Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 22 reacties

VeriSign heeft het dnssec-protocol ingevoerd op het .com-domein. De veiligere versie van het dns-protocol is al ingevoerd op een aantal top-level-domeinen, zoals .nl, .be, .org en .net. Met dnssec worden 'man-in-the-middle'-aanvallen bemoeilijkt.

Met de aankondiging van VeriSign is het grootste tld voorzien van dnssec, de veiligere versie van het dns-protocol. De .edu- en .net-tld's, die ook door VeriSign worden beheerd, werden vorig jaar al voorzien van dnssec, evenals .nl, .be en .info. Het .org-domein was het eerste generieke tld dat van het dnssec-protocol werd voorzien.

Dnssec verhelpt een aantal kwetsbaarheden in het dns-protocol, dat stamt uit een tijd dat nodes in een netwerk ervan uit konden gaan dat andere servers van goede wil waren. Dankzij dnssec kunnen dns-resolvers met ondersteuning voor het protocol controleren of antwoorden op dns-query's daadwerkelijk afkomstig zijn van de server waarmee contact is gezocht. Het antwoord van een dns-server wordt ondertekend met een geheime sleutel, die alleen bij de dns-server bekend is. Met een openbare sleutel kan worden gecontroleerd of de ondertekening valide is. Deze manier van beveiliging, 'public key cryptography', wordt ook vaak toegepast om e-mail te versleutelen of de afzender van een bericht te controleren.

Dnssec bemoeilijkt het uitvoeren van man-in-the-middle-aanvallen via het dns-protocol. Daarbij doet de server van een aanvaller zich voor als de dns-server en kunnen requests van bezoekers worden doorgeleid naar andere pagina's. Ook 'cache poisoning' moet worden voorkomen. Bij cache poisoning sturen hackers valse dns-antwoorden naar een dns-server, waardoor ze bezoekers naar hun eigen server kunnen sturen.

Moderatie-faq Wijzig weergave

Reacties (22)

Mooi dat dnssec wordt uitgerold maar is dit slechts voor DNS-servers onderling of ook iets voor de eindgebruiker? Moet je internetprovider hier ook ondersteuning voor bieden op hun dns-server? Moet je als eindgebruiker nog iets instellen of installeren of biedt Windows 7 dit automatisch aan?
De rootservers zijn 15 juli 2010 over gegaan op DNSSEC en nu volgen de diverse TLD's. Indien je van DNSSEC gebruik wilt maken zal eerst je provider ondersteuning moeten bieden. [bron]
Als eindgebruiker zul je onder windows 7 een en ander in moeten stellen wil je gebruik kunnen maken van DNSSEC. Hier kun je de nodige informatie vinden hoe dit binnen een LAN opgezet moet worden.
Op de client zal het gebruik van DNSSEC zolang de provider het niet ondersteund nog enige tijd op zich laten wachten.
Dank je, bedoel je met je provider echt dat je provider ondersteuning moet bieden of dat hun DNS servers ondersteuning moeten bieden en je dus zelf een andere DNS server kan kiezen die al wel ondersteuning biedt?
Je moet een DNS-server gebruiken die het ondersteund. Als je provider dat niet doet kun je zelf een andere server instellen en die gebruiken. (Tweakers draaien uiteraard hun eigen DNS server met DNSSEC ondersteuning).
Ben hier ook benieuwd naar, iemand die wat uitleg kan geven?

Trouwens relatief weinig reacties op dit artikel, zou dat komen omdat meer mensen er het fijne niet van weten?
In principe is dit iets dat helemaal door de DNS-servers onderling geregeld kan worden. Als jij een DNS-server gebruikt die het ondersteund is het goed.

Maar... als gebruiker wil je eigenlijk wel iets van feedback zodat je weet dat het werkt (of niet). Dat is lastiger, software daarvoor bestaat eigenlijk niet. Voor zover ik weet is de dnssec-firefox-plugin de enige software die iets met DNSSEC doet waar normale stervelingen ook iets mee kunnen.
Dat klopt wel aardig.

En de dnssec-firefox-plugin is niet een veiligheids-feature, meer een soort 'show-case'.

De grootste uitrol problemen zitten waarschijnlijk bij die stomme DSL-routers, etc. die zelf proberen DNS te doen.

Die ondersteunen dit allemaal nog niet.

Het zou goed zijn als de uitrol bij de access, dns, hosting providers nu eerst op gang komt, dat is nog nauwelijks het geval.
En de dnssec-firefox-plugin is niet een veiligheids-feature, meer een soort 'show-case'.
Inderdaad, je kan er absoluut niet op vertrouwen. Het enige waar je op kan vertrouwen is dat je DNS-server het ondersteund (of dat beweert). Daarmee loopt het ongeveer 10.000 keer voor op al het andere (nouja, met uizondering van dig).
Op een lokaal netwerk zijn er natuurlijk ook andere manieren can MiTM attacks, waaronder ARP (en DHCP routing). Dus ik denk dat het voorlopig niet zo heel veel zin heeft om het bij de end-user te implementeren. Gebruik SSL als je een veilige verbinding wilt.
Worden "man-in-the-middle" aanvallen dan vaak uitgevoerd? Ik dacht altijd dat het erg lastig was zo'n aanval op te zetten en uit te voeren.
Nooit geen last gehad van het feit dat je naar een pagina surft & 5 seconden later wordt je doorgesluisd naar een totaal andere pagina, die niets te maken heeft met wat jij opzocht?! (volgens mij is dit wat men bedoelt).

Verder nog: Ik vindt dat ze zulk nieuws niet publiek moeten maken. Laat zulke individuen dit zelf ondervinden, nu ga je eigenlijk zulke hackers laten weten dat hun oude methodes niet meer gaan werken & ze vanaf nu op zoek kunnen gaan naar andere. Dit vergemakkelijkt hun werk eigenlijk imo.
Half waar, hiermee wordt bedoeld dat de gehele pagina niet geladen wordt denk ik. Waar jij het over hebt is vaak een JavaScriptje die een redirect toevoegt aan de pagina.
Jij vindt dat ze zulk nieuws niet publiek moeten maken? Ze zullen wel moeten, want heel veel providers zullen hun systemen hiervoor aan moeten passen. Zelfs oudere routers thuis kunnen hierdoor in de problemen komen. Genoeg redenen om dit wel te doen.

Trouwens, het zijn criminelen die hier misbruik van hebben gemaakt, dus het was allang bekend in die kringen. En nu zou het publiek niet mogen weten dat er een oplossing voor is? Beetje kromme redenering van je...
Ooit gehoord van Kerchkhoff's Principle of Shannon's Maxim? Dat laatste zegt "de vijand kent het systeem" (en Kerckhoff zegt iets zeer gelijkaardigs). Dit zijn gekende stellingen in de cryptografie die duidelijk maken dat security by obscurity (hoe dat onder IT-specialisten genoemd wordt), geen goed idee is.

Als je systeem werkelijk veilig is, kan je de broncode in alle details publiceren, zonder de sleutels die gebruikt geweest zijn is het met huidige technieken onwaarschijnlijk dat er problemen ontstaan. Door "security by obscurity", heb je een onveilig systeem misschien een jaar extra schijnveiligheid gegeven terwijl je met een systeem waarvan de werking gekend is, je veel meer vertrouwen kan hebben in de veiligheid. Alle zware cryptografische toepassingen worden in die gemeenschap namelijk zwaar getest: onder cryptografen bestaat er de concurrentiedrang om je eigen algoritme uit te brengen en dat van een ander zo goed mogelijk op de rooster te leggen.

Als je ooit een cryptografisch algoritme doorwoorsteld hebt, zal je weten dat zelfs met de implementatie erbij, het niet simpel is om enerzijds de werking compleet te kunnen volgen en anderzijds is het nog veel moeilijker om er zwakheden in te vinden, zelfs voor ervaren cryptografen is dat een serieuze kluif.

DNSSEC heeft het trouwens geen security by obscurity nodig voor zover ik weet; waarom zouden we dan angstvallig alles verborgen houden? Als het systeem veilig is, hebben we daarmee geen winst gedaan. Als het onveilig is, zal het sowieso wel ten val komen (en wat mij betreft liever morgen dan over een jaar).
In bijvoorbeeld een school-netwerk stelt dit niks voor! Bijvoorbeeld met de software Cain & Abel was dit al makkelijk te doen.
Haha, dat heb ik ook zitten doen op ons school netwerk, tijdens de les over de verschillende OSI layers, docent kon er wel om lachen toen, dat een klasgenoot van ons niet meer naar de avans-site kon, omdat ie dan op "een andere" site uitkwam.

(Weet ik is alleen maar DNS-spoofing) en geen MITM, MITM was ook niet moeilijk, maar dat deden we met apr-spoofing, allemaal best te doen)

Maar ik ben wel benieuwd of je niet gewoon zelf een ondertekende sleutel voor "ikwordtgehacked.com" op kan vragen en die dan vervolgens naar "alice" kan sturen als alice om "ikwilbankzakendoen.com" vraagt.

Waarschijnlijk wordt het ondertekend met de domeinnaam plus het ip dat erbij hoord, plus de sleutel.
Bij een "man-in-the-middle" aanval wordt de data tussen twee servers opgevangen en aangepast en weer doorgestuurd alsof er niks gebeurd is, als de ontvangen server dit niet door heeft dan is dit gelukt. Een gebruiker hoeft dus niet veel hiervan te merken. Dit is een technische manier om deze aanval uit te bannen, goed iets, zoiets zou niet eens mogelijk moeten zijn.
Of tussen client en server.

Maar DNS is al heel oud en mag dus wel een veiligheids upgrade krijgen.

Hier een poging tot uitleg over DNS en zijn problemen:

http://www.ripe.net/lir-services/training/e-learning/dnssec
Apart dat het nu pas gebeurt. Zelf dacht ik dat ze dit al deden of was dat alleen met de dns root servers?
Ja, root was gesigned. En NL was ook al een jaar gesigned, maar nog niet beschikbaar voor 'het publiek'.

De eerste grootte TLD die gesigned was, is .org.

.net was ook al een tijdje gesigned. .com is vooral heeel groot en dus lastig(er) te signen.
En wat als nu een valselijke publieke sleutel in omloop gebracht wordt waardoor de man in het midden alsnog via zijn eigen sleutel de boel kan ondertekenen en dus de gegevens kan aanpassen?
"Web of trust" kan dat tegen werken.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True