11-09-2012 16:36:55

Sinds enige tijd horen we er meer en meer over, de Security Extension (SEC) op het oude Domain Name Systeem (DNS), kortweg DNSSEC. Hoewel deze security extensions al reeds geruime tijd in RFCs (Request For Comments) zijn vastgelegd komt dit pas recent steeds vaker aan bod. Het gebruik van deze technologie wordt enigszins gepusht door beheerders van het Domain Name Systeem omdat het het gebruik ervan betrouwbaarder en veiliger maakt.

DNS
Van DNS hebben we allemaal wel gehoord. Dat is het systeem wat een naam (www.bit.nl) omzet in een IP-adres (213.136.12.236) of andersom. Je kan het beschouwen als het grote telefoonboek van het internet. Dit systeem is ontstaan in de jaren ’80 en sindsdien niet of nauwelijks aangepast. Toentertijd was het internet een mooie plek vol innovatie en gelijkgestemde, veelal bebaarde, universiteitsnerds. Er werd niet nagedacht over mogelijk misbruik van deze systemen, dat was niet aan de orde.

Tegenwoordig zijn we natuurlijk veel en veel verder. Niet alleen is het internet een gemeengoed geworden, ook de criminelen zien in wat een winst er te halen is op dat digitale netwerk van computers.

Het DNS systeem blijkt nu dan ook niet langer bestand tegen al het kwaad wat op het ‘huidige’ internet rondwaart. Fouten in DNS-software, maar ook fouten in het ontwerp van het domain name systeem, zorgen er voor dat criminelen in staat zijn het DNS zodanig te beinvloeden dat het voor jou lijkt alsof je naar je vertrouwde bank surft voor betalingen, maar in feite word je omgeleid naar bijvoorbeeld de server van een crimineel zonder dat je daar zelf erg in hebt.

DNS + SEC = DNSSEC!
Dus kwam er DNSSEC! Dit is een uitbreiding op het DNS protocol en maakt gebruik van cryptografie en zogenoemde Public Key Infrastructure. In het kort komt het er op neer dat:

Let echter op! DNSSEC beschermt alleen tegen ongewenste veranderingen van de gegevens terwijl het antwoord over het internet suist onderweg naar jouw browser. Het beschermt niet tegen ‘meelezen’. Met andere woorden: het is een validatietechniek, géén encryptietechniek.

Klinkt moeilijk…
En dat klopt! Er komt een hoop technologie bij kijken en ervaring met cryptografie en ‘public key infrastructures’ is dan ook gewenst.

Bij BIT geldt dat DNSSEC voor de eindgebruiker niet meer mag zijn dan een knop ‘DNSSEC Aan’ of ‘DNSSEC Uit’. Wat er allemaal achter de schermen gebeurt is werk voor de techies. Ook het controleren van DNS-antwoorden die zijn beveiligd met DNSSEC ligt bij BIT: onze nameservers controleren de digitale handtekeningen en weigeren te antwoorden als daar iets niet klopt.

Weigeren? Is dat niet gevaarlijk?!
Een beetje wel ja. Als er iets mis gaat met de DNSSEC instellingen van een domein kan het gebeuren dat het gehele domein van het internet verdwijnt omdat de digitale handtekeningen niet kloppen. Bezoekers zullen dan de indruk krijgen dat het domein niet bestaat of dat de site stuk is. Zulke situaties moeten natuurlijk voorkomen worden, daarom heeft BIT de DNSSEC afhandeling geautomatiseerd en gedocumenteerd zodat de kans dat het fout gaat wordt geminimaliseerd.

Nieuwe technologieën brengen nieuwe uitdagingen met zich mee. Er zijn veel voorbeelden waar het is misgegaan bij de invoering van DNSSEC. Niet alleen bij de ‘kleine jongens’, de meest ernstige fouten zijn gemaakt bij registries, de beheerders van top level domains (.nl, .be, .de, .se…):

BIT ook!
Bij ons is het ook een beetje mis gegaan. Gelukkig iets minder desastreus: In eerste instantie hadden wij een DNSSEC systeem ingericht gebaseerd op OpenDNSSEC, een opensource project wat als doel heeft het complete beheer van DNSSEC uit handen te nemen. Dit systeem werkt erg mooi maar blijkt niet opgewassen tegen een grote hoeveelheid aan DNSSEC-enabled domeinnamen. Toen wij een kleine 8.000 domeinnamen actief hadden was deze setup niet langer productiewaardig. We hebben dus moeten besluiten een andere oplossing te bouwen.

Gelukkig was het overgrote deel van het werk, de integratie van DNSSEC in ons bestaande DNS systeem, al afgerond. Het kwam voor ons dus neer op het vervangen van OpenDNSSEC met een oplossing die wél overweg kan met veel domeinnamen: PowerDNSSEC. Een oer-hollands product!

En nu?
We zijn erg blij met de switch naar PowerDNSSEC. Het digitaal ondertekenen van meer dan 12.000 domeinnamen kost ons nu maar tien minuten en het in- of uitschakelen van DNSSEC duurt met PowerDNSSEC maar enkele seconden. In de oude setup konden we niet eens zo veel domeinen ondertekenen en duurde het inschakelen tenminste vier uur maar vaak nog veel langer.

BIT is op dit moment helemaal klaar voor de grote toestroom aan DNSSEC inschakelingen. Heb jij een domeinnaam bij BIT en regelt BIT voor jou de DNS? Vraag ons dan DNSSEC in te schakelen voor jouw domein! Het kost je niets extra, maar zorgt wel voor meer veiligheid voor bezoekers!