Nieuws

DNSSEC: beveiliging voor DNS

Gepubliceerd op vrijdag, 14 augustus 2015 door Tom Wijnroks

In de afgelopen weken hebben we DNSSEC uitgerold voor alle domeinnamen van onze klanten. DNSSEC is een cryptografische beveiliging voor het bestaande DNS-protocol, waarmee de echtheid van DNS-records kan worden aangetoond. Door het gebruik van DNSSEC kan worden vastgesteld of een antwoord inderdaad afkomstig is van de opgevraagde domeinnaam. Bezoekers zijn met DNSSEC beschermd tegen manipulatie van de DNS antwoorden door kwaadwillenden.

DNS

DNS staat voor Domain Name System, één van de belangrijkste protocollen van het internet. DNS zorgt voor de vertaling van een domeinnaam naar een IP-adres. Een domeinnaam is in feite een DNS-zone welke alle DNS-records bevat. Als een bezoeker www.exonet.nl opvraagt, zorgt DNS ervoor dat de bezoeker via het DNS-record op het juiste IP-adres uitkomt. DNS bestaat al sinds de jaren 80, toen het internet nog niet zo omvangrijk was als tegenwoordig en beveiliging van DNS nog geen noodzaak was. Afgelopen decennia zijn er diverse kwetsbaarheden aangetoond in het DNS protocol. Om deze kwetsbaarheden te verhelpen is het DNSSEC-protocol ontwikkeld.

Waarom noodzakelijk?

Het DNS protocol is kwetsbaar voor onder andere DNS-Spoofing en Man-in-the-Middle aanvallen. Kwaadwillenden kunnen met deze aanvallen DNS antwoorden manipuleren om bezoekers om te leiden naar een ander IP-adres. Zodra de bezoekers op een ander IP-adres zijn uitgekomen, kunnen wachtwoorden of andere gevoelige informatie worden onderschept. Door het gebruik van DNSSEC zijn de antwoorden van DNS naar de bezoeker beschermt tegen deze aanvallen.

DNSSEC

DNSSEC staat voor Domain Name System Security Extensions, een uitbreiding op het bestaande DNS-protocol. Het verschil tussen DNS en DNSSEC is dat DNS-records worden voorzien van een digitale handtekening waarmee de echtheid kan worden vastgesteld. De beveiliging werkt met cryptografische sleutels, bestaande uit een geheime privé sleutel en een publieke sleutel. De privé sleutel wordt gebruikt om DNS-records te voorzien van een digitale handtekening. De publieke sleutel wordt openbaar gemaakt in de DNS-zone. Een digitale handtekening is alleen geldig als deze met de privé sleutel is ondertekend. Een bezoeker kan de handtekening op echtheid controleren met de publieke sleutel uit de DNS-zone.

Klantenportal

De publieke sleutel die bij de DNS-zone hoort is zichtbaar in ons klantenportal. Klanten die DNS gebruiken bij Exonet maar hun domeinnamen bij een andere partij hebben ondergebracht, kunnen ook gebruik maken van DNSSEC. Om DNSSEC volledig te activeren moet deze publieke sleutel bekend gemaakt worden bij de partij (registrar of registry) waar de domeinnaam is ondergebracht. DNSSEC is al automatisch geactiveerd bij alle domeinnamen die direct bij ons in beheer zijn.

Voor vragen of meer (technische) informatie over de werking van DNSSEC, kunnen klanten vanzelfsprekend contact opnemen met onze support afdeling.