Kan DNSSEC de recente aanvallen op het DNS tegengaan?

Onlangskwam naar buiten dat cybercriminelen met aanvallen op het Domain Name System (DNS) probeerden internetverkeer van overheden en bedrijven te onderscheppen. ICANN riep in reactie op deze aanvallen op tot implementatie van DNSSEC, omdat dit vergelijkbare aanvallen effectief zou belemmeren. Een oproep die tot verschillende reacties leidde, want in hoeverre kan DNSSEC dit soort aanvallen tegengaan als de aanvaller – zoals in de beschreven cases – over inloggegevens van de DNS-provider beschikt? 

DNSSEC valideert de nameserver die antwoordt 

DNSSEC is een protocol dat met asymmetrische cryptografie valideert dat de gegevens die een DNS-server verstrekt kloppen. Het internet is traditioneel namelijk zo opgezet dat computers het eerste antwoord dat zij ontvangen als het juiste beschouwen en niet verifiëren of de afzender betrouwbaar is. DNSSEC verhelpt dit veiligheidsprobleem. 

DNSSEC identificeert niet

DNSSEC identificeert de server niet, zoals een EV TLS-certificaat dat wel doet. Een kwaadwillende kan de meerwaarde van DNSSEC op een gehackte DNS-server uiteindelijkteniet doen door de DNSSEC-instellingen te vervangen door gegevens die wel kloppen, maar niet bij hetzelfde DNS-record horen. In zo’n geval werkt DNSSEC alleen brandvertragend: de aanvaller moet veel meer gegevens wijzigen om verkeer om te kunnen leiden. Een dergelijke wijziging zou overigens wel snel opvallen;de gegevens van de gehackte DNS-servers wijken dan immers af van die in de zonefile (zoals die van .nl bij SIDN). 

Valideren is nodig 

DNSSEC heeft alleen effect als gebruikers die de DNS-query uitvoeren de DNSSEC-gegevens überhaupt valideren. Dit gebeurt bijvoorbeeld bij Google Public DNS, CloudFlare DNS of Quad9. Veel internet service providers doen dit nogniet, deels uit onbekendheid met de standaard, deels omdat het nog onvoldoende hoog op hun prioriteitenlijst staat. 

DNSSEC is niet het hele plaatje 

Conclusie: DNSSEC kan zeker een rol spelen om aanvallen als deze lastiger te maken. Het is onderdeel van een groter geheel aan maatregelen waar bijvoorbeeld ook TLS bij hoort. ICANN zelf onderkent dat ook en geeft aan dat DNSSEC deel is van een groter pakket aan maatregelen. 

 

Reacties

  • woensdag 18 april 2018

    Weblog

    Veel domeinnamen in portefeuille? Bewaar het overzicht

    Thumb-chaos

    Meer inzicht in je registraties

    Lees meer
  • dinsdag 27 maart 2018

    Weblog

    Wat is het geheim van een echte topwebsite?

    iStock-624124442-man-blij-achter-laptop-thumbnail

    Check de 5 belangrijkste tips

    Lees meer
  • woensdag 21 november 2018

    Nieuws

    ‘Angst om e-mailstandaarden te implementeren is onterecht’

    Thumb-Dave-Fredriksz

    Groei e-mailstandaarden binnen .nl

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.