Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 16 reacties

Het .org-domein zal het eerste generieke tld zijn dat gebruik maakt van dnssec, een beveiligingsprotocol voor dns-servers. De organisatie die de .org-domeinen beheert heeft hiervoor toestemming van de Icann gekregen.

Icann logoHet dnssec-protocol moet veiliger zijn dan de nu gebruikte dns-protocollen: zo moet dnssec ongevoelig zijn voor de onlangs opgedoken kwetsbaarheden die cache poisoning mogelijk maken. Om de voordelen van dsnsec te kunnen gebruiken, vroeg de PIR, de organisatie die voor het beheer van .org-domeinen verantwoordelijk is, toestemming aan de Icann om over te stappen. De Icann stemde hier onder voorwaarden mee in. Daarmee zal .org het eerste gtld worden dat dnssec gebruikt. Verschillende landendomeinen zijn al op het protocol overgestapt.

PIR logoDe PIR zou een pionierende functie voor andere generieke tld's moeten krijgen en de controlerende instanties van die domeinen moeten helpen om dnssec te implementeren. Het veiligere protocol voor de vertaling van domeinnamen maakt onder meer gebruik van versleuteling van gegevens om cache poisoning en andere aanvallen te voorkomen. De ontwikkeling van het protocol werd in 1997 gestart, maar kende een aantal problemen, zoals het opschalen naar systemen die groot genoeg zijn voor het beheer van tld's. Een vraag die nog niet is beantwoord, is wie de encryptiesleutels beheert waarmee het dns-verkeer beveiligd moet worden. Dat zou logischerwijs de Icann zijn, waardoor discussies over de Amerikaanse zeggenschap over de rootservers weer op zouden laaien.

Gerelateerde content

Alle gerelateerde content (33)
Moderatie-faq Wijzig weergave

Reacties (16)

Dit is een stap in de goede richting, zodra het beheer van de encryptiesleutels goed geregeld is, maar heb ik ook wat aan?

Zolang de door mij gebruikte DNS server (bijvoorbeeld die van mijn ISP) nog geen DNSSec gebruikt kan ik dus nog steeds last hebben van cache poisoning. Het is dus ook zaak dat de diverse servers (van ISP's en bedrijven) gebruik gaan maken van DNSSec en dat zal pas gebeuren als 't oude protocol ook daadwerkelijk onbruikbaar geworden is.
het is waar wat je zegt; een aanval op een lokale dns server zou jou, en ander klanten nog altijd kunnen benadelen. Maar als een dns server van een tld beheerder succesvol aangevallen wordt, bedreigt dat potentieel miljoenen internetgebruikers.

Ik zeg dan ook: eindelijk!
Maar als een dns server van een tld beheerder succesvol aangevallen wordt, bedreigt dat potentieel miljoenen internetgebruikers.
Het gaat om cache poisoning, de ROOT-servers en TLD-beheerders serveren toch alleen authoritative zones?

* Little Penguin weet toch echt zeker dat niet iedereen kan cachen :)
Het gaat om cache poisoning, de ROOT-servers en TLD-beheerders serveren toch alleen authoritative zones?
Klopt helemaal, maar door DNSSEC toe te passen op de caching nameservers van ISP's kan het zo zijn dat het helemaal onmogelijk is om 'zooi' te injecteren. Althans, dat is het principe, ik ken maar weinig mensen die echt gelukkig worden van DNSSEC. (in ISP land)

Maar, je hebt gelijk, de ROOT nameservers (de TLD servers zijn dat ook) houden alleen bij waar je moet zijn, met glue records.

een request voor pietje.nl gaat dus naar DNS ROOT ( . ) -> DNS SIDN -> DNS van pietje.nl (bijvoorbeeld ns.isp.nl)
je hoeft niet meteen uit te gaan van een attack zoals recentelijk bekend geworden is. Eeen aanval is heel breed te interpreteren.
Het "gewone" DNS protocol is unencrypted en onveilig. Dat maakt allerhande leukigheidjes mogelijk. Natuurlijk is het waar dta er al heel wat gesleuted is aan het protocol om serieuze flaws eruit te halen, maar het blijft een onvilig design dat opgelapt wordt.
Door simpelweg over te stappen naar een voor veilighied ontwikkeld protocol ontwijk je in één klap een hoop (mogelijke) problemen.
Zolang de DNS server van je ISP nog niet gepatchted is wordt geadviseerd gebruik te maken van de gratis diensten van openDNS, hiermee ben je veilig voor DNS cache poisoning.
Die server van openDNS is behoorlijk snel, bedankt voor de tip.
Ik bied me vrijwillig aan om voor alle ISP's de zone's van keys te voorzien :P
Dit is totaal buiten de kwestie.
Brein gaat echt geen DNS server hacken om TPB neer te halen ...
Ik dacht ze zoiets eerder ook geprobeerd hadden... of een ddos ofzo ?
Nee, dit bedoelen ze.. DNS cache poisoning; gewoon het misbruiken van de open DNS om onzin te laten voorschotelen aan de gebruikers. Bijvoorbeeld zoals hier gedemonstreerd is, gisteren.

Ze zorgen ervoor dat een 'echte' DNS gebruik maakt van hun eigen nep-DNS, en op die manier proberen ze er onzin in te zetten.

EDIT:
En dan gebruiken ze nu dus dit om het te voorkomen; en weer een stapje verder te zijn :)

[Reactie gewijzigd door vmsw op 23 juli 2008 19:31]

Dat was in ieder geval niet stichting Brein, maar waarschijnlijk bedoel je de DDOS op de Revision3 servers. Deze is door Mediadefender uitgevoerd en heeft verder niets met DNS servers te maken ofzo. Dus dat is verder redelijk off-topic. ;)

Hier gaat het over wat vmsw boven mij goed omschrijft.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True