17 februari 2015

RijksDNS valideert DNSSEC ; ondertekening volgt later dit jaar

RijksDNS is een infrastructuurdienst van SSC-ICT Haaglanden. Hun resolvers zijn in principe voor iedereen op het Rijksnetwerk beschikbaar. In totaal gaat het om 30 duizend gebruikers. Validatie van DNSSEC werkt inmiddels zonder problemen. Komend jaar worden ook alle negentig domeinen ondertekend.

SSC-ICT Haaglanden valt onder het Ministerie van BZK en is verantwoordelijk voor de ICT-dienstverlening aan bijna alle Nederlandse ministeries. Het onderdeel bedient naast BZK ook IenM, Financiën, VWS en SZW, die tesamen goed zijn voor bijna tweeduizend applicaties. In 2014 zijn daar de ICT-afdelingen van Justitie, BZ en AZ bijgekomen. De organisaties en hun infrastructuur worden op dit moment in het grotere geheel geïntegreerd.

Deze consolidatie-slag loopt al meer dan een decennium en moet uiteindelijk leiden tot een rijksbreed service center. Op dit moment wordt de Digitale Werkomgeving Rijksdienst (DWR: office productivity, collaboration, intranet, internet en mail) al aangeboden aan alle rijksambtenaren. In totaal gaat het om zo'n 30 duizend medewerkers verdeeld over vijftig tot zestig locaties.

Uitgangspunt bij dit alles is de service center architectuur waar alles in moet passen. Daarnaast is er de Baseline Informatiehuishouding Rijksoverheid (BIR). Voor Justitie en BZ komen daar nog aanvullende infrastructurele en beleidsmatige eisen bij.

RijksDNS

RijksDNS is net als Rijksinternet en Rijksconnect een infrastructuurdienst van SSC-ICT Haaglanden. Hun DNS -resolvers zijn in principe voor iedereen op het Rijksnetwerk beschikbaar. DNSSEC is twee jaar geleden op de pas-toe-of-leg-uit-lijst van het Forum Standaardisatie gezet, vertelt Dennis van Duivenboden, Operationeel manager, Netwerkbeheer Team Diensten. Dat betekent dat wij aan die standaard moeten voldoen.

We hebben onze domeinen nog niet ondertekend maar zijn daar wel mee bezig. Op dit moment onderzoeken we onder andere de veiligheidsimplicaties. We willen bijvoorbeeld niet dat onze DNS-servers misbruikt kunnen worden voor amplificatie-aanvallen. Volgend jaar willen we al onze negentig domeinen ondertekend hebben.

Validatie van DNSSEC doen de rijks-resolvers wel. We vinden beide richtingen op even belangrijk: Onze mensen moeten er zeker van zijn dat ze op internet op de goede plek uitkomen [validatie]. En als mensen onze diensten bezoeken moeten zij er zeker van zijn dat ze inderdaad bij ons uitkomen [ondertekening].

DNS-infrastructuur

SSC-ICT Haaglanden maakt voor zijn DNS-infrastructuur gebruik van appliances. We hadden voorheen DHCP en DNS op dezelfde servers draaien, aldus Van Duivenboden.Dat hebben we nu gescheiden, zodat we voor elke functie aparte systemen hebben.

We hebben het ontwerp van onze nieuwe DNS-infrastructuur laten bekijken door de producent en onze leverancier. We hebben onze Grid Master en de DNS-servers voor verschillende omgevingen moeten inrichten: de RijkDNS-productie en de OTA-omgeving. In totaal gaat het om een stuk of tien appliances.

Voor de ondertekening gaan we twee HSM-systemen inzetten. Die staan er sowieso, dus dan is het het veiligst om die ook te gebruiken voor onze sleutels en certificaten. De bestaande systemen worden binnenkort vervangen, dus we moeten even wachten totdat dit afgerond is. Deze systemen worden beheerd door een andere interne dienstverlener, dus we hebben daar wel moeten aangeven dat onze DNS-servers alleen twee specifieke merken HSM ondersteunen. Het uploaden van het sleutelmateriaal naar SIDN zou geen probleem moeten zijn; we doen dat via onze domeinbeheerder KPN.

Ondertekening

Ondertekening is ingewikkelder dan validatie, vervolgt Van Duivenboden. Om onze implementatie te kunnen testen, zullen we dat eerst op aparte machines doen. Op die manier krijgen we een goed idee hoe alles werkt en kunnen we alle processen en monitoring eromheen organiseren. Pas als dat helemaal in orde is, gaan we DNSSEC naar productie brengen.

Als er iets mis gaat met DNSSEC, zijn de consequenties groot. Dat betekent dat we eerst moeten uitzoeken welke problemen zich kunnen voordoen en hoe we die dan kunnen oplossen. Bovendien moeten we ook zorgen dat we die problemen snel herkennen als ze optreden. Als er straks bijvoorbeeld een HSM uitvalt, dan mogen we daardoor niet in de ellende komen. Zo werken we verschillende scenario's uit, en die gaan we ook testen.

Met DANE, DKIM en andere DNS-gebaseerde standaarden zijn we nog niet bezig. We willen niet alles tegelijk doen. Laten we eerst de basis maar goed neerleggen.

Validatie

Ook voor de resolving maken we gebruik van appliances, vervolgt Van Duivenboden. We hebben daarvoor eerst goed uit moeten zoeken hoe het precies zat met het trust anchor. We hadden problemen met het binnenhalen van het root certificaat. Voor het oplossen daarvan hebben we contact gehad met SIDN: zij hebben ons uitgelegd waar je dat kunt vinden en hoe je dat op een veilige manier kunt binnenhalen.

We hebben hier drie mensen die zich met DNS bezighouden. Degene die hier primair verantwoordelijk is voor DNSSEC heeft daarvoor een online cursus gevolgd.

Problemen met validatiefouten heeft men bij SSC-ICT Haaglanden niet ervaren. Als die al zijn voorgekomen, dan hebben wij daar niets van gemerkt, aldus Van Duivenboden. Onze resolvers bedienen sowieso 20 tot 30 duizend DWR-werkplekken. Maar RijksDNS staat in principe open voor iedereen op de Haagse ring. Dat betekent dat ergens tussen de 50 en 100 duizend apparaten gebruikmaken van hun resolvers.

Mocht een domein onverhoopt toch niet goed geconfigureerd zijn, dan leidt dat ook niet tot onoverkomelijke problemen. Het staat afnemers van de Haagse ring vrij om andere resolvers op hun systemen in te stellen.

Meer prioriteit voor veiligheid

Computerveiligheid en bruikbaarheid staan traditioneel op gespannen voet met elkaar. Enerzijds wil je een goed beveiligde omgeving aan kunnen bieden, anderzijds moet dat zowel transparant als robuust voor de gebruikers zijn. We willen natuurlijk niet dat onze gebruikers daar last van hebben, maar veiligheid krijgt steeds meer prioriteit en aandacht in de organisatie. De wereld verandert en juist als overheid kun je je op dat gebied geen blunders veroorloven. Van Duivenboden noemt het DigiNotar-debacle als afschrikwekkend voorbeeld.

Als de mail er een half uurtje uit ligt, dan kom je daar nog mee weg. Maar een heel domein dat kan echt niet. Dat betekent dat je jezelf ook voldoende tijd moet geven om DNSSEC goed te implementeren.