DNSSEC voor hardwareleveranciers

Kom meer te weten over wat DNSSEC voor u betekent en welke stappen u kunt ondernemen om het slagen van DNSSEC te ondersteunen.

Terwijl DNSSEC (Domeinsysteemnaam beveiligingsuitbreidingen) terrein wint, neemt ook de vraag naar DNSSEC-compatibele internetapparatuur en -hardware toe. Verisign hecht veel waarde aan de samenwerking met geïnteresseerde hardwareleveranciers om compatibiliteitsrisico's vast te stellen en op te lossen.

Waarom nu handelen? Wat is er nodig? Wat moet u in overweging nemen? Waar kunt u beginnen?

De vraag bij registrars, ISP's en eindgebruikers naar netwerkapparatuur en andere apparaten die een DNSSEC-omgeving steunen en hierin kunnen worden gebruikt, groeit.

Samen vormen deze entiteiten een belangrijke commerciële mogelijkheid voor hardwareleveranciers die snel op deze behoefte willen inspelen. Ze benadrukken ook de mogelijke bedrijfsrisico's waarmee leveranciers worden geconfronteerd als hun apparaten niet DNSSEC-compatibel zijn. Vanuit een breder perspectief gezien, onderschrijven deze risico's en kansen de cruciale rol die hardwareleveranciers spelen bij een geslaagde implementatie en acceptatie van DNSSEC.

DNSSEC kan een aantal compatibiliteitsproblemen veroorzaken bij netwerkapparatuur die DNS ondersteunt. Cycli voor strategische planning, ontwikkeling en productie die deze problemen aanpakken, kunnen maanden duren, soms zelfs jaren. Hardwareleveranciers moeten hun producten plannen, ontwikkelen, testen en afstemmen zodat ze kunnen voorzien in de beveiligingsbehoeften van hun klanten.

Door nu van start te gaan, kunt u uw reputatie voor leiderschap en innovatie in internetbeveiliging bekrachtigen, uzelf onderscheiden van concurrenten en een positie op de markt voor DNSSEC-compatibele apparaten veroveren.

Voordelen voor proactieve hardwareleveranciers

Door snel te handelen en het succes van DNSSEC globaal te ondersteunen, kunt u:

  • Upgrades en nieuwe producten introduceren die compatibel zijn met DNSSEC.
  • Uw naamsbekendheid en reputatie helpen opbouwen.
  • Het vertrouwen en de loyaliteit van uw klanten behouden.
  • Klanten die geïnteresseerd zijn in beveiliging aantrekken en behouden.
  • Internetbeveiliging voor klanten verhogen.
  • Uw kernactiviteiten beschermen door het vertrouwen in het internet te vergroten.
  • Leiderschap en invloed uitoefenen om de toekomst van DNSSEC vorm te geven.

DNSSEC introduceert complexe wijzigingen in het volledige internetecosysteem. Om ervoor te zorgen dat internetgebruikers baat hebben bij deze extra laag internetbeveiliging, moeten fabrikanten van producten voor de internetinfrastructuur, zoals firewalls, routers en andere netwerkapparaten, zorgen dat hun apparatuur compatibel is met DNSSEC. De correcte werking van deze producten beïnvloedt op vrijwel iedereen die verbinding maakt met het internet, inclusief bedrijven, internetaanbieders, particuliere gebruikers en andere klanten.

DNSSEC is mogelijk van invloed op elk apparaat dat internetverkeer onderzoekt op lagen 3 tot 7 van de OSI-protocolstack (Open Systems Interconnection). Compatibiliteitsproblemen kunnen voortkomen uit de hardware zelf of de wijze waarop gebruikers deze hebben geconfigureerd. Onderzoek lijkt aan te tonen dat de meeste routers voor kleine kantoren of thuiskantoren (vóór stub-conflictoplossers) goed te lijken werken in een DNSSEC-omgeving. Firewalls voor bedrijven (vóór recursieve servers) vormen de grootste uitdaging.

Verisign is erop gericht u te helpen compatibiliteitsproblemen in uw producten en oplossingen op te sporen. In de volgende tabel vindt u suggesties voor de aanpak van belangrijke problemen met betrekking tot DNSSEC-compatibiliteit.

PROBLEEM: DNSSEC-PAKKETTEN ZIJN GROTER (> 512 BYTES) DAN TRADITIONELE DNS-PAKKETTEN.
Uitleg: van oudsher werden DNS-berichten overgedragen door het UDP (User Datagram Protocol), en de oorspronkelijke DNS-standaarden beperkten de grootte van DNS-pakketten tot 512 bytes. DNSSEC-pakketten kunnen openbare sleutels en handtekeningen bevatten en zijn daarom vaak groter dan de eerdere maximumgrootte van 512 bytes. Veel verouderde en sommige huidige netwerkapparaten kunnen de grotere DNSSEC-pakketten niet verwerken Suggestie: zorg dat u op de hoogte bent van apparaatbeperkingen met betrekking tot de verwerking van DNSSEC-pakketten.
PROBLEEM: DNSSEC (ACTIVERING) GENEREERT MEER TCP-VERKEER.
Uitleg: vanwege de beperkingen voor de maximale verzendeenheid kan UD de grootte van DNSSEC-pakketten niet altijd aan. Als gevolg hiervan wordt weer TCP gebruikt voor query's en antwoorden, wat tot meer verkeer leidt en netwerkapparaten zwaarder belast. Bovendien zijn sommige apparaten niet geconfigureerd om DNS-pakketten via TCP toe te staan en enkele apparaten bieden zelfs geen ondersteuning voor DNS via TCP. Suggestie: zorg dat uw apparatuur TCP ondersteunt en hiervoor is geconfigureerd.
PROBLEEM: DNSSEC (ACTIVERING) VEREIST ONDERSTEUNING VOOR EDNS0.
Uitleg: EDNS (Extension mechanisms for DNS) is een reeks DNS-extensies die in 1999 voor het eerst werd gepubliceerd. DNSSEC-verkeer is afhankelijk van deze extensies voor extra signalering en voor ondersteuning van DNS-pakketten in UDP die groter zijn dan 512 bytes. Sommige netwerkapparaten kunnen DNS-pakketten mogelijk niet verwerken met EDNS0. Suggestie: zorg dat uw apparatuur DNS-pakketten ondersteunt met EDNS0.

Verisign helpt u graag bij apparaatcompatibiliteit voor DNSSEC. Voordat u aan de slag gaat, is het raadzaam de volgende stappen te overwegen.

Evalueren en plannen

  • Evalueer uw bestaande producten om inzicht te krijgen in hun DNSSEC-beperkingen en de standaardinstellingen te bepalen.
  • Zorg dat u een duidelijk beeld hebt van hoe DNSSEC in uw productontwikkelingsstrategie past.
  • Stel een schema op voor de ontwikkeling van producten, upgrades en uitbreidingen die DNSSEC ondersteunen.

Testen

Test de compatibiliteit van uw netwerkapparaten met DNSSEC-gedrag.

Verkennen en trainen

  • Kom te weten met welke voordelen en uitdagingen uw klanten te maken krijgen wanneer ze DNSSEC implementeren.
  • Plan strategieën om klanten te informeren over de DNSSEC-compatibiliteit van uw producten.
  • Zorg ervoor dat de medewerkers van de IT-afdeling en klantenondersteuning training krijgen over de wijze waarop ze met DNSSEC-gerelateerde problemen om moeten gaan.
  • Werk samen met industrieconsortiums, instanties voor standaarden en andere software- en hardwareleveranciers om oplossingen en procedures te ontwikkelen die aansluiten op de behoeften van uw organisatie.


meer lezenminder lezen

WILT U MEER INFORMATIE?

Juridische kennisgevingen// Privacy// Database// Contact opnemen// Siteoverzicht


© 2011-2013 VeriSign, Inc. Alle rechten voorbehouden.
VERISIGN, het VERISIGN-logo en andere handelsmerken, servicemerken en designs zijn gedeponeerde of niet-gedeponeerde handelsmerken van VeriSign, Inc. en zijn dochterondernemingen in de Verenigde Staten en andere landen. Alle andere handelsmerken zijn het eigendom van hun respectieve eigenaars.