Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 27, views: 13.669 •
Submitter: begintmeta

De eerste digitale handtekening voor de dertien voornaamste serverclusters in de dns-hiėrarchie van internet is uitgegeven. De stap moet het begin markeren van een veiliger root zone met volledige dnssec-implementatie.

De uitrol van DNS Security Extensions moet een man-in-the-middle-aanval voorkomen. Onder andere moeten de cache poisoning-aanvallen tot het verleden gaan behoren. Bij deze aanvallen werden internetters op dns-niveau doorgesluisd naar malafide sites. Voor volledige beveiliging dienen wel alle schakels vanaf de rootservers in de dns-hiërarchie en de servers van top-leveldomeinen tot de cacheservers die de uiteindelijke site voorschotelen op dnssec te zijn overgestapt.

Bij de root zone is die overstap zeven maanden geleden ingezet. De dertien rootservers zijn in mei feitelijk al overgestapt op dnssec, maar de Icann heeft nu ook een zogenaamde trust anchor gepubliceerd. Daarmee kan de uitwisseling van geldige certificaten of digitale handtekeningen voor de verificatie van dns-data beginnen.

"De uitgifte van de handtekening voor de root is de katalysator die nodig is voor de verdere uitrol van dnssec, vooral in de tld registries", zegt Paul Vixie, ceo van het Internet Systems Consortium. ISC is de beheerder van F-root, de grootste dns root-server.

Reacties (27)

Netjes, en niemand heeft last er van gehad, dus dat is helemaal goed :D
Nouja, de mensen waarbij 't niet meer werkt die komen niet op internet om te klagen :D
Naja, er zullen vast wel zulke nerds bij zitten die de ip adressen van hun favorite sites uit hun hoofd kennen :P

Maar in ieder geval beter dat ze uiteindelijk een veiliger systeem hebben.
Laat dat ip adressen verhaal dan vaak niet werken dankzij name based virtual hosting :)

[Reactie gewijzigd door mxcreep op 17 juli 2010 21:47]

Mwa, er zijn nog diehards: GoT nieuw IP-adres? :P
Nog simpeler dan een lokale DNS-server is de domeinnaam in je hosts-file zetten... werkt prima als noodoplossing en een is stuk makkelijker.

Uiteraard moet je niet vergeten het er weer uit te halen als de problemen voorbij zijn, want anders verhuis je niet mee als de webserver een nieuw IP-adres krijgt. Al geldt dat ook voor een lokale DNS-server ;)
Ehm.. dat is waar het over ging.
Als je de IP adres van een domeinnaam opslaat in de host bestand van Windows kom je daar wel mee verder :)
Ik heb me hier eigenlijk helemaal niet in verdiept, maar dit doet me sterk vermoeden dat die root servers dan niet op windows draaien als dat allemaal zonder problemen is verlopen.
Sowieso draait het internet voor een belangrijk deel op UNIX, Linux, BSD en aanverwante besturingssystemen.
Precies.. je gaat toch geen windows gebruiken in een omgeving waar je zelf in beheer moet zijn? Dat zou niet erg slim zijn..

Bovendien heb je geen GUI nodig op een server, een server moet serveren. En verder niks. Bijna alle windows-versies/varianten/opties/smaken komen verplicht met een gui.
Er was dan dacht ik een versie zonder GUI, maar bij windows kan je dan een stuk minder dacht ik, dat is ook niet handig met een server.

Ik vraag me trouwens af waarom Despo als "Ongewenst" gemodereerd wordt, waarom is het ongewenst om aan te nemen dat iets niet op windows werkt? Windows is niet heilig of iets dergelijks, dacht ik?
Het is ongewenst omdat onnodig de conclusie wordt getrokken dat met Windows er wel problemen opgetreden zouden hebben, wat nergens op is gebaseerd. Dat maakt de reactie een beetje een troll.

[Reactie gewijzigd door .oisyn op 19 juli 2010 12:25]

Als het goed is gaat .nl (SIDN) over een maand ook over op DNSSEC, waarmee een .nl domein via DNSSEC beveiligd kan gaan worden.

DNSSEC is al een tijdje mogelijk maar het probleem zit hem in de trust hierarchy. Nu de root 'gesigned' is, hoeven resolvers maar 1 sleutel te hebben om alle getekende DNS antwoorden te controleren.

De oude situatie was dat voor elke zogenaamde 'trust anchor' een sleutel in de resolver nodig was. Die ook nog eens periodiek kan worden gewijzigd door de beheerder van de zone.

Met het tekenen van de root wordt de DNSSEC implementatie dus een stuk eenvoudiger! Nu is het zaak dat ook clients (denk aan Firefox en Windows/Linux) en resolvers (ISP DNS server) iets met DNSSEC gaan doen.

PS: ISC is misschien wel bekender van hun open source DNS servertje 'BIND' ;)

[Reactie gewijzigd door Cruz op 17 juli 2010 13:47]

Je had natuurlijk DLV, wat alle islands of trust samenbond, (tijdelijk) een hele vooruitgang.

Vind de term 'grootste dns root-server' beetje raar klinken. Immers, iedere root-server zou even groot moeten zijn, qua zone grootte. Denk dat ze de meeste root-server nodes beheren...


Overigens blijf ik DNSSEC een enorm complex protocol vinden, die nog steeds te veel problemen met zich meebrengt. Denk aan amplification attacks, replay attacks, etc. etc. Maar goed, wat wil je met een design periode van meer dan 15 jaar(!), waarin tweemaal opnieuw begonnen is. Om nog maar te zwijgen over de complexiteit van het NSEC3 RR. Het grootste probleem wat dit op zou moeten lossen (NSEC walking) is nog steeds mogelijk, alleen offline. Wat het nog minder detectable maakt.

Persoonlijk - okay, ik ben een beetje subjectief op dit vlak - had ik graag wat meer interesse vanuit de IETF willen zien voor Bernstein's DNSCurve. Een simpel, open en duidelijk protocol. Overigens ligt er een draft bij de IETF die het beschrijft. Heb echter niet heel veel hoop dat dit ooit echt een goed geaccepteerd alternatief wordt.

[Reactie gewijzigd door zeroxcool op 17 juli 2010 14:17]

PS: ISC is misschien wel bekender van hun open source DNS servertje 'BIND' ;)
En dhcp is een redelijk veelgebruikte dhcp daemon. En Paul Vixie is misschien ook bekend van vixie-cron.
Alleen moeten dan de deelnemers (registrars) van de SIDN ook hun DNS server inrichten met DNSSEC. En daarbij moet je client (Windows, Mac OSX) het ook ondersteunen natuurlijk.

Edit:
Google's DNS resolver ondersteund DNSSEC, zie http://code.google.com/in...ublic-dns/faq.html#dnssec

[Reactie gewijzigd door thijsburema op 17 juli 2010 14:31]

Als je goed leest zie je dat Google het wel ondersteunt (nou ja, ze ondersteunen EDNS en dus impliciet de DO-flag). Ze doen echter geen validation/verification. Wat inhoudt dat ze gewoon een doorgeefluik zijn.

Mocht jij een DNSSEC query doen voor bijvoorbeeld www.nic.se (welke DNSSEC enabled is - .se is dat echter nog niet, althans niet in de root), dan krijg je gewoon een regulier recursive antwoord terug. Vraag je echter expliciet naar een RRSIG of DNSKEY RR voor deze zone, dan kun je zelf je verification doen. Echter, dit ondersteunt waarschijnlijk iedere ISP caching name server... Niet heel speciaal dus.

[Reactie gewijzigd door zeroxcool op 17 juli 2010 15:21]

Super, en gelukkig heeft niemand er problemen aan ondervonden.
Goh, er is geen woord Nederlands bij aan dit stukje.
LOL inderdaad!! Het viel me niet eens op, kun je nagaan hoe de Van Dale er over een aantal jaren uitziet...
Als we gewoon nederlands afschaffen.. "I love you" klinkt toch beter dan "Ik vind je lief".

Boven zou het anders ook niet goed komen met vertalingen..

"man-in-het-midden-aanval" .. nah.
Ik denk dat het inderdaad handig is voor de mensen die wat bij willen leren via Tweakers.net dat er wellicht meer afkortingen voluit geschreven kunnen worden bv tussen haakjes erachter, wellicht met een link naar meer uitleg.

Ik begrijp dat er een nieuwe beveiligingsprotocol is maar toch leest het stukje, ook voor mij, niet lekker. Ik zou er meer uit willen halen.
off-topic:
is er op tweakers niet zon systeem dat je een mouseover kan maken bij afkortingen met uitleg? ik meen me te herinneren dat hier ooit gezien te hebben, kom op modjes, gebruik het :D

als dat er niet is, leuk idee om te implementeren :9
Je bedoelt het ABBR html tag'je.
Op zich heb je misschien gelijk maar wat dit specifieke onderwerp betreft heb je gewoon pech. DNSSEC (vooruit: domain name system security) is dusdanig comlex dat je het als leek toch niet gaat snappen. Het artikeltje geeft op zich een prima uitleg over wat dnssec is maar je hebt gewoon een stevige basis nodig om het onderwerp te kunnen begrijpen.
Een plaatje in dit geval een video zegt meer dan 1024 woorden.
ICANN video highlighting last week's historical DNSSEC key signing ceremony

Op dit item kan niet meer gereageerd worden.



Populair: Gamescom 2014 Gamecontrollers Websites en communities Smartphones Beheer en beveiliging Sony Microsoft Games Besturingssystemen Consoles

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013