-)

firefly112 @Verwijderd • 3 mei 2010 13:25

ik hoop dat jij 5 mei niet thuis achter je computer zit te internetten maar lekker feest aan vieren bent.

SPee @firefly112 • 3 mei 2010 13:33

Ik hoop dat ik dat ook kan.
Maar ik ben bang dat het toch op kantoor achter de PC zitten wordt

Het is niet voor iedereen een vrije dag

Jeffroiscool @SPee • 3 mei 2010 13:37

Inderdaad, ik moet gewoon werken

Spockz @Jeffroiscool • 3 mei 2010 19:29

Dit jaar is 5 mei een officiële feestdag en zou je dus gewoon vrij moeten hebben. Ambtenaren hebben elk jaar met 5 mei vrij.

CabezaDelZorro @Spockz • 3 mei 2010 19:36

Ik ben wel op 5 mei vrij, maar dit is zeker geen gegeven. Het is misschien wel een officiele feestdag, maar alleen in CAO's is dit als verplichte vrije dag geregeld. Heb je geen CAO, dan is het aan de baas om te beslissen of het bedrijf een dagje vrij heeft.

Verwijderd @Spockz • 4 mei 2010 08:32

onwaar.

Je kunt echt niet zomaar alle ambtenaren vrij geven op een bepaalde dag.

Verwijderd @Verwijderd • 5 mei 2010 22:59

Vanaf wanneer doen ambtenaren wat dan?

sab @firefly112 • 3 mei 2010 13:43

Ik hoop dat jij mij de vrijheid gunt om niet midden in de drukke mensenmassa te gaan staan en mij de dag lekker naar eigen inzicht in te delen, zonder hierover vooroordelen te verstrekken.

FreshMaker

Internet

@sab • 3 mei 2010 18:21

Mijn idee

Het rare idee dat iedereen maar als een halve gek moet gaan springen op een door anderen bepaald moment trekt me helemaal niet

net als carnaval en andere "dorpsfeesten"

Als ik uit mijn dak wil gaan, dan doe ik dat op mijn eigen manier, met mijn kinderen op een leuke lcatie naar eigen keuze ( als ze open zijn

)

elmuerte @firefly112 • 3 mei 2010 13:29

Feest vieren dat sinds 1945 er steeds meer vrijheid door de overheid afgenomen wordt?

nuuwnhuusk @elmuerte • 3 mei 2010 13:34

Feest vieren omdat we nog steeds genoeg vrijheid hebben om af te nemen.
Ik neem aan dat dit systeem uitvoerig is getest, waarom zou het problemen opleveren?