DNSSEC voor ISP's

DNSSEC (Domain Name System Security Extension) zorgt ervoor dat ISP's een meerwaarde kunnen bieden voor de duizenden klanten die vertrouwen op een veilige internetervaring om te werken, te leren, te spelen en samen te werken.

Verisign hecht veel waarde aan de samenwerking met internetaanbieders om DNSSEC te vereenvoudigen en standaardiseren. Kom te weten wat DNSSEC voor u kan betekenen, stappen die u kunt ondernemen ter voorbereiding op DNSSEC en de wijze waarop de tools, informatie en andere bronnen van Verisign kunnen helpen bij het doeltreffend plannen, testen en activeren van DNSSEC.

Waarom nu handelen? Wat moet u doen? Wat moet u in overweging nemen? Waar kunt u beginnen?

Gezien de toenemende kennis van DNS-bedreigingen en de route die andere internetbeveiligingsinitiatieven zoals Secure Sockets Layer hebben afgelegd, is DNSSEC een prioriteit van de ISP geworden, gedreven door interne vereisten zoals risicobeheer en de behoefte van gebruikers aan een veiligere internetervaring.

Door nu van start te gaan, kunt u uw klanten beter beschermen, uw reputatie voor leiderschap op het gebied van beveiliging voor klanten en internet bekrachtigen en uzelf onderscheiden van concurrenten. Als early adopter (vroege instapper) kunt u mogelijk nog invloed uitoefenen op de ontwikkeling van producten en services en andere initiatieven binnen deze branche, die ondersteuning en rendement bieden aan uw bedrijf.

Voordelen voor proactieve internetaanbieders

Wanneer u deze belangrijke laag proactief toevoegt, doet u het volgende:

  • U helpt het risico verkleinen dat uw klanten lopen om slachtoffer worden van cybermisdaad
  • U helpt uw merknaam en reputatie op te bouwen en te beschermen
  • U behoudt het vertrouwen en de loyaliteit van uw klanten.
  • U biedt een veiligere internetervaring aan klanten als deel van uw waardepropositie
  • U trekt klanten aan die geïnteresseerd zijn in beveiliging en behoudt hen.
  • U beschermt uw kernactiviteiten door het vertrouwen in internet te vergroten.
  • U oefent leiderschap en invloed uit om de toekomst van DNSSEC vorm te geven.

Internetaanbieders spelen een uiterst belangrijke rol in het functioneren van het internet en het succes van DNSSEC. De recursieve naamservers (resolvers) die internetaanbieders beheren, helpen internetgebruikers om miljoenen keren per dag snel domeinnamen om te zetten. Recursieve naamservers zijn ook de belangrijkste bedreiging voor cache-poisoning.

Recursieve naamservers met DNSSEC helpen cache-poisoning als volgt te voorkomen: wanneer een recursieve naamserver DNS-gegevens opvraagt bij een gezaghebbende server van een zone, en deze zone is ondertekend, vraagt de recursieve naamserver ook de DNSSEC-sleutel van de zone op, zodat kan worden geverifieerd dat de ontvangen gegevens identiek zijn aan de gegevens op de gezaghebbende server.

Voor verspreiding van DNSSEC in het ecosysteem van het internet moet u DNSSEC activeren op uw recursieve naamservers en zorgen dat uw netwerkinfrastructuur (firewalls, routers, switchers en load balancers) compatibel is met de grotere DNS-reacties die DNSSEC genereert. Mettertijd kunt u DNSSEC in uw ontwikkelings- en testcycli opnemen. Internetaanbieders die DNS-hostingservices bieden, moeten DNSSEC-functionaliteit ook voor deze services activeren.

De meeste commercieel beschikbare recursieve naamservers bieden al ondersteuning voor DNSSEC en vereisen alleen een update of parameterwijziging. U moet verouderde naamservers en bestaande netwerkapparaten mogelijk echter upgraden of vervangen.

Verisign is erop gericht om u te helpen de beste DNSSEC-implementatie voor uw omstandigheden te bepalen.

In de volgende tabel vindt u suggesties voor de aanpak van belangrijke problemen met betrekking tot DNSSEC-implementatie.

PROBLEEM: OUDERE VERSIES VAN NAAMSERVERSOFTWARE BIEDEN GEEN ONDERSTEUNING VOOR DNSSEC.
Uitleg: DNS is een bijzonder flexibel platform geweest. Beheerders hebben de naamserversoftware daarom mogelijk niet geregeld bijgewerkt. Bepaalde naamserversoftware, waaronder verouderde versies van BIND, bieden geen ondersteuning voor DNSSEC. Suggestie: controleer uw naamservers en upgrade naar een versie die ondersteuning biedt voor het DNSSEC-protocol en RSA-SHA256, NSEC en NSEC3.

Overweeg de volgende DNSSEC-compatibele versies: BIND 9.9.0, 9.81-p1, 9.7.4-p1 en Unbound 1.4.16
PROBLEEM: DNSSEC-PAKKETTEN ZIJN GROTER (> 512 BYTES) DAN TRADITIONELE PAKKETTEN.
Uitleg: DNSSEC-pakketten zijn groter dan traditionele pakketten en bevatten andere gegevens. Met DNSSEC-compatibele naamserversoftware kan het bronverbruik van een server hoger worden. Zo worden de capaciteitsvereisten voor de CPU, het servergeheugen en bandbreedte voor ISP-werking verhoogd door grotere pakketten. Suggestie: evalueer de hardware waarop uw naamservers worden uitgevoerd om te zorgen dat de servers zijn voorbereid op een zwaardere belasting.
PROBLEEM: VALIDATIE MOET ZIJN "GEACTIVEERD" VOOR RECURSIEVE NAAMSERVERS.
Uitleg: als u DNSSEC-functionaliteit aan uw klanten wilt bieden, moet u DNSSEC-validatie op recursieve naamservers activeren. Suggestie: evalueer uw situatie en bepaal of u validatie moet "inschakelen". Vervolgens stelt u een recursieve naamserver met geactiveerde DNSSEC-functionaliteit (dnssec-aware) voor validatie in en onderhoudt u deze.
PROBLEEM: DNSSEC VERGROOT DE DNS-BEHEERVERANTWOORDELIJKHEDEN VAN SYSTEEMBEHEERDERS.
Uitleg: systeembeheerders die verantwoordelijk zijn voor DNS-activiteiten, moeten geregeld vertrouwensonderhoud uitvoeren en de openbare sleutel bijwerken (gebruikt voor DNSSEC-verificatie), wanneer operators van hoofdzones nieuwe openbare/privésleutelparen uitgeven voor digitale handtekeningen. Suggestie: zorg dat systeembeheerders die uw DNS-activiteiten beheren, vertrouwd zijn met het concept van DNSSEC en het onderhoud van het vertrouwensanker. Zorg voor technische training en vergroot de ervaring met de tools die beschikbaar zijn.
PROBLEEM: EINDGEBRUIKERS KRIJGEN TE MAKEN MET FOUTEN IN DNSSEC-VALIDATIE.
Uitleg: een belangrijke kwestie voor internetaanbieders en de internetcommunity is de eindgebruikerservaring wanneer frauduleuze DNS-gegevens worden gedetecteerd of als naamomzetting mislukt omdat de digitale handtekeningen die worden gebruikt voor DNS-verificatie zijn verlopen. Suggestie: informeer en train uw klantenondersteuningsteam zodat zij weten hoe ze dergelijke fouten kunnen vaststellen en aan uw gebruikers kunnen uitleggen. Werk samen met Verisign, andere internetaanbieders en deelnemers aan het internetecosysteem om een gestandaardiseerde oplossing voor dit probleem te vinden.

U kunt weloverwogen stappen nemen om een DNSSEC-systeem te verwezenlijken waardoor u het vertrouwen van eindgebruikers behoudt en u profiteert van een concurrentievoordeel. Op basis van de ervaring die we hebben opgedaan door samenwerking met registrars en internetaanbieders en de implementatie van DNSSEC in de hoofdzone, .edu, .net en .com, raden wij de volgende eerste stappen aan.

Verkennen en trainen

  • Zorg dat u een duidelijk beeld hebt van de wijze waarop DNSSEC in uw cyberbeveiligingsstrategie past.
  • Zorg dat u op de hoogte bent van de voordelen en uitdagingen die de implementatie van DNSSEC met zich meebrengt.
  • Zorg dat u op de hoogte bent van de standaarden die gelden voor openbare sleutels, cryptografie en codering en hoe digitale handtekeningen en openbare/persoonlijke sleutels met elkaar werken.
  • Zorg ervoor dat de medewerkers van de IT-afdeling en klantenondersteuning training krijgen over de wijze waarop ze met DNSSEC-gerelateerde problemen om moeten gaan.
  • Maak gebruik van Verisign-bronnen en plan een strategie om klanten over DNSSEC te informeren.

Plannen

  • Stel een tijdlijn op voor de implementatie van DNSSEC.
  • Beslis hoe u DNSSEC wilt integreren in uw bestaande DNS-architectuur.
  • Stel beleidsregels en processen op om updates van openbare sleutels van registrars of andere vertrouwensankers systematisch te integreren.

Evalueren en bijwerken

  • Maak een inventaris van uw infrastructuur en beoordeel deze. Ga bijvoorbeeld na welke versie van BIND- of Unbound DNS-software u gebruikt en controleer of naamservers NSEC3 en SHA-256 ondersteunen.
  • Bepaal de eventuele impact van DNSSEC op netwerkbandbreedte (grotere DNSSEC-pakketten verhogen het netwerkverkeer).
  • Overweeg welke invloed DNSSEC zal hebben op het beheer van recursieve naamservers.
  • Vraag hardwareleveranciers waar DNSSEC in hun schema past en of er upgrades beschikbaar zijn voor uw bestaande netwerkapparaten.
  • Evalueer de producten en services die uw implementatie ondersteunen.
  • Werk DNS-hardware en naamserversoftware waar nodig bij, zodat deze compatibel is met DNSSEC.

Deelnemen

  • Werk samen met industrieconsortia, organen voor standaarden en software- en hardwareleveranciers om oplossingen en procedures te ontwikkelen die aansluiten op de behoeften van uw organisatie.
  • Werk samen en bepaal een strategie voor de eindgebruikerservaring wanneer DNSSEC "slechte" gegevens aantreft.

meer lezenminder lezen

WILT U MEER INFORMATIE?

Juridische kennisgevingen// Privacy// Database// Contact opnemen// Siteoverzicht


© 2011-2013 VeriSign, Inc. Alle rechten voorbehouden.
VERISIGN, het VERISIGN-logo en andere handelsmerken, servicemerken en designs zijn gedeponeerde of niet-gedeponeerde handelsmerken van VeriSign, Inc. en zijn dochterondernemingen in de Verenigde Staten en andere landen. Alle andere handelsmerken zijn het eigendom van hun respectieve eigenaars.