Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 62 reacties

Op 5 mei voltooien domeinautoriteiten over de hele wereld de eerste fase van de dnssec-implementatie. Hiermee krijgen antwoorden van dns-servers een digitale handtekening, wat man-in-the-middle aanvallen zou moeten tegengaan.

De DNS Security Extensions voegen enkele nieuwe features aan het dns-protocol toe om zo te kunnen waarborgen dat de communicatie tussen dns-server en gebruiker niet door een derde partij wordt beïnvloed. Via een zogeheten man-in-the-middle attack is het mogelijk om een request naar een dns-server te onderscheppen en gebruikers zo een andere website voor te schotelen dan de site waarnaar ze op zoek waren. Met de nieuwe extensies krijgen antwoorden van een dns-server een digitale handtekening, die de authenticiteit van de pakketjes moet waarborgen.

De implementatie van de extensies zou overigens voor problemen kunnen zorgen, aldus Icann-topman Bruce Tonkin tegenover itnews. Antwoorden op requests aan een dns-server worden momenteel in pakketjes van maximaal 512 bytes verstuurd. Na de invoering van dnssec zullen deze pakketjes tot 2 kilobyte groot zijn. Sommige oudere dns-resolvers zullen deze grotere pakketjes mogelijk uit veiligheidsoverwegingen blokkeren.

Bijna alle grote isp's zouden al op de nieuwe technologie zijn voorbereid, maar bedrijven die zelf hun dns-omzetting regelen, zouden problemen kunnen krijgen. Momenteel draait een deel van de dertien rootservers de nieuwe extensies al. Kan een stuk hardware niet met een pakketje van één van de geüpgrade servers overweg, dan kan deze de request vooralsnog naar een andere rootserver sturen. Na 5 mei beschikken alle dertien rootservers over dnssec, waardoor dit geen optie meer is en incompatibele netwerkhardware mogelijk problemen gaat geven.

Moderatie-faq Wijzig weergave

Reacties (62)

Deze incompatibiliteit met oudere servers/clients schijnt wel mee te vallen...
The DNSSEC protocol is an addition to the existing DNS protocol, and not a replacement. In order for clients to receive the signed responses, along with the information required to verify the reply, clients must explicitly set a "DO" flag in the query they send to the resolver. If this flag is not set, the resolver will return a response in the standard, pre-DNSSEC format.

Old clients, which are unable to handle the DNSSEC extensions will not set this flag in outgoing requests, and thus will have no issues reading the reply they receive. Equally, if a client that does support DNSSEC queries a server which does not, the response will be returned in the standard format, and no record will be found at the parent nameserver indicating that a signed response should have been received.

http://www.neowin.net/new...h---internet-will-live-on

[Reactie gewijzigd door hanneman op 3 mei 2010 13:22]

Ik zie hier al een mogelijkheid voor een man in the middle attack: de middleman zet die flag gewoon uit in het request, en kan dan gewoon data volgens de oude standaard terugsturen. De client kan niet zomaar weten of dat komt omdat de dns server niet beter kan, of omdat er iemand tussen zit.
Een client die de vlag zet, verwacht ook een digitale handtekening terug te krijgen. De man-in-the-middle zal dus nog steeds een geldige digitale handtekening naar de client moeten sturen zodat de client de response accepteert.
Dat kan vanaf nu dus wel....je kunt altijd verwachten dat je zo'n handtekening terugkrijgt als je deze specifiek vraagt.
Wel kan zo'n handtekening natuurlijk vervalst worden, al zal dat best lastig worden...
Overigens gaat het hier om DURZ, een deliberately unverifiable root zone. Met andere woorden, de boel is wťl gesigneerd, maar deze signature kan nog niet worden geverifieerd. Het helpt nu dus ook nog precies 0,0 tegen man-in-the-middle attacks!

Het hele doel van DURZ is om de impact van grotere DNS packets te testen: werken alle DNS resolvers er goed mee, zijn alle firewalls goed afgericht, hoe is de processorbelasting van DNS servers, wat doet het met dataverkeer, enz.

Pas als dat allemaal duidelijk is, en de meeste problemen zijn opgelost, zal de signature alsnog worden vervangen door een geldige signature, die dus wťl te verifiŽren is. Dan pas helpt de implementatie daadwerkelijk tegen man-in-the-middle attacks.

De huidige planning is om per 1 juli van dit jaar op een te valideren signature over te gaan.

Zie voor meer informatie deze interessante blogpost: http://www.root-dnssec.or...atus-update-january-2010/

[Reactie gewijzigd door Tassadar op 3 mei 2010 14:03]

Hier kan gecontroleerd worden op enige problemen die kunnen ontstaan:
https://www.dns-oarc.net/oarc/services/replysizetest
Ik vraag mij wel af of dit niet meer belastend zal zijn op je internetlijntje. Aangezien de DNS pakketjes van 512 bytes naar 2048 bytes gaan.

Als ik zie hoeveel DNS requests er langs onze ISA server gaat.
Jouw internetlijntje doet geen DNS requests naar de root-servers. Jouw internetlijntje gebruikt de DNS van je ISP (of evt. Google/OpenDNS, etc). Die van je ISP maken verbinding met de root-DNS servers.

Deze upgrade moet dus vooral voorkomen dat je DNS van je ISP betere data bevat. Een man in the middle attach kan vanaf dan nog wel plaatsvinden gezien er weinig ISP's zijn die DNSSEC ondersteunen.
Het is alleen 'iets' meer werk, omdat er nogal wat ISP DNS servers zijn.
Dat is dus maar even de vraag. Voor thuisgebruik is dat inderdaad juist, maar er zijn toch wel heel veel bedrijven die zelf hun DNS servers laten resolven.
En als je dat dus ooit hebt opgezet met tinyDNS kun je een probleem krijgen aangezien die alleen de 512 bytes UDP paketten accepteerd.
Het is de bedoeling dat jouw PC ook DNSSEC gaat controleren. Hij doet het nog niet, en de benodigde software is nog niet erg consumentenvriendelijk. Daarom hoor je nu alleen nog van ISP's en andere netwerkreuzen die er mee bezig zijn.

Persoonlijk heb ik meer vertrouwen in de beveiliging en goede intenties van de root servers dan van mijn ISP. Niet dat ik zo'n slechte ISP heb, maar de beheerders van de root servers zijn gewoon beter. Voor mij is het dus belangrijker om de DNS server van m'n provider te controleren dan de root servers.
Volgens mij geeft hij aan dat het zijn ISA server betreft, dus hoogstwaarschijnlijk een zakelijke omgeving. Dus is het helemaal niet uitgesloten dat ze rechtstreeks de rootservers benaderen.
Ik vraag mij wel af of dit niet meer belastend zal zijn op je internetlijntje. Aangezien de DNS pakketjes van 512 bytes naar 2048 bytes gaan.

Als ik zie hoeveel DNS requests er langs onze ISA server gaat.
Ja, natuurlijk is het meer belastend, je moet immers 4 keer meer data verstoken, maar je moet het wel in perspectief blijven zien, 2kb blijft heel weinig data. Ik denk dat 1 bittorrentgebruiker zwaarder is voor je netwerk dan 10.000 dns gebruikers.

Persoonlijk maak ik me meer zorgen om de processorbelasting die cryptografie op grote schaal met zich mee brengt, maar ook daar geldt dat het best te overzien is.
Ik ben eens benieuwd wat dit nu precies gaat inhouden voor de veiligheid en hoeveel problemen we hierdoor gaan krijgen.
Censureren via dns zal een stuk lastiger worden.
Hoe dat?
Het zal iets moeilijker worden om ongemerkt te censureren, maar niet veel.
Het is nog steeds mogelijk om queries volledig tegen te houden. DNSSEC probeert ook niet om de inhoud van je DNS queries geheim te houden. Het zorgt er alleen voor dat je kan controleren of de inhoud veranderd. Als je helemaal geen antwoord krijgt zul je nooit weten of de andere kant niet bestaat of dat er gecensureerd wordt.
Veel censuur software op DNS niveau routert "onwelgevallige" IP adressen naar een waarschuwingspagina of zelfs naar 127.0.0.1. Dat kan nu niet meer ongemerkt.
Ga er van uit dat je hier gewoon helemaal niets van merkt. Waarom zou je ook.
Maar mocht de volledige Root eruit liggen. Dan gaan we gewoon over op de Alternative open Root Servers.
WTF gast?
Wat is dat nu weer voor een lame idee!

De Wiki zegt over Alternative Open Root Servers:
(Shutdown 31.12.2008 00:00 UTC)
Used to be a mirror of the ICANN root.

Wijs mensen dan op OpenDNS ofzo.
ik voorzie een hyperventilerende pcgebruiker

net als de millenium bug, die zou ons allemaal treffen, man wat een gedoe

5 mei gaat iedereen naar bed, wordt 6 mei wakker, en voila - alles is een storm in een glas water ....
maar die 200% overpay die ik toen met oud-en-nieuw werken kreeg, was toch erg gewaardeerd. ;)
Er is die tijd ervoor ook heel er veel werk gedaan om ervoor te zorgen dat niet alles in de soep zou lopen. Het was een echt groot probleem maar doordat een heleboel mensen hard eraan gewerkt hebben werkte bijna alles na 00:00 01-01-2000 nog goed.
Kan een stuk hardware niet met een pakketje van ťťn van de geŁpgrade servers overweg, dan kan deze de request vooralsnog naar een andere rootserver sturen.
Zouden daar ook statistieken van zijn? Lijkt me wel boeiend om te zien hoe vaak dit soort problemen voorkomen.

Waarschijnlijk zullen een hoop bedrijven/personen er pas achter komen als het 'niet meer werkt'.
Dat werkt lang niet altijd, er zijn nl. genoeg server die virtualhosts hebben, dan heeft verbinden naar IP weinig nut aangezien de webserver niet weet welke site hij dan moet laden.
In dat geval werkt een hosts file wel prima overigens ;)

Maar het lijkt me totaal overbodig om er op te rekenen dat er zulke grote problemen gaan ontstaan. Sowieso query je zelf niet de root servers, maar die van je provider. En ik mag hopen dat providers inmiddels up to date genoeg zijn. ;)
En je hebt natuurlijk ook nog een cache in je computer en je router, laten die servers een paar minuten down gaan dan hoeft dat geen enkel probleem te veroorzaken.
Hopelijk ligt het internet er dan niet uit.
lol ik moest heel even aan south park aflevering denken...
hele wereld stond in de crisis toen internet uitviel.

Ik denk dat het wel meevalt, er zijn toch fallback servers?

[Reactie gewijzigd door Dark Angel 58 op 3 mei 2010 13:22]

Misschien moet je het artikel even lezen, de fallback servers die er nu zijn, worden ook overgezet op de nieuwe standaard, dus die zijn er dan niet meer. ;)

Het internet uitvallen zal wel meevallen, en providers zijn er ook op voorbereid mag ik hopen.
Ik heb net de DNS van KPN en het oude Hetnet getest, de laatste is niet compatibel. Maar het boeit niet, het is een storm in een glas water..
Old clients, which are unable to handle the DNSSEC extensions will not set this flag in outgoing requests, and thus will have no issues reading the reply they receive. Equally, if a client that does support DNSSEC queries a server which does not, the response will be returned in the standard format, and no record will be found at the parent nameserver indicating that a signed response should have been received.
Maak je dus maar niet druk.. O-)
Maar je kunt aannemen dat de bedrijven eerst 1 serie overzetten, testen en dan pas de failback gaan overzetten.
Als de ROOT servers er uit liggen dan kan er alsnog geresolved worden op ISP niveau... DNS cache! ;) Maar het zal niet lang moeten duren.
Gelukkig toonde SP ook de oplossing: gewoon even het internet resetten :-)
ik hoop dat jij 5 mei niet thuis achter je computer zit te internetten maar lekker feest aan vieren bent.
Ik hoop dat ik dat ook kan.
Maar ik ben bang dat het toch op kantoor achter de PC zitten wordt :Y)
Het is niet voor iedereen een vrije dag
Inderdaad, ik moet gewoon werken :/
Dit jaar is 5 mei een officiŽle feestdag en zou je dus gewoon vrij moeten hebben. Ambtenaren hebben elk jaar met 5 mei vrij.
Ik ben wel op 5 mei vrij, maar dit is zeker geen gegeven. Het is misschien wel een officiele feestdag, maar alleen in CAO's is dit als verplichte vrije dag geregeld. Heb je geen CAO, dan is het aan de baas om te beslissen of het bedrijf een dagje vrij heeft.
onwaar.

Je kunt echt niet zomaar alle ambtenaren vrij geven op een bepaalde dag.
Vanaf wanneer doen ambtenaren wat dan? :P
Ik hoop dat jij mij de vrijheid gunt om niet midden in de drukke mensenmassa te gaan staan en mij de dag lekker naar eigen inzicht in te delen, zonder hierover vooroordelen te verstrekken.
Mijn idee

Het rare idee dat iedereen maar als een halve gek moet gaan springen op een door anderen bepaald moment trekt me helemaal niet

net als carnaval en andere "dorpsfeesten"

Als ik uit mijn dak wil gaan, dan doe ik dat op mijn eigen manier, met mijn kinderen op een leuke lcatie naar eigen keuze ( als ze open zijn ;) )
Feest vieren dat sinds 1945 er steeds meer vrijheid door de overheid afgenomen wordt?
Feest vieren omdat we nog steeds genoeg vrijheid hebben om af te nemen.
Ik neem aan dat dit systeem uitvoerig is getest, waarom zou het problemen opleveren?
Je bedoeld dat mensen sinds '45 (en zeker de laatste tijd) meer steun geven aan partijen die de vrijheden willen inperken?
Ik neem aan dat je het nu over het CDA hebt?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True