PowerDNS Recursor versie 4 ondersteunt DNSSEC-validatie

Gepubliceerd op 23-09-2016

Met de lancering van versie 4 ondersteunt de PowerDNS Recursor nu ook DNSSEC-validatie. De nieuwe feature is nog experimenteel, maar volgens de ontwikkelaars al goed bruikbaar. Uitgangspunt is dat we opvragingen niet ten onrechte willen weigeren, want dan worden sites en services voor eindgebruikers geblokkeerd.

Validatie door de Recursor stond al veel langer op de agenda, maar heeft moeten wachten op de doorontwikkeling van DNSSEC op de authoritatieve server van PowerDNS. Ook de bescherming tegen DDoS/amplificatie-aanvallen had de afgelopen jaren hoge prioriteit en heeft onder andere geleid tot de ontwikkeling van de dnsdist load balancer.

Juist omdat Nederland wereldwijd voorop loopt met de ondertekening van de .nl-domeinnamen maar achterblijft op de validatie bij Internet Access Providers heeft SIDN de implementatie van validatie op de Recursor financieel ondersteund. Om diezelfde reden werkt de registry ook aan een eigen (validerende) DNS-service, vergelijkbaar met Google Public DNS en OpenDNS (inmiddels onderdeel van Cisco).

Gebruikers

De PowerDNS Recursor wordt in Nederland gebruikt door een handvol grote ISP's. Zo is XS4ALL — onlangs overgestapt van BIND named naar de PowerDNS server voor hun authoritatieve DNS -service — ook aan het experimenteren met de validerende PowerDNS Recursor. Dat doen zij naast hun bestaande resolvers, waarvan een deel nu validatie doet op basis van Unbound. Op internationaal niveau wordt de PowerDNS Recursor onder andere gebruikt door een grote telekom-aanbieder in een van onze buurlanden en door een pan-Europese kabelprovider.

PowerDNS vs. Unbound en BIND named

Het belangrijkste onderscheid ten opzichte van Unbound en BIND named is dat de ontwikkelaars van de PowerDNS Recursor eerst en vooral pragmatisch willen zijn. Primair uitgangspunt is dat we opvragingen nooit ten onrechte willen weigeren, want dan worden geldige sites en services voor eindgebruikers geblokkeerd, aldus senior engineer Peter van Dijk. Dat vinden we belangrijker dan dat er af en toe een query doorheen glipt waarvan de DNSSEC-keten niet helemaal in orde is.

Daarmee maakt PowerDNS een andere ontwerp-afweging dan de ontwikkelaars van Unbound en BIND. Die laatste twee volgen de RFC's zo goed mogelijk en kiezen daarmee voor een meer academische aanpak. Alle drie software-pakketten leveren echter goed bruikbare tools. De gebruiker kan daaruit de oplossing kiezen die het best bij hem past.

Negative Trust Anchors

Praktijkervaringen dwingen overigens ook bij Unbound tot pragmatisme. Zo kunnen bijvoorbeeld records waarvan de handtekening is verlopen nu toch worden doorgegeven zolang ze niet meer dan 10 procent van hun levensduur over tijd zijn (zie de val-sig-skew-min en val-sig-skew-max opties).

De PowerDNS Recursor staat het toe om problematische/bogus adressen te whitelisten — in DNSSEC-termen gesproken: om Negative Trust Anchors (NTA's, zoals gedefinieerd in RFC 7646) toe te voegen — zowel permanent in het configuratiebestand als tijdelijk in run-time. Met die laatste mogelijkheid kan bijvoorbeeld een eindgebruiker die opbelt over een onbereikbare site direct geholpen worden. Een paar jaar geleden, toen het aantal DNSSEC-configuratiefouten in de .nl-zone veel hoger was dan nu, waren de kosten verbonden aan klagende bellers voor T-Mobile aanleiding om validatie voor hun mobiele gebruikers weer uit te zetten.

RPZ, Lua en Curve25519

Een andere vernieuwing in versie 4 van de PowerDNS Recursor betreft de ondersteuning van RPZ (Response Policy Zone). Dit mechanisme lijkt op het DNSBL/RBL-protocol dat onder andere gebruikt wordt om de blacklists van het Spamhaus Project te bevragen. Waar DNSBL/RBL echter alleen een 'ja' of een 'nee' teruggeeft, kunnen RPZ-antwoorden uitgebreider informatie over reputatie en policies bevatten. Beide mechanismen zijn gebaseerd op de DNS-infrastructuur.

Daarnaast maakt de Lua scripting-faciliteit van de Recursor nu gebruik van LuaWrapper.

Tenslotte hopen de makers van PowerDNS in een volgende versie ondersteuning van het elliptic curve crypto-algoritme Curve25519 aan te kunnen zetten. Dat protocol is de basis onder DNSCurve, een alternatief voor DNSSEC bedacht door Daniel J. Bernstein dat het niet gered heeft. De Curve25519-cryptografie wordt op dit moment door de IETF gestandaardiseerd voor gebruik in DNSSEC, waarna deze kan worden opgenomen in het DNSSEC-algoritmelijstje van IANA.

Oer-Hollands product

In Nederland is erg veel DNS-kennis opgebouwd, aldus Marco Davids, research engineer bij SIDN, en daar mogen we trots op zijn. PowerDNS is een oer-Hollands product dat op eigen kracht een plek in de wereldtop heeft weten te veroveren: hun authoritatieve nameserver is een begrip. Met nieuwe ontwikkelingen, zoals dnsdist en de nieuwe (DNSSEC-)features in de Recursor, versterken ze die positie. We zijn heel blij met de goede verstandhoudingen en met de populariteit van PowerDNS onder registrars en DNS-operators. Daarbij gaat het niet zelden om grote, wereldwijde spelers.

Terug naar het nieuwsoverzicht