Rootserver DNSSEC

Laatste rootserver woensdag over naar DNSSEC

Laatste rootserver woensdag over naar DNSSEC

Laatste rootserver woensdag over naar DNSSEC

Aanstaande woensdag, 5 mei, gaat de laatste van de 13 ICANN root-nameservers over naar DNSSEC. DNSSEC geeft meer zekerheid over de herkomst en betrouwbaarheid van het antwoord van een DNS rootserver. Sommige apparatuur kan er echter niet mee omgaan, omdat de netwerkpakketten die verstuurd worden twee keer zo groot zijn dan tot nu toe gebruikelijk is.

Tot nu toe was dat geen probleem, omdat er nog 1 rootserver op de oude manier berichten verstuurde. De berichten zullen initieel met een dummy electronische handtekening getekend worden, maar vanaf 1 juli gaat het echt van start. Dus mocht het internet woensdag stuk lijken te zijn, dan weet je waar je moet zoeken.

DNSSEC Wiki
The Domain Name System Security Extensions (DNSSEC) is a suite of Internet Engineering Task Force  (IETF) specifications for securing certain kinds of information provided by the Domain Name System (DNS) as used on Internet Protocol (IP) networks. It is a set of extensions to DNS which provide to DNS clients (resolvers) origin authentication of DNS data, authenticated denial of existence, and data integrity, but not availability or confidentiality.

Wat is DNSSEC?
In veel opzichten kan het Domain Name System (DNS) worden beschouwd als de bewegwijzering van het internet. Het systeem koppelt logische namen (vergelijkbaar met plaatsnamen) aan IP-adressen (vergelijkbaar met GPS-locaties). Al meer dan 25 jaar vervult DNS zo een van de belangrijkste rollen op het internet. De meeste gebruikers zijn zich er nauwelijks van bewust dat DNS bestaat en welk doel het dient. Als er een DNS-server uitvalt wordt dat door hen dan ook vaak geïnterpreteerd als: “Het internet is stuk”.

Toen begin jaren 80 het DNS-systeem ontworpen werd, was het internet nog heel klein en was er sprake van ‘ons-kent-ons’ op het netwerk. Gebruikers waren voornamelijk academici, militaire organisaties en computerenthousiastelingen. Over het algemeen kon er op vertrouwd worden dat zij geen misbruik wilden maken van het netwerk. Het zal dan ook niet als een verrassing komen dat security niet een van de ontwerpcriteria was bij de ontwikkeling van DNS.

Het DNS-systeem is ontworpen om snel en efficiënt informatie (meestal het IP-adres) bij een gestructureerde naam op te zoeken. Hiervoor is het DNS-systeem ingericht als een boomstructuur. De stam van de boom is het zogenaamde root-domein (vaak aangegeven met een puntje (.)). De dikke takken vanaf de stam zijn de top-level domeinen (zoals .nl, .be, .com, .org, …) en de dunnere takken daaronder zijn de second-level domeinen (zoals bijvoorbeeld computerworld.nl). De bladeren tenslotte zijn de individuele hostnamen waarvoor informatie kan worden opgevraagd (zoals bijvoorbeeld www.computerworld.nl).

DNS is in feite een hele grote gedistribueerde database. Per domein bestaat er een zogenaamde “zone file” die voor alle hostnamen in dat domein records bevat (zo bevat bijvoorbeeld de zone voor computerworld.nl een record dat de hostnaam www koppelt aan 85.112.20.85).

In het DNS-systeem zijn in principe twee rollen gedefinieerd:

  • Autoritaire DNS-servers – dit zijn servers die met “autoriteit” antwoord geven op vragen over domeinen. Dat betekent dat zij op het internet door de beheerder van een domein zijn aangewezen als de servers die de correcte informatie hebben over een domein. Een autoritaire DNS server geeft in de regel alleen antwoord op DNS verzoeken die betrekking hebben op de domeinen waarvoor de server autoritair is.
  • Resolvers – dit zijn servers (of stukjes software) die voor een algemeen DNS verzoek het internet op gaan om bij autoritaire DNS servers naar het juiste antwoord te zoeken. Vaak geldt dat resolvers ook een cache functie hebben; ze bewaren antwoorden die ze van autoritaire DNS servers ontvangen hebben een tijdje zodat deze kunnen worden hergebruikt als ze nogmaals dezelfde vraag ontvangen. Deze caching functie verhoogt de snelheid waarmee een resolver antwoorden kan geven en vermindert de belasting op autoritaire DNS servers. Een goed voorbeeld hiervan zijn de resolvers van een internetprovider (ISP); die voorzien vaak honderdduizenden gebruikers van antwoorden. Doordat ze beschikken over een cache hoeven ze niet telkens op te zoeken wat het IP adres is van bijvoorbeeld computerworld.nl maar kunnen ze dit antwoord uit hun cache geven.

Gaten in DNS

Midden jaren 90 startte de grootschalige groei van het internet en kwamen de eerste kwetsbaarheden in het DNS protocol aan het licht. Sindsdien is het er niet beter op geworden en tegenwoordig is bekend dat er een aantal ernstige problemen zitten in het DNS-protocol. Grofweg kunnen de problemen in drie categorieën worden ingedeeld:

Problemen met beschikbaarheid (denial-of-service)

  • Voor gebruikers geldt: als DNS niet beschikbaar is is het internet “stuk”
  • Een DNS resolver bij een ISP bedient soms wel 1 miljoen eindgebruikers
  • Grote autoritaire DNS-servers leveren de DNS informatie voor miljoenen domeinen

Problemen in DNS implementaties (exploits)

  • BIND – een van de bekendste DNS-server implementaties – is berucht om de bugs die er in gevonden zijn en die in veel gevallen misbruikt konden worden door krakers om zich toegang te verschaffen tot systemen met alle gevolgen van dien
  • Het DNS protocol kan misbruikt worden om DDoS (distributed denial-of-service) aanvallen uit te voeren, zogeheten DNS amplification attacks

Problemen met de betrouwbaarheid van DNS data (integriteit)

  • In de jaren 90 kwam de eerste cache-poisoning aanval aan het licht; deze maakte het mogelijk door met vervalste netwerkpakketjes onjuiste informatie in een DNS cache te krijgen die vervolgens aan gebruikers van die cache worden uitgeserveerd. Het ging hierbij om het vervalsen van een enkel DNS record in een cache. Om terug te keren naar de analogie met bewegwijzering: het werd mogelijk om de bordjes een andere kant op te laten wijzen en dus om gebruikers de verkeerde kant op te sturen
  • In 2008 publiceerde Dan Kaminsky informatie over een nieuw soort cache-poisoning aanval. Daarmee werd het feitelijk mogelijk om op ieder gewenst moment niet slechts de informatie van een DNS record maar de informatie voor een heel domein in een DNS cache te vervalsen

In dit stuk zal het voornamelijk gaan om het aanpakken van de laatste categorie.

Cache-poisoning

Het is zeer kwalijk als DNS-informatie in een DNS-cache vervalst kan worden. DNS-caches die bijvoorbeeld bij ISPs staan worden potentieel door honderdduizenden en soms zelfs miljoenen gebruikers benut. Nagenoeg alle internetprotocollen maken op enig moment gebruik van DNS om te bepalen waar ze informatie naar toe kunnen sturen of op kunnen halen. Dus met een succesvolle aanval op een DNS-cache kan een kraker bijvoorbeeld alle e-mail en VoIP gesprekken naar een domein omleiden. Of hij kan gebruikers naar zijn phishing website leiden in plaats van naar de echte website van hun bank of verzekeraar.

De mogelijkheden tot uitbuiting van deze kwetsbaarheden zijn enorm. Het meest kwalijke is misschien nog wel dat gebruikers een vervalst DNS-antwoord niet van een echt antwoord kunnen onderscheiden. Het is voor hen daardoor onmogelijk om te detecteren dat ze worden misleid.  Lees hier verder…

Ber|Art at http://hosting.ber-art.nl on Webhosting CAT

Vergelijkbare berichten:

Berrie Pelser
My name is Berrie Pelser, since 1999 co-owner of Ber|Art Visual Design V.O.F. Our company is been grown to a full service bureau for complete managed business internet sites that we are hosting in our own secure and fast Cloud. We are specialized in WordPress, search engine optimization, social media integration and social media strategy. I co-founded my company, Ber|Art Visual Design, in 1999 as a web design firm. It has since grown into a full-service agency for maintaining complete corporate websites hosted by Ber|Art in a secure and fastcloud environment.
Berrie Pelser

@BerriePelser

https://t.co/PNgOKnn9ep Berrie Pelser WordPress CMS SEO Cloud Hosting Webdesign Social Media Strategie Internet Blogger - http://t.co/Qroj6TZzDE | +31621881981
Messages Nonprofits Can Use to Raise Awareness http://t.co/nXehv5vFpD via @NealSchaffer - 32 minuten ago
Berrie Pelser
Berrie Pelser

Comments are closed.