Support

Wij helpen je verder!

Heb je problemen met het instellen van je mail client? Wil je weten hoe je een virtuele server herstart? Vraag je je af wat de beste kwaliteit is om te streamen? Grote kans dat deze vraag al eens voorbij is gekomen. Op deze pagina behandelen we de meestvoorkomende vragen en problemen. Kom je er alsnog niet uit? Neem dan gewoon contact op met onze servicedesk.

DNSSEC

Er is inmiddels een flinke hype gaande over het gebruik van DNSSEC, vooral in Nederland lopen we voorop met de implementatie hiervan. Voor technici is dit een leuk onderwerp waar een hoop ingewikkelde aspecten bij komen kijken, maar wij merken dat het nog niet erg speelt bij eigenaren van een domeinnaam. In deze blogpost willen we graag een kort overzicht geven van wat DNSSEC precies inhoudt en welke problemen het op gaat lossen.

DNS in de basis

Om te beginnen is het belangrijk om te weten wat DNS zelf is, en daar kunnen we redelijk kort over zijn: DNS is het digitale telefoonboek dat ervoor zorgt dat een domeinnaam kan worden vertaald naar een IP adres. Om ietsje technischer te worden is het eigenlijk een collectie van telefoonboeken die verwijzingen naar elkaar bevatten om de juiste informatie te vinden. Laten we dat eens concreet maken door de stappen te doorlopen om het IP adres van 'www.netground.nl' te achterhalen:

Voor het hele internet zijn er zogenoemde root-servers gedefinieerd, dit is de basis waar alles begint. De root nameservers bevatten alleen de informatie met verwijzingen voor de zogenoemde Top-Level Domains (TLDs), in dit geval zijn we op zoek naar '.nl' - en de root nameservers zullen ons dan ook vertellen dat '.nl' wordt beheerd door de Stichting Internet Domein Namen (SIDN). Vervolgens gaan we op zoek naar het volgende stukje van de puzzel, en vragen we aan de SIDN wie het beheer heeft over 'netground.nl' - waarop de SIDN zal aangeven dat 'netground.nl' in beheer is door Net Ground B.V. en daarbij ook zal verwijzen naar ons digitale telefoonboek. Uiteindelijk kan dan in ons digitale telefoonboek worden opgezocht aan welk IP adres 'www.netground.nl' is gekoppeld en zal er een antwoord komen op de originele vraag.

Dat zijn best een flink aantal stappen, maar het zorgt wel voor de flexibiliteit die we gewend zijn van het internet. Oorspronkelijk is dit systeem bedacht in 1983 - toen het internet nog echt in de babyschoenen stond, en in die tijd was er nog geen oog voor de problemen die we 30 jaar later zouden krijgen met deze opzet. Vandaar dat DNS Security Extentions (DNSSEC) is bedacht als toevoeging op het verouderde DNS om met name op het gebied van beveiliging verbeteringen aan te brengen.

Het probleem

Om onze originele vraag te beantwoorden moeten we bij een aantal partijen informatie opvragen, respectievelijk bij de root-servers, de SIDN en vervolgens bij Net Ground B.V. Elke stap in dit proces moet goed gaan, en er zouden grote problemen kunnen ontstaan wanneer ook maar een van de schakels in deze ketting niet correct gebeurd. Dit is iets waar mensen met kwade bedoelingen maar al te graag gebruik van maken - bijvoorbeeld met het doel om de bezoekers van een website om de tuin te leiden. U kunt zich vast al voorstellen wat er gaat gebeuren op het moment dan de website van uw bank niet netjes op de juiste plek aankomt, maar in werkelijkheid wordt doorgestuurd naar een andere website die tot doel heeft om u geld afhandig te maken.

Het oorspronkelijke DNS gaat ervan uit dat simpelweg niet gebeurt, en dat iedereen zich netjes gedraagt op het internet - inmiddels weten we wel beter! Vandaar dat uit vele hoeken de wens klonk om dit te beveiligen en de kwaadwillenden buiten spel te zetten. De oplossing werd gevonden in vorm van cryptografie, en na vele jaren ontwikkelen werd in 2005 de standaard vastgelegd.

De oplossing

Het oude model van DNS moest behouden blijven, echter was er de noodzaak om te controleren dat in elk stapje we de juiste gegevens terugkregen van de juiste instantie. Dit werd gedaan door aan elk antwoord van een zoek opdracht binnen de DNS een handtekening toe te voegen van de betreffende server. Hiermee kan degene die dit op heeft gevraagd controleren dat het antwoord dat ontvangen wordt is verzonden door de juiste instantie en niet is gewijzigd voordat het werd ontvangen. Ook dit begint bij de root-servers, hiervan kan iedereen controleren dat die de juiste data teruggeven omdat de sleutels die hiervoor nodig zijn eigenlijk altijd meegeleverd worden met de software die u gebruikt. Vervolgens geven de root-servers ook aan de ontvanger door wat de sleutels zijn van de SIDN, en aan de hand van deze sleutels kunnen we dan ook controleren dat de SIDN de juiste data aan ons presenteerd. Ditzelfde principe geldt ook weer bij de verwijzing die de SIDN doet naar Net Ground B.V. zodat wij u veilig het antwoord kunnen geven.

Door deze "waterval" opzet is het mogelijk om altijd te controleren of u de juiste antwoorden krijgt, en weet de vrager met zeer grote zekerheid dat het antwoord dat wordt ontvangen ook correct is. Dit zijn allemaal zaken die in de achtergrond plaatsvinden en waar u verder niets van merkt. Het is zelfs al goed mogelijk dat uw computer of internet provider voor u controleert dat de handtekeningen van DNSSEC correct zijn!

De overgang

Langzaam aan begint het balletje te rollen, in 2010 werden de root-servers voorzien van DNSSEC en halverwege 2011 werd het '.com' TLD ook klaargestoomt voor DNSSEC. In 2012 heeft de SIDN ook de DNSSEC implementatie voor het '.nl' TLD voltooid, en nu is het de beurt aan de registrars om hun systemen allemaal klaar te maken. In Nederland wordt er hard achteraan gezeten dat registrars dat ook doen, en mede hierdoor zijn we in de wereld nu ook koploper in het aantal en percentage van beveiligde '.nl' domeinnamen!

Hiermee spelen we een unieke rol als voorloper met extra beveiliging, wat zowel kansen als problemen op kan leveren. Zo komen er nog af en toe kleine kinderziektes voor en zijn nog niet alle procedures optimaal bijvoorbeeld voor het verhuizen van domeinnamen. Gelukkig wordt hier hard aan gewerkt door de verschillende partijen en levert dat vaak snelle en goeie resultaten op.

Het resultaat

Wanneer DNSSEC overal wordt uitgerold zal dit een flinke verbetering opleveren voor de veiligheid. Ook zal het op termijn nieuwe mogelijkheden gaan bieden doordat er op een veilige manier informatie kan worden gecommuniceerd - er worden bijvoorbeeld al experimenten uitgevoerd met uitbreidingen voor SSL.

U zult verder als het goed is niet veel merken van de overgang op DNSSEC. Dit is iets dat wij volledig achter de schermen kunnen implementeren, en waarbij van uw kant geen actie nodig is. Het is wel belangrijk dat uw DNS provider ook de DNSSEC validatie uitvoerd, de SIDN heeft hiervoor een test pagina in het leven geroepen die te vinden is op http://dnssectest.sidn.nl/ - als dit geen positief resultaat geeft kunt u hierop uw internet provider aanspreken en verzoeken of zij dit willen activeren.


Deel dit item: