Rapport SURFnet wijst op noodzaak invoering dnssec

SURFnet heeft een rapport gepubliceerd rondom het dnssec-protocol. De netwerkdienstverlener wil zo de kwetsbaarheid van het huidige dns-systeem onder de aandacht brengen bij onderwijsinstellingen en onderzoeksinstellingen.

Het rapport 'Hardening the Internet', dat werd opgesteld door SURFnet-technical manager Roland van Rijswijk, is mede geschreven naar aanleiding van de zogenaamde Kaminsky-aanval. Deze verfijnde aanvalsmethodiek besmet de cache van recursieve name servers. Hierdoor kunnen bijvoorbeeld surfers ongemerkt naar vervalste websites doorgestuurd worden en zijn in theorie ssl-certificaten te vervalsen. Het door Kaminsky ontdekte lek was weliswaar met een patch deels te verhelpen, maar toonde nog eens aan dat het huidige dns-systeem gedateerd en onveilig is.

De invoering van het beveiligingsprotocol dnssec moet op termijn de kwetsbaarheden van het dns-bewegwijzeringssysteem gaan verhelpen. Het nu vrijgegeven adviesrapport van SURFnet moet dienst gaan doen als voorlichtingsmateriaal voor onderwijsinstellingen, zo laat Van Rijswijk aan Tweakers.net weten. Dit zou nodig zijn omdat de overgang naar dnssec in Nederland nog te langzaam gaat, terwijl bijvoorbeeld de Amerikaanse .gov-domeinen sinds januari met het protocol overweg kunnen.

Volgens Van Rijswijk wordt de trage overgang naar dnssec deels veroorzaakt doordat de huidige software die benodigd is voor zaken als sleutelbeheer en het ondertekenen van domeinen, te veel kennis en tijd vergt. Deels moeten commerciële tools dit gaan verhelpen, maar Van Rijswijk wil op korte termijn ook een how-to gaan uitbrengen om veelgebruikte opensource dns-oplossingen als BIND met tools als OpenDNSSEC geschikt te maken voor dnssec. Daarnaast is het wachten op SIDN. De organisatie die het .nl-domein beheert, verwacht in de loop van 2009 te gaan implementeren.

Risico van Kaminsky-aanvallen op DNS-resolvers

Door Dimitri Reijerman

Redacteur

Feedback • 12-02-2009 15:51 13

12-02-2009 • 15:51

13

Lees meer

Icann: dnssec-implementatie passeert grens van 50 procent
Icann: dnssec-implementatie passeert grens van 50 procent Nieuws van 24 januari 2014
Aantal met dnssec ondertekende .nl-domeinen groeit tot boven 600.000
Aantal met dnssec ondertekende .nl-domeinen groeit tot boven 600.000 Nieuws van 18 augustus 2012
SURF viert 25-jarig bestaan met organisatiewijzigingen
SURF viert 25-jarig bestaan met organisatiewijzigingen Nieuws van 27 maart 2012
ISC waarschuwt voor kwetsbaarheid in dns-software Bind 9
ISC waarschuwt voor kwetsbaarheid in dns-software Bind 9 Nieuws van 5 juli 2011
Surf en NWO steken 6 miljoen in Netherlands eScience Center
Surf en NWO steken 6 miljoen in Netherlands eScience Center Nieuws van 2 maart 2011
Uitrol van dnssec op root zone afgerond
Uitrol van dnssec op root zone afgerond Nieuws van 17 juli 2010
Google wil dns-resolving efficiënter maken met locatiegegevens
Google wil dns-resolving efficiënter maken met locatiegegevens Nieuws van 29 januari 2010
Baidu.com-domein korte tijd gekaapt door Iraanse hackers
Baidu.com-domein korte tijd gekaapt door Iraanse hackers Nieuws van 12 januari 2010
SIDN wil dnssec voor .nl-zone in augustus 2010 invoeren
SIDN wil dnssec voor .nl-zone in augustus 2010 invoeren Nieuws van 8 december 2009
SIDN gaat volgend jaar deel whois-gegevens anonimiseren
SIDN gaat volgend jaar deel whois-gegevens anonimiseren Nieuws van 30 november 2009
VeriSign gaat dnssec-protocol invoeren op tld's
VeriSign gaat dnssec-protocol invoeren op tld's Nieuws van 17 november 2009
Lek in tls en ssl maakt man-in-the-middle-aanval mogelijk
Lek in tls en ssl maakt man-in-the-middle-aanval mogelijk Nieuws van 6 november 2009
'Contactformulieren op overheidssites vaak onveilig'
'Contactformulieren op overheidssites vaak onveilig' Nieuws van 3 augustus 2009
ISC waarschuwt voor beveiligingslek in dns-servers
ISC waarschuwt voor beveiligingslek in dns-servers Nieuws van 30 juli 2009
SURFnet maakt winnaars lichtpadenwedstrijd bekend
SURFnet maakt winnaars lichtpadenwedstrijd bekend Nieuws van 10 juli 2009
Surfnet krijgt miljoenensubsidie
Surfnet krijgt miljoenensubsidie Nieuws van 15 juni 2009
Icann keurt gebruik dnssec voor .org-domeinen goed
Icann keurt gebruik dnssec voor .org-domeinen goed Nieuws van 23 juli 2008
Snellere methode voor dns-cachevervuiling dwingt patchronde af
Snellere methode voor dns-cachevervuiling dwingt patchronde af Nieuws van 9 juli 2008
'Veel dns-systemen nog vatbaar voor aanvallen'
'Veel dns-systemen nog vatbaar voor aanvallen' Nieuws van 20 november 2007
VS wil controle over beveiligde dns-variant
VS wil controle over beveiligde dns-variant Nieuws van 4 april 2007
Verisign gaat fors in rootservers investeren
Verisign gaat fors in rootservers investeren Nieuws van 14 februari 2007
DNS-vervuiling 'pharming' nieuwe trend onder oplichters
DNS-vervuiling 'pharming' nieuwe trend onder oplichters Nieuws van 3 april 2005
Uitvinder DNS pleit voor beveiligingsverbeteringen
Uitvinder DNS pleit voor beveiligingsverbeteringen Nieuws van 12 april 2003
Meer producten en artikelen
Internettoegang Netwerk en systeembeheer Serversoftware Internet Beveiliging Hackers

Reacties (13)

-Moderatie-faq
13
11
6
4
0
1
Wijzig sortering
Anoniem: 175386 12 februari 2009 16:11
Om een veilige DNSSEC-infrastructuur op te zetten moet de root gesigned worden. Zolang de root niet gesigned is wordt invoering lastig.

Als tussenstap zou je het nl-domein kunnen signen. Daarmee zou je alle DNSSEC-gebruikende domeinen onder het nl-domein kunnen verifiëren. Het is dan alleen nodig de public key van het nl-domein in je DNSSEC-configuratie op te nemen.

Of DNSSEC ooit aanslaat valt te bezien. Daniel Bernstein heeft een tijdje geleden steeksproefsgewijs gekeken welke domeinen DNSSEC gebruikten. Dit waren enkele tientallen/hondereden op miljoenen domeinen.

DNSSEC is technisch gezien niet erg moeilijk, maar vereist een gecoördineerde administratie. Even een DNS-record wijzigen kan, maar moet daarna wel gesigned worden. Ik kan mij voorstellen dat voor veel organisaties deze rompslomp doet besluiten zonder DNSSEC te draaien, zeker gezien zowel de root als het nl-domein (nog) niet gesigned is.
Little Penguin @Anoniem: 17538612 februari 2009 17:27
DNSSEC is technisch gezien niet erg moeilijk, maar vereist een gecoördineerde administratie. Even een DNS-record wijzigen kan, maar moet daarna wel gesigned worden. Ik kan mij voorstellen dat voor veel organisaties deze rompslomp doet besluiten zonder DNSSEC te draaien, zeker gezien zowel de root als het nl-domein (nog) niet gesigned is.
Hoe zit het eigenlijk met het signen van een wijziging in de DNS-records?

Bij een SSL-certificaat, genereer je zelf de diverse sleutels/certificaten en is er een externe organisatie die voor de ondertekening van het certificaat zorgt. Is dat bij DNSSEC ook zo, of is het mogelijk om dit op een andere manier op te lossen?
Anoniem: 175386 @Little Penguin13 februari 2009 00:30
DNSSEC is te vergelijken met x509, ook gebruikt in SSL/TLS. Er wordt een chain of trust opgebouwd: een autoriteit zet een handtekening met een sleutel die geverifieerd is door een hogere autoriteit, net zo lang tot je bij de root bent.

In DNSSEC wordt een sleutel gesigned door het bovenliggende domein. Met deze sleutel kunnen de records in een zone worden gesigned. Voorbeeldje: tweakers.net gebruikt een 1024-bit RSA-sleutel om zijn zones mee te signen. Het net-domein bevat een verwijzing naar de nameserver van tweakers.net, met de handtekening van de sleutel van tweakers.net.

Of bovenstaande uitleg helemaal correct is weet ik niet, maar het principe (chain of trust met extra DNS resource records voor cryptografische controle) klopt in elk geval.

Als je dus een zone aanpast moet je de wijziging opnieuw ondertekenen. In de praktijk heb je je kale zone-file. Na bewerking draai je een tooltje dat de juiste extra resource records genereert aan de hand van een (password protected) key. Weinig bijzonders dus, maar weer een paar stappen extra.
Bulldock 12 februari 2009 16:23
Volgens mij is het gewoon een beetje de kat uit de boom kijken. Veel ccTLD registries zijn er mee bezig maar nog maar weinig hebben het daadwerkelijk geimplementeerd. Volgens mij is Zweden een van de weinige.
Een jaar geleden gaf volgens ICANN 85 % van de registries nog aan wel te willen, maar niet doorzetten omdat de techniek nog niet volledig ontwikkeld is/was, de root nog niet gesigned is of geen geld/tijd voor hebben. (bron: ccNSO)
Als er maar genoeg van dit soort rapporten ala surfnet uitkomen zal het meer prioriteit krijgen en denk ik dat DNSSEC sneller wordt geimplementeerd. Bovendien kan men nu leren van registries zoals Zweden waardoor implementatie wellicht makkelijker/goedkoper wordt.

[Reactie gewijzigd door Bulldock op 23 juli 2024 09:35]

tvdijen 12 februari 2009 16:07
Tsja, de mogelijkheden liggen al 10 jaar op de plank... Net als IPv6 en een verbeterde versie van SMTP. Ik word er wel eens moedeloos van dat die dingen zo lang moeten duren... Alsof het eerst gigantisch mis moet gaan, voordat er actie ondernomen wordt.
ppl
@tvdijen12 februari 2009 19:25
Het probleem met dit soort zaken is veelal eerder het bekende kip-ei probleem. Zoals Niels Sijm hieronder al uitlegt zul je in geval van DNSSEC bij de root moeten beginnen. Zolang dat niet gebeurd heeft het ook weinig effect om DNSSEC te gebruiken en dus krijg je de situatie dat juist daarom niemand DNSSEC implementeert. Dat kip-ei probleem is overigens maar 1 van de nadelen aan DNSSEC, een goede administratie is bijvoorbeeld een tweede (en eentje waar men nogal erg tegen sputtert).

IPv6 e.d. heeft ook last van dat kip-ei probleem. Het wordt pas interessant om tot IPv6 over te gaan als je het ook daadwerkelijk kunt gebruiken naar de buitenwereld. Buiten dat werkt nog niet alles met IPv6 waardoor het ook niet erg handig is om dan naar IPv6 over te schakelen. Tel daarbij op dat IPv4 op dit moment nog prima voldoet (het werkt gewoon) en het feit dat er vaak toch nog een aardige investering in hardware/software, tijd, etc. gaat zitten en het wordt al wel snel duidelijk waarom iets als IPv6 op de plank blijft liggen.

Je kunt er moedeloos van worden maar je kunt er ook actie op ondernemen ;) Buiten dat is het ook lang niet altijd verstandig om domweg maar iets in gebruik te gaan nemen, liever eerst goed testen en pas daarna in gebruik nemen (indien test succesvol). Het is dus echt absoluut niet alleen een kwestie van het feit dat er eerst iets mis moet gaan wil men er dan wat aan gaan doen.
Anoniem: 45450 @ppl12 februari 2009 20:38
Wat betreft IPv6 ben ik het er niet helemaal mee eens. Op een gegeven moment zijn de IPv4 adressen simpelweg op, dus dan kunnen we met z'n allen niet anders dan nieuwe websites exclusief op IPv6 hosten. Op dat moment is dus niet meer het hele internet via IPv4 bereikbaar, dus moeten providers wel IPv6 gaan ondersteunen. Zowel access- als hostingproviders die op dat moment niet klaar zijn voor IPv6 zullen klanten verliezen.

Het heeft dus niets te maken met trend zetten en trend volgen, of kip en ei zoals je het zelf noemt. Het is alleen een kwestie van gaan we het ruim op tijd ondersteunen, of wachten we tot het laatste moment. Veel providers menen dat uitstellen van IPv6 goedkoper zal zijn dan een spoedige invoering.
metaal @tvdijen12 februari 2009 17:13
Alsof het eerst gigantisch mis moet gaan, voordat er actie ondernomen wordt.
Zo werkt beveiliging in de praktijk wel voor veel bedrijven: Goede beveiliging introduceren en onderhouden (in dit geval migreren naar dnssec) kost vaak veel geld, en zolang dit duurder is dan gewoon steeds de schade van inbraken te betalen heeft het voor bedrijven geen zin om betere beveiliging te regelen.
Psilax 12 februari 2009 16:29
Dit zou een goede stap in de juiste richting zijn.
En misschien kunnen ze ook ineens certificaten voor emailservers uitbrengen zodat enkel gecertificeerde servers emails over het internet kunnen sturen.

De vraag is hoe gaan ze dit in orde krijgen.
Eind 2008 waren er al berichten dat de grote nameserver (oa .COM, .ORG) hier al mee gingen beginnen.
Maar dit is dan enkel de top, zolang de basis (oa ISP's) niet volgt heeft het voor de gewone gebruiker weinig effect en voordeel.
zeroxcool 13 februari 2009 01:32
Ai ai ai. Jammer dat DNSSEC zo gepushed wordt. Er zijn veel betere alternatieve (okay, de implementatie is er nog niet, maar dat is een kwestie van tijd): http://www.dnscurve.org/dnssec.html geeft een prachtige vergelijking van DNSSEC (lees: ISC - of het BIND-kartel zoals dnscurve bedenker Bernstein weleens bespottelijk zegt) met dnscurve.
Vhond 13 februari 2009 09:54
En wat zijn de redenen om niet over te gaan ?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq