DNSSEC.nl

DNSSEC als fundament onder andere beveiligingsprotocollen

DNSSEC is geen op zichzelf staande beveiligingsstandaard. Het fungeert ook als fundament onder nieuwe protocollen die bijvoorbeeld de veiligheid van server-certificaten voor web en mail versterken. Daarnaast worden allerlei bestaande beveiligingsprotocollen met de toepassing van DNSSEC automatisch van een cryptografische basis voorzien.

"Registrars moeten hun DNSSEC-configuraties in orde maken"

Validatiefouten bemoeilijken verdere invoering

Onlangs vroeg SIDN zijn registrars om extra aandacht voor DNSSEC-configuratiefouten. Nu steeds meer ISP's op hun caching DNS-servers ook valideren, is het van groot belang dat de DNSSEC-instellingen van een domein in orde zijn. Een domeinnaam die ten onrechte niet goed valideert, levert immers voor een web browser of een mail gateway, en dus voor de eindgebruiker een acuut probleem op.

DNS amplificatie-aanvallen straks niet meer te stoppen zonder BCP 38

Twee weken geleden publiceerden de Universiteit van Amsterdam en NLnet Labs een gezamelijk rapport over de effectiviteit van maatregelen tegen DNS amplificatie-aanvallen. Javy de Koning en Thijs Rozekrans simuleerden bij NLnet Labs een ANY-gebaseerde aanval en onderzochten hoe Response Rate Limiting (RRL) het beste ingezet kan worden om een dergelijke aanval te pareren. Daarnaast keken zij naar de effectiviteit van RRL bij geavanceerdere aanvallen en bespreken ze DNS dampening als alternatief verdedigingsmechanisme.

Tweeluik DNSSEC en BIND deel II: sleutelbeheer

Beheerders die zelf hun DNS-servers onderhouden zullen daarvoor meestal gebruik maken van BIND named. In het eerste artikel van dit tweeluik zijn we uitgebreid ingegaan op de configuratie van DNSSEC voor deze DNS-server. In dit tweede verhaal bouwen we hier op voort met sleutelbeheer, automatische ondertekening en andere beheersaspecten.

DNSSEC en BIND named deel I: het ondertekenen van de zones

Beheerders die zelf hun DNS-servers onderhouden zullen daarvoor meestal gebruik maken van BIND named. Ondanks dat er de afgelopen jaren enorm veel op internet is gepubliceerd over de configuratie van DNSSEC voor deze DNS-server, blijken de meeste van die pagina's inmiddels verouderd te zijn. Omdat Google vooral achterhaalde informatie opleverde en het al met al toch behoorlijk wat tijd kostte om alle instellingen bij elkaar te scharrelen, zetten we in twee hands-on artikelen de hele configuratie nog eens op een rijtje.

BIT valideert DNSSEC-beveiligde domeinen

BIT is een van de Nederlandse providers die DNSSEC-beveiligde domeinen valideert. Het inschakelen van de validatie heeft ons vrijwel geen werk bezorgd. Wij vinden dat onze klanten er van uit moeten kunnen gaan dat onze DNS-servers deze extra veiligheid gebruiken als die beschikbaar is.

Op dit moment is het .nl-domein wereldwijd absoluut de grootste als het gaat om de beveiliging met DNSSEC. Inmiddels zijn bijna 1,4 miljoen van de 5,1 miljoen domeinnamen ondertekend. Het valideren van de DNS records bij de providers moet echter nog goed op gang komen. Volgens onderzoek van Verisign Labs vraagt op dit moment wereldwijd 4,3 procent van de resolvers om DNSSEC-handtekeningen. Hier in Nederland maken onder andere SURFnet, T-Mobile en BIT gebruik van validerende resolvers op hun caching DNS-servers.

SIDN fungeert als doorgeefluik bij verhuizing DNSSEC-beveiligde domeinen

Op dit moment worden beveiligde .nl-domeinen weer op onveilig gezet om ze naar een andere registrar te kunnen verhuizen. Straks is dat geen optie meer en zullen alle domeinen ook tijdens de verhuizing beveiligd moeten blijven. Technisch is dat ook heel goed mogelijk, maar het vraagt wel administratieve afstemming tussen latende en verkrijgende registrar. SIDN zal daarbij als doorgeefluik fungeren.

Verhuizen met DNSSEC: IETF-methode heeft de voorkeur

Onlangs organiseerde hosting provider Oxilion op haar kantoor een Lunch & Learn bijeenkomst. Daarbij sprak een aantal DNS-specialisten, zowel intern als extern, over de verhuizing van DNSSEC-beveiligde domeinen.

De probleemstelling was al snel duidelijk: het overzetten van een ondertekend domein van de ene naar een andere DNS-operator zonder de bescherming te verbreken, vereist sowieso samenwerking tussen de latende en verkrijgende operator. Dat impliceert ook de medewerking van de latende operator, ondanks dat deze het betreffende domein en misschien wel de hele klant verliest.

DANE maakt PKI-systeem weer veilig en betaalbaar

Deze zomer is de specificatie voor DANE als officiele RFC gepubliceerd. DANE, kort voor DNS-based Authentication of Named Entities, is een uitbreiding van DNSSEC. Daarmee kunnen ook sleutels en certificaten voor beveiligde websites in het DNS-systeem worden opgenomen.

DANE maakt het PKI-systeem weer veilig en betaalbaar, vertelt Marco Davids, Technisch Adviseur bij SIDN, de beheerder van het .nl top-level domein. De certificaten waarmee websites, en in mindere mate ook e-mail, op dit moment worden beveiligd, zijn vrij prijzig. Bovendien kent het PKI-systeem enkele ernstige tekortkomingen.

Betrouwbaarheid overheidsinformatie van cruciaal belang

Deze zomer is DNSSEC toegevoegd aan de zogenaamde 'pas toe of leg uit'-lijst. Daarmee zijn overheidsorganisaties nu verplicht deze veiligheidsstandaard te gebruiken. Alleen als zij goede redenen hebben om dat niet te doen, mogen zij daar van afwijken. DNSSEC vormt een belangrijk fundament onder een veilige elektronische overheid. Vandaar dat het College Standaardisatie deze standaard zo snel na de introductie in Nederland op de 'pas toe of leg uit'-lijst heeft opgenomen. Overheidsorganisaties zijn nu verplicht hun domeinen te ondertekenen en de validatie van ondertekende domeinen op hun systemen te implementeren.

Mijndomein ondertekent 334 duizend .nl-domeinen

Vorige maand ondertekende hosting provider Mijndomein maar liefst 334 duizend .nl-domeinen. Daarmee leverde deze registrar een belangrijke bijdrage aan het doorbreken van de grens van één miljoen met DNSSEC beveiligde domeinen. Gelukkig kwam SIDN de bedrijven die met DNSSEC aan de slag wilden daarin financieel tegemoet. Zo konden we de business case voor de invoering van DNSSEC snel rond krijgen. We hebben daarom ook gemikt op 1 oktober om al onze .nl-domeinnamen ondertekend te hebben.

Dnssec-trigger brengt DNSSEC naar de eindgebruiker

DNSSEC beveiligt de hele keten van DNS-informatie. In de huidige versies van Windows en (Mac) OS X is deze standaard echter nog niet volledig geïmplementeerd. Dnssec-trigger is een intelligente tool waarmee de vertrouwensketen tot helemaal op de client kan worden uitgebreid. Daartoe wordt naast de bestaande resolver een alternatieve resolver geïnstalleerd. Dat maakt deze software essentieel voor eindgebruikers die de DNSSEC-verificatie niet aan hun internet service provider willen overlaten en voor organisaties die zeker willen weten dat de mobiele computers van hun werknemers onderweg bij de juiste IP-adressen uitkomen.

SURFnet implementeert DNSSEC

SURFnet is altijd al een pionier geweest. Wij brengen niet alleen innovatieve ICT naar onze doelgroep maar dragen ook bij aan de ontwikkeling daarvan. Twee jaar voor de brede uitrol van DNSSEC had men deze technologie al in zijn infrastructuur geïmplementeerd. In september komt deze functionaliteit voor alle klanten algemeen beschikbaar.

Atomia DNS: DNSSEC voor grootgebruikers

Begin dit jaar is Atomia DNS als open source beschikbaar gemaakt. Sterke punten van deze DNS repository zijn de directe en geautomatiseerde ondersteuning van DNSSEC, de schaalbaarheid, en de API voor integratie met andere software-pakketten. Hoewel de makers zich vooral op grote hosting providers richten, kan de software door iedereen worden gedownload en gebruikt.

DANE: de macht aan de domeinnaam-houders

Hoewel DNSSEC de houders van domeinnamen in staat stelt hun DNS-informatie cryptografisch te beveiligen, is de directe meerwaarde daarvan nu nog beperkt. Met DNSSEC wordt echter een basis-infrastructuur aangelegd waarop weer verder gebouwd kan worden. DANE is de eerste uitbreiding. Daarmee kunnen eerst server-certificaten en later ook mailberichten worden beveiligd. Deze technologie had bijvoorbeeld het DigiNotar-debacle kunnen voorkomen. Direct voordeel voor domeinnaam-houders is dat zij voor de garantie van hun server-certificaten niet meer afhankelijk zijn van de commerciële diensten van een CA.

PowerDNS en DNSSEC: aandachtspunten en ondersteuning

Deze maanden werken diverse DNS-operators samen met PowerDNS aan grootschalige implementaties van DNSSEC. De ervaringen en lessen die daarbij worden opgedaan, zijn bijzonder waardevol voor zowel developers als gebruikers van PowerDNS. We geven ontwikkelaar Bert Hubert dan ook graag de gelegenheid hier een aantal tips te plaatsen voor het werken met PowerDNS en DNSSEC. Bovendien biedt PowerDNS, in samenwerking met SIDN, de komende tijd gratis ondersteuning bij de controle van uw configuratie en versies.

DNSSEC secure transfers: het kan wel

Toen SIDN in 2008 serieus werk ging maken van de operationele implementatie van DNSSEC, liepen we tegen problemen aan die niet zozeer te maken hadden met de techniek, maar met de administratie rondom domeinnamen en de hele keten van registry-registrar-reseller-registrant-dns-operator. Hoe kon je een domeinnaam secure verhuizen van de ene DNS-operator naar de andere zonder dat ze inzicht hadden in elkaars private keys die in DNSSEC worden gebruikt?

DNSSEC.nlNederlands kennisplatform DNSSEC

Zoeken

Wat is DNSSEC?

Laatste nieuws

Workshops DNSSEC bij SURFnet

DNSSEC als fundament onder andere beveiligingsprotocollen

Interessante Case Studies

DNSSEC als fundament onder andere beveiligingsprotocollen

"Registrars moeten hun DNSSEC-configuraties in orde maken"

Validatiefouten bemoeilijken verdere invoering

DNS amplificatie-aanvallen straks niet meer te stoppen zonder BCP 38

Tweeluik DNSSEC en BIND deel II: sleutelbeheer

DNSSEC en BIND named deel I: het ondertekenen van de zones

BIT valideert DNSSEC-beveiligde domeinen

SIDN fungeert als doorgeefluik bij verhuizing DNSSEC-beveiligde domeinen

Verhuizen met DNSSEC: IETF-methode heeft de voorkeur

DANE maakt PKI-systeem weer veilig en betaalbaar

Betrouwbaarheid overheidsinformatie van cruciaal belang

Mijndomein ondertekent 334 duizend .nl-domeinen

Dnssec-trigger brengt DNSSEC naar de eindgebruiker

SURFnet implementeert DNSSEC

Atomia DNS: DNSSEC voor grootgebruikers

DANE: de macht aan de domeinnaam-houders

PowerDNS en DNSSEC: aandachtspunten en ondersteuning

DNSSEC secure transfers: het kan wel

Snel op de hoogte van DNSSEC:

Nieuwsbrief

Documentatie