DNS is een van die stille technologieën die de hele wereld gebruikt zonder er bij stil te staan. Het staat voor Domain Name Service en laat ons toe een naam, als www.acmecorporation.com (*), in te tikken om contact te krijgen met een server. Het is een integrerend deel van de protocollen van het internet. Het werkt zo goed dat het transparant is. Maar er is een probleem.
Wat we niet weten is dat er een veiligheidsrisico is. DNS werd gedesigned van in het begin van het internet, samen met de IP protocol stack. Het was de tijd van open samenwerking zonder misbruik - het leven was eenvoudig. Maar vandaag zijn er mensen met minder nobele bedoeling aktief die het veiligheidsprobleem willen misbruiken.
Het DNS principe is zeer eenvoudig : als je een naam intikt, zoals www.acmecorporation.com, zal je PC de naam opvragen bij de plaatselijke naamserver om het overeenstemmende IP adres te krijgen. De naamserver vraagt het aan de naamserver van het “.com” domein, die doorverwijst naar de naamserver van acmecorporation.com. Van die nameserver komt dan het IP adres terug. Als je collega de site al bezocht heeft voor jou, staat de mapping nog in het geheugen, in de cache.
Het gevaar is dat om het even wie je naamserver kan doen geloven dat om het even welk ander adres, liefst van een malafide server, overenkomt met dat van www.acmecorporation.com. Dat noemen ze dan “cache poisoning”. Het gevolg is dubbel. Enerzijds is er de persoon die misleid wordt naar een andere website en wordt aangespoord om confidentiële informatie af te staan, zoals kredietkaart gegevens, paswoorden of wat dan ook. Anderzijds is er het bedrijf met de oorspronkelijke website, die minder bezoekers en dus ook minder business krijgt. De misleide gebruikers zullen daarbij minder vertrouwen hebben in het bedrijf.
Met DNSSEC - DNS SECured -wordt het internet beveiligd tegen cache poisoning. Het principe is eenvoudig : je kan alleen maar een DNS antwoord vertrouwen als er een geldige electronische handtekening bij is. DNSSEC voegt die toe naar de gebruikers en zij moeten die dan ook controleren.
Op 1 juli worden de “root” DNS servers upgegrade naar het nieuwe systeem. Dit betekent dat, om je diensten -en haar gebruikers- op het internet te beveiligen, àlle DNS servers moeten upgegrade en geconfigureerd worden om het systeem te ondersteunen. Eigenlijk moeten àlle DNS servers van alle operatoren en alle bedrijven worden upgegrade om het DNS systeem waterdicht te maken.
Sluit je aan op ons seminarie van de 2de april (zie onze website).
(*) acmecorporation was de hofleverancier van Wil.E Coyote in de teken films van Warner Bros in “Roadrunner and Coyote”.
Download hier de volgende presentaties.
- DNS & Security (PDF, 2.5 MB)
- Cache Poisoning and DNSSEC (PDF, 14 MB)
- .eu: securing the second layer of the DNS hierarchy (PDF, 5.1 MB)
- Visibility & Control for Core Network Services (PDF, 8.2 MB)
Meeste commentaren