DNSSEC, de Domain Name System Security Extensions

Sinds enige tijd horen we er meer en meer over, de Security Extension (SEC) op het oude Domain Name Systeem (DNS), kortweg DNSSEC. Hoewel deze security extensions al reeds geruime tijd in RFCs (Request For Comments) zijn vastgelegd komt dit pas recent steeds vaker aan bod. Het gebruik van deze technologie wordt enigszins gepusht door beheerders van het Domain Name Systeem omdat het het gebruik ervan betrouwbaarder en veiliger maakt.

DNS

Van DNS hebben we allemaal wel gehoord. Dat is het systeem wat een naam (www.bit.nl) omzet in een IP-adres (213.136.12.236) of andersom. Je kan het beschouwen als het grote telefoonboek van het internet. Dit systeem is ontstaan in de jaren ’80 en sindsdien niet of nauwelijks aangepast. Toentertijd was het internet een mooie plek vol innovatie en gelijkgestemde, veelal bebaarde, universiteitsnerds. Er werd niet nagedacht over mogelijk misbruik van deze systemen, dat was niet aan de orde.

Tegenwoordig zijn we natuurlijk veel en veel verder. Niet alleen is het internet een gemeengoed geworden, ook de criminelen zien in wat een winst er te halen is op dat digitale netwerk van computers.

Het DNS systeem blijkt nu dan ook niet langer bestand tegen al het kwaad wat op het ‘huidige’ internet rondwaart. Fouten in DNS-software, maar ook fouten in het ontwerp van het domain name systeem, zorgen er voor dat criminelen in staat zijn het DNS zodanig te beïnvloeden dat het voor jou lijkt alsof je naar je vertrouwde bank surft voor betalingen, maar in feite word je omgeleid naar bijvoorbeeld de server van een crimineel zonder dat je daar zelf erg in hebt.

DNS + SEC = DNSSEC!

Dus kwam er DNSSEC! Dit is een uitbreiding op het DNS protocol en maakt gebruik van cryptografie en zogenoemde Public Key Infrastructure. In het kort komt het er op neer dat:

• Aanbieders van DNS-systemen een cryptografische sleutel maken en daarmee hun DNS-gegevens digitaal ondertekenen.
• Deze sleutel bestaat uit twee delen: Een geheim deel waar de handtekening mee wordt gemaakt en een publiek deel waarmee de digitale handtekening gecontroleerd kan worden. Het publieke deel wordt (via DNS) publiek bekend gemaakt.
• Alle antwoorden van DNS-systemen worden voorzien van een digitale handtekening. Naast het antwoord (www.jouwbank.nl heeft IP-adres 127.0.1.2) komt een extra antwoord mee met de digitale handtekening (de zogenoemde RRSIG, Resource Record SIGnature).
• Bij DNS bevraging wordt de handtekening gecontroleerd met het publieke deel van de sleutel die via dezelfde DNS bekend is gemaakt.

Let echter op! DNSSEC beschermt alleen tegen ongewenste veranderingen van de gegevens terwijl het antwoord over het internet suist onderweg naar jouw browser. Het beschermt niet tegen ‘meelezen’. Met andere woorden: het is een validatietechniek, géén encryptietechniek.

Klinkt moeilijk…

En dat klopt! Er komt een hoop technologie bij kijken en ervaring met cryptografie en ‘public key infrastructures’ is dan ook gewenst.

Bij BIT geldt dat DNSSEC voor de eindgebruiker niet meer mag zijn dan een knop ‘DNSSEC Aan’ of ‘DNSSEC Uit’. Wat er allemaal achter de schermen gebeurt is werk voor de techies. Ook het controleren van DNS-antwoorden die zijn beveiligd met DNSSEC ligt bij BIT: onze nameservers controleren de digitale handtekeningen en weigeren te antwoorden als daar iets niet klopt.

Weigeren? Is dat niet gevaarlijk?!

Een beetje wel ja. Als er iets mis gaat met de DNSSEC instellingen van een domein kan het gebeuren dat het gehele domein van het internet verdwijnt omdat de digitale handtekeningen niet kloppen. Bezoekers zullen dan de indruk krijgen dat het domein niet bestaat of dat de site stuk is. Zulke situaties moeten natuurlijk voorkomen worden, daarom heeft BIT de DNSSEC afhandeling geautomatiseerd en gedocumenteerd zodat de kans dat het fout gaat wordt geminimaliseerd.

Nieuwe technologieën brengen nieuwe uitdagingen met zich mee. Er zijn veel voorbeelden waar het is misgegaan bij de invoering van DNSSEC. Niet alleen bij de ‘kleine jongens’, de meest ernstige fouten zijn gemaakt bij registries, de beheerders van top level domains (.nl, .be, .de, .se…):

• BE – In België waren de digitale handtekeningen eens verlopen wat resulteerde in het niet werken van alle .be domeinen.
• DE – Bij onze oosterburen is eens een halve zone gepubliceerd door fouten in DNSSEC. Een groot deel van de duitse domeinen was onbereikbaar.
• … en zo voorts. SE, UK, FR, allemaal de fout in gegaan …
  
  

PowerDNSSEC

Bij ons is het ook een beetje misgegaan. Gelukkig iets minder desastreus: In eerste instantie hadden wij een DNSSEC systeem ingericht gebaseerd op OpenDNSSEC, een open source project wat als doel heeft het complete beheer van DNSSEC uit handen te nemen. Dit systeem werkt erg mooi maar blijkt niet opgewassen tegen een grote hoeveelheid aan DNSSEC-enabled domeinnamen. Toen wij een kleine 8.000 domeinnamen actief hadden was deze set-up niet langer productiewaardig. We hebben dus moeten besluiten een andere oplossing te bouwen.

Gelukkig was het overgrote deel van het werk, de integratie van DNSSEC in ons bestaande DNS systeem, al afgerond. Het kwam voor ons dus neer op het vervangen van OpenDNSSEC met een oplossing die wél overweg kan met veel domeinnamen: PowerDNSSEC. Een oer-hollands product!

Gebruik ook DNSSEC

We zijn erg blij met de switch naar PowerDNSSEC. Het digitaal ondertekenen van meer dan 12.000 domeinnamen kost ons nu maar tien minuten en het in- of uitschakelen van DNSSEC duurt met PowerDNSSEC maar enkele seconden. In de oude set-up konden we niet eens zo veel domeinen ondertekenen en duurde het inschakelen tenminste vier uur maar vaak nog veel langer.

BIT is op dit moment helemaal klaar voor de grote toestroom aan DNSSEC inschakelingen. Heb jij een domeinnaam bij BIT en regelt BIT voor jou de DNS? Vraag ons dan DNSSEC in te schakelen voor jouw domein! Het kost je niets extra, maar zorgt wel voor meer veiligheid voor bezoekers!

Meer weten over DNSSEC?

Neem dan vrijblijvend contact met ons op voor meer informatie. Je kunt ons bereiken via 0318 648 688 of info@bit.nl.