DNSSEC OVERVIEW
DNSSEC (DOMAIN NAME SYSTEM SECURITY EXTENSION/DOMEINNAAMSYSTEEM BEVEILIGINGSUITBREIDING) BIEDT EXTRA BEVEILIGING VOOR DNS. DNSSEC is ontworpen om MITM-aanvallen en cache-poisoning aan te pakken door de authenticiteit van DNS-gegevens na te gaan en de integriteit van de gegevens tijdens de overdracht via het internet te verifiëren.
DNS (Domeinnaamsysteem) is het adresseringssysteem van het internet en vormt het belangrijkste onderdeel van de infrastructuur van het internet. Zonder DNS kan het internet niet functioneren. DNS is echter niet ontworpen met beveiliging als prioriteit. Als gevolg hiervan is het kwetsbaar voor man-in-the-middle (MITM)-aanvallen en cache poisoning. Deze bedreigingen gebruiken valse gegevens om internetverkeer om te leiden naar frauduleuze sites en ongewenste adressen. Meer informatie over DNS
Wanneer een nietsvermoedende gebruiker of het apparaat de frauduleuze site bereikt, kunnen cybercriminelen creditcardgegevens extraheren, wachtwoorden van gebruikers stelen, VoIP-communicatie (Voice-over IP) afluisteren, kwaadaardige software installeren of afbeeldingen en tekst weergeven die het legitieme merk belasteren of misleidende informatie verstrekken. Aangezien één DNS-naamserver als het naam-naar-adres-omzettingspunt voor duizenden gebruikers kan fungeren, kan een MITM-aanval of cache-poisoning verreikende gevolgen hebben.
VOORDELEN VAN DNSSEC VOOR EINDGEBRUIKERS
DNSSEC biedt mogelijkheden aan alle leden van het internetecosysteem. De impact van DNSSEC is vooral merkbaar voor eindgebruikers.
- Vertrouwde activiteiten: DNSSEC verhoogt de beveiliging van DNS en daarmee het vertrouwen van een groot aantal internetactiviteiten, zoals e-commerce, onlinebankieren, e-mail, VoIP en onlinedistributie van software.
- Bescherming voor uw klanten en uw merk—DNSSEC beperkt het risico dat klanten nietsvermoedende slachtoffers van cybermisdaad worden wanneer zij toegang tot een bron proberen te krijgen.
- Nieuwe types beveiligde transacties—DNSSEC biedt nieuwe mogelijkheden om het DNS-systeem te gebruiken voor nieuwe soorten beveiligde gegevenstransacties.
De IETF (Internet Engineering Task Force) werkt al ruim 15 jaar aan de ontwikkeling van een praktische standaard voor DNSSEC (Domeinnaamsysteem beveiligingsuitbreidingen). DNSSEC beschermt de internetcommunity tegen vervalste DNS-gegevens door middel van openbare-sleutelcryptografie om gegevens van gezaghebbende zones digitaal te ondertekenen wanneer ze het systeem binnenkomen en vervolgens op de bestemming te valideren. Meer informatie over openbare-sleutelcryptografie
Digitale handtekeningen verzekeren gebruikers dat de gegevens afkomstig zijn van de opgegeven bron en bij de overdracht niet zijn gewijzigd. DNSSEC kan ook vaststellen dat een domeinnaam niet bestaat. Deze mogelijkheden zijn essentieel voor behoud van vertrouwen in het internet.
Bij DNSSEC heeft elke zone een openbaar en persoonlijk sleutelpaar. De openbare sleutel van de zone wordt gepubliceerd met DNS, terwijl de persoonlijke sleutel op een veilige plaats en liefst offline wordt bewaard. Individuele DNS-gegevens in een zone worden ondertekend door de persoonlijke sleutel van deze zone. Hiermee worden digitale handtekeningen gemaakt die ook met een DNS worden gepubliceerd.
DNSSEC maakt gebruik van een strikt vertrouwensmodel en deze vertrouwensketen strekt zich uit van de bovenliggende zone naar de onderliggende zone. Hogerliggende (bovenliggende) zones ondertekenen (of staan in voor) de openbare sleutels van lagere (onderliggende) zones. De gezaghebbende naamservers voor deze zones kunnen worden beheerd door registrars, internetaanbieders, bedrijven voor webhosting of websiteoperators (inschrijvers).
Wanneer een eindgebruiker naar een website wil gaan, vraagt een stub-conflictoplosser op het besturingssysteem van de gebruiker het IP-adres van de website op bij een recursieve naamserver. Nadat de server deze record heeft aangevraagd, wordt ook de DNSSEC-sleutel aangevraagd die aan de zone gekoppeld is. Met behulp van deze sleutel kan de server verifiëren of de ontvangen IP-adresrecord identiek is aan de record op de gezaghebbende naamserver.
Als met de recursieve naamserver wordt bepaald dat de adresrecord door de gezaghebbende naamserver is verzonden en tijdens de overdracht niet is gewijzigd, wordt de domeinnaam hersteld en krijgt de gebruiker toegang tot de site. Dit proces wordt validatie genoemd. Als de adresrecord is gewijzigd of niet van de vermelde bron afkomstig is, verleent de recursieve naamserver de gebruiker geen toegang tot het frauduleuze adres. DNSSEC kan ook bewijzen dat een domeinnaam niet bestaat. Daarom zijn DNS-query's en -reacties beschermd tegen MITM-aanvallen (man-in-the-middle) en het soort vervalsingen waardoor internetgebruikers mogelijk worden omgeleid naar phishing- en pharming-sites.
Om het algemene succes van DNSSEC te verzekeren, raadt Verisign een proactieve maar behoedzame aanpak aan die is gebaseerd op drie kernprincipes:
- DNSSEC is een gedegen oplossing voor een specifieke internetkwetsbaarheid, maar moet worden aangevuld met extra beveiligingslagen.
- Een beheerde, methodische implementatie van DNSSEC is het veiligst.
- Het internetecosysteem is in zijn geheel verantwoordelijk voor DNSSEC.
EEN GEDEGEN OPLOSSING VOOR EEN SPECIFIEKE KWETSBAARHEID
DNSSEC breidt de beveiliging van DNS uit, maar vormt slechts één onderdeel van een gelaagde aanpak van de beveiliging van de internetinfrastructuur. DNSSEC beschermt naamservers niet tegen gedistribueerde DDoS-aanvallen (Distributed Denial of Service), biedt geen garantie van vertrouwelijkheid bij gegevensuitwisseling, geen codering van websitegegevens en kan spoofing en phishing van IP-adressen niet voorkomen. Andere beveiligingslagen, zoals DDos-risicobeperking,beveiligingsinformatie, SSL-codering (Secure Sockets Layer), sitevalidatie en verificatie op basis van twee factoren, zijn cruciaal bij het veiliger maken van het internet.hoe Deze mechanismen moeten in combinatie met DNSSEC worden gebruikt.
WELOVERWOGEN, BEHEERDE IMPLEMENTATIE
De algemene implementatie van DNSSEC leidt tot een aantal complexe wijzigingen die van invloed zijn op het gehele internetecosysteem en uitgebreide resources, documentatie, tests en samenwerking door de industrie vereisen. Een implementatie van DNSSEC moet in fasen worden uitgevoerd, met name voor de betrouwbare werking van algemeen essentiële TLD's (topleveldomeinen) zoals .com en .net. Strategie, planning en samenwerking op lange termijn, niet alleen binnen en tussen organisaties en industrieën maar ook internationaal, vormen een duurzame basis voor een geslaagde implementatie.
GEDEELDE VERANTWOORDELIJKHEID
Aangezien cache-poisoning op elk punt in het internet kan voorkomen, is DNSSEC vooral effectief bij een grootschalige implementatie, vanaf de hoofdzone en TLD's (topleveldomeinen) omlaag tot aan de afzonderlijke domeinnamen. Registers, registrars, inschrijvers, bedrijven voor webhosting, softwareontwikkelaars, hardwareleveranciers, de overheid, bedrijven en instanties met een positie op het internet, evenals internettechnologen en -coalities hebben allemaal een verantwoordelijkheid om dit enorme project te laten slagen.
De implementatie van DNSSEC wint aan terrein, aangezien overheden, financiële instellingen, internetaanbieders, bedrijven en andere organisatie zich steeds meer bewust worden van DNS-gerelateerde bedreigingen.
De hoofdzone van het internet, TLD's (topleveldomeinen) zoals .net, .com, .gov, .org, .museum en .edu, en een aantal landcode-TLD's (ccTLD's) hebben de implementatie van DNSSEC geheel voltooid. Deze TLD's accepteren sinds kort domeinnamen op het tweede niveau die met DNSSEC zijn ondertekend. Sommige internetaanbieders hebben aangekondigd validatie op de recursieve naamservers die gebruikersquery's beantwoorden, te activeren en enkele registrars hebben DNSSEC-implementatie in hun planning opgenomen. Bovendien accepteert ICANN inschrijvingen voor nieuwe TLD's en moeten nieuwe TLD-inschrijvers waarschijnlijk plannen hebben voor implementatie van DNSSEC.
DNSSEC TIMELINE
| 1990 | Ernstige zwakke plek in DNS ontdekt. Overleg over beveiliging DNS begint. |
| 1995 | DNSSEC wordt officieel onderwerp binnen de IETF. |
| 1999 | DNSSEC-protocol (RFC2535) wordt voltooid en BIND9 wordt ontwikkeld als eerste DNSSEC-compatibele implementatie. |
| 2001 | Sleutelverwerking veroorzaakt operationele problemen waardoor DNSSEC-implementatie onmogelijk wordt voor grote netwerken. De IETF besluit het protocol te herschrijven. |
| 2005 | DNSSEC-standaarden worden herschreven in verschillende RFC's 4033, 4034, 4035. In oktober schakelt Zweden (.se) DNSSEC in hun zone in. |
| 2007 | In juli schakelt ccTLD.pr (Puerto Rico) DNSSEC in, gevolgd door .br (Brazilië) in september en .bg (Bulgarije) in oktober. |
| 2008 | De NSEC3-standaard (RFC 5155) wordt gepubliceerd. In september schakelt ccTLD .cz (Tsjechische Republiek) DNSSEC in. |
| 2009 | Verisign en EDUCAUSE organiseren een DNSSEC-testplatform voor selecte .edu-inschrijvers. Hoofdzone ondertekend voor intern gebruik door Verisign en ICANN. ICANN en Verisign testen het ondertekenen van de ZSK met de KSK. |
| 2010 | De eerste rootserver begint te werken met de ondertekende root, met gebruik van de DURZ-methodologie (deliberately unvalidatable root zone/opzettelijk niet-verifieerbare hoofdzone). Alle rootservers werken met de ondertekende root, met gebruik van de DURZ-methodologie. ICANN houdt het eerste KSK-ceremonie-evenement in Culpeper, VA, in de Verenigde Staten. ICANN publiceert het vertrouwensanker van de rootzone en root operators beginnen te werken met de ondertekende rootzone met echte sleutels - de ondertekende rootzone is beschikbaar. Verisign en EUDCAUSE activeren DNSSEC voor het .edu-domein. Verisign activeert DNSSEC voor het .net-domein. |
| 2011 | In februari is DNSSEC-.gov-register overgegaan op Verisign. In maart is .com ondertekend en Verisign Managed DNS-service verbeterd met volledige ondersteuning voor DNSSE-naleving. 59 TLD's zijn ondertekend met vertrouwensankers in de rootzone. |
| 2012 | In januari heeft Comcast aangekondigd dat zijn klanten DNSSEC-validatieresolvers gebruiken. In maart steeg het aantal ondertekende TLD's tot 90. |
DE ROL VAN VERISIGN
Verisign is sinds 2000 betrokken bij de ontwikkeling van DNSSEC en onze ingenieurs hebben een toonaangevende rol gespeeld bij de ontwikkeling van het NSEC3-protocol. We zetten onze samenwerking met de technische community van internet voort terwijl DNSSEC wordt getest, geïmplementeerd en in gebruik wordt genomen. We hebben bijvoorbeeld actief deelgenomen aan de DNSSEC Coalition, een industrieorganisatie die de implementatie van DNSSEC wil vereenvoudigen. Om ervoor te zorgen dat we de beste werkmethodes gebruiken, delen we ook de kennis die we hebben opgedaan bij onze DNSSEC-implementaties en ondersteunen we een consistente DNSSEC-aanpak tussen registers.
In juli 2010 heeft Verisign in samenwerking met IANA (Internet Assigned Numbers Authority) en het Amerikaanse ministerie van Economische Zaken de implementatie van DNSSEC voltooid in de hoofdzone (het beginpunt van de DNS-hiërarchie). In juli heeft Verisign in samenwerking met EDUCAUSE en het Amerikaanse ministerie van Economische Zaken ook de implementatie in .edu bewerkstelligd, in december 2010 in .net en in .com in maart 2011. Bovendien is een aantal TLD's (topleveldomeinen) ondertekend door andere registers, waaronder .gov, .org en landcode-TLD-namen voor Brazilië, Bulgarije, Tsjechië, Puerto Rico en Zweden.
We hebben ook een aantal stappen ondernomen om ervoor te zorgen dat leden van het internetecosysteem hun voordeel kunnen doen met DNSSEC. Deze stappen omvatten het publiceren van technische hulpbronnen, het aanbieden van een Operationele testomgeving, het geven van trainingssessies, het deelnemen aan industrieforums, het ontwikkelen van tools om DNSSEC-beheer te vereenvoudigen en het begeleiden van de community met een interoperability lab.
WILT U MEER INFORMATIE?
- +1-703-925-6999
- Stuur een e-mail naar een expert
- Chat met ondersteuning