Uitrol van dnssec op root zone afgerond
De eerste digitale handtekening voor de dertien voornaamste serverclusters in de dns-hiėrarchie van internet is uitgegeven. De stap moet het begin markeren van een veiliger root zone met volledige dnssec-implementatie.
De uitrol van DNS Security Extensions moet een man-in-the-middle-aanval voorkomen. Onder andere moeten de cache poisoning-aanvallen tot het verleden gaan behoren. Bij deze aanvallen werden internetters op dns-niveau doorgesluisd naar malafide sites. Voor volledige beveiliging dienen wel alle schakels vanaf de rootservers in de dns-hiërarchie en de servers van top-leveldomeinen tot de cacheservers die de uiteindelijke site voorschotelen op dnssec te zijn overgestapt.
Bij de root zone is die overstap zeven maanden geleden ingezet. De dertien rootservers zijn in mei feitelijk al overgestapt op dnssec, maar de Icann heeft nu ook een zogenaamde trust anchor gepubliceerd. Daarmee kan de uitwisseling van geldige certificaten of digitale handtekeningen voor de verificatie van dns-data beginnen.
"De uitgifte van de handtekening voor de root is de katalysator die nodig is voor de verdere uitrol van dnssec, vooral in de tld registries", zegt Paul Vixie, ceo van het Internet Systems Consortium. ISC is de beheerder van F-root, de grootste dns root-server.
Reacties (27)
Maar in ieder geval beter dat ze uiteindelijk een veiliger systeem hebben.
[Reactie gewijzigd door mxcreep op zaterdag 17 juli 2010 21:47]
Uiteraard moet je niet vergeten het er weer uit te halen als de problemen voorbij zijn, want anders verhuis je niet mee als de webserver een nieuw IP-adres krijgt. Al geldt dat ook voor een lokale DNS-server
Bovendien heb je geen GUI nodig op een server, een server moet serveren. En verder niks. Bijna alle windows-versies/varianten/opties/smaken komen verplicht met een gui.
Er was dan dacht ik een versie zonder GUI, maar bij windows kan je dan een stuk minder dacht ik, dat is ook niet handig met een server.
Ik vraag me trouwens af waarom Despo als "Ongewenst" gemodereerd wordt, waarom is het ongewenst om aan te nemen dat iets niet op windows werkt? Windows is niet heilig of iets dergelijks, dacht ik?
[Reactie gewijzigd door .oisyn op maandag 19 juli 2010 12:25]
DNSSEC is al een tijdje mogelijk maar het probleem zit hem in de trust hierarchy. Nu de root 'gesigned' is, hoeven resolvers maar 1 sleutel te hebben om alle getekende DNS antwoorden te controleren.
De oude situatie was dat voor elke zogenaamde 'trust anchor' een sleutel in de resolver nodig was. Die ook nog eens periodiek kan worden gewijzigd door de beheerder van de zone.
Met het tekenen van de root wordt de DNSSEC implementatie dus een stuk eenvoudiger! Nu is het zaak dat ook clients (denk aan Firefox en Windows/Linux) en resolvers (ISP DNS server) iets met DNSSEC gaan doen.
PS: ISC is misschien wel bekender van hun open source DNS servertje 'BIND'
[Reactie gewijzigd door Cruz op zaterdag 17 juli 2010 13:47]
Vind de term 'grootste dns root-server' beetje raar klinken. Immers, iedere root-server zou even groot moeten zijn, qua zone grootte. Denk dat ze de meeste root-server nodes beheren...
Overigens blijf ik DNSSEC een enorm complex protocol vinden, die nog steeds te veel problemen met zich meebrengt. Denk aan amplification attacks, replay attacks, etc. etc. Maar goed, wat wil je met een design periode van meer dan 15 jaar(!), waarin tweemaal opnieuw begonnen is. Om nog maar te zwijgen over de complexiteit van het NSEC3 RR. Het grootste probleem wat dit op zou moeten lossen (NSEC walking) is nog steeds mogelijk, alleen offline. Wat het nog minder detectable maakt.
Persoonlijk - okay, ik ben een beetje subjectief op dit vlak - had ik graag wat meer interesse vanuit de IETF willen zien voor Bernstein's DNSCurve. Een simpel, open en duidelijk protocol. Overigens ligt er een draft bij de IETF die het beschrijft. Heb echter niet heel veel hoop dat dit ooit echt een goed geaccepteerd alternatief wordt.
[Reactie gewijzigd door zeroxcool op zaterdag 17 juli 2010 14:17]
En dhcp is een redelijk veelgebruikte dhcp daemon. En Paul Vixie is misschien ook bekend van vixie-cron.PS: ISC is misschien wel bekender van hun open source DNS servertje 'BIND'
Edit:
Google's DNS resolver ondersteund DNSSEC, zie http://code.google.com/in...ublic-dns/faq.html#dnssec
[Reactie gewijzigd door thijsburema op zaterdag 17 juli 2010 14:31]
Mocht jij een DNSSEC query doen voor bijvoorbeeld www.nic.se (welke DNSSEC enabled is - .se is dat echter nog niet, althans niet in de root), dan krijg je gewoon een regulier recursive antwoord terug. Vraag je echter expliciet naar een RRSIG of DNSKEY RR voor deze zone, dan kun je zelf je verification doen. Echter, dit ondersteunt waarschijnlijk iedere ISP caching name server... Niet heel speciaal dus.
[Reactie gewijzigd door zeroxcool op zaterdag 17 juli 2010 15:21]
Boven zou het anders ook niet goed komen met vertalingen..
"man-in-het-midden-aanval" .. nah.
Ik begrijp dat er een nieuwe beveiligingsprotocol is maar toch leest het stukje, ook voor mij, niet lekker. Ik zou er meer uit willen halen.
is er op tweakers niet zon systeem dat je een mouseover kan maken bij afkortingen met uitleg? ik meen me te herinneren dat hier ooit gezien te hebben, kom op modjes, gebruik het
als dat er niet is, leuk idee om te implementeren
ICANN video highlighting last week's historical DNSSEC key signing ceremony
Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Microsoft Sony Games Politiek en recht Galaxy S
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
