Kan DNSSEC de recente aanvallen op het DNS tegengaan?

ICANN riep in reactie op deze aanvallen op tot implementatie van DNSSEC

Onlangskwam naar buiten dat cybercriminelen met aanvallen op het Domain Name System (DNS) probeerden internetverkeer van overheden en bedrijven te onderscheppen. ICANN riep in reactie op deze aanvallen op tot implementatie van DNSSEC, omdat dit vergelijkbare aanvallen effectief zou belemmeren. Een oproep die tot verschillende reacties leidde, want in hoeverre kan DNSSEC dit soort aanvallen tegengaan als de aanvaller – zoals in de beschreven cases – over inloggegevens van de DNS-provider beschikt? 

DNSSEC valideert de nameserver die antwoordt 

DNSSEC is een protocol dat met asymmetrische cryptografie valideert dat de gegevens die een DNS-server verstrekt kloppen. Het internet is traditioneel namelijk zo opgezet dat computers het eerste antwoord dat zij ontvangen als het juiste beschouwen en niet verifiëren of de afzender betrouwbaar is. DNSSEC verhelpt dit veiligheidsprobleem. 

DNSSEC identificeert niet

DNSSEC identificeert de server niet, zoals een EV TLS-certificaat dat wel doet. Een kwaadwillende kan de meerwaarde van DNSSEC op een gehackte DNS-server uiteindelijkteniet doen door de DNSSEC-instellingen te vervangen door gegevens die wel kloppen, maar niet bij hetzelfde DNS-record horen. In zo’n geval werkt DNSSEC alleen brandvertragend: de aanvaller moet veel meer gegevens wijzigen om verkeer om te kunnen leiden. Een dergelijke wijziging zou overigens wel snel opvallen;de gegevens van de gehackte DNS-servers wijken dan immers af van die in de zonefile (zoals die van .nl bij SIDN). 

Valideren is nodig 

DNSSEC heeft alleen effect als gebruikers die de DNS-query uitvoeren de DNSSEC-gegevens überhaupt valideren. Dit gebeurt bijvoorbeeld bij Google Public DNS, CloudFlare DNS of Quad9. Veel internet service providers doen dit nogniet, deels uit onbekendheid met de standaard, deels omdat het nog onvoldoende hoog op hun prioriteitenlijst staat. 

DNSSEC is niet het hele plaatje 

Conclusie: DNSSEC kan zeker een rol spelen om aanvallen als deze lastiger te maken. Het is onderdeel van een groter geheel aan maatregelen waar bijvoorbeeld ook TLS bij hoort. ICANN zelf onderkent dat ook en geeft aan dat DNSSEC deel is van een groter pakket aan maatregelen. 

 

Reacties

  • woensdag 17 april 2019

    Nieuws

    Eerste SIDN TechTalk op 22 mei

    SIDN-pand-avond1+-thumb

    Meld je aan voor deze kennissessie

    Lees meer
  • vrijdag 8 november 2019

    Nieuws

    Registry locks: veel potentieel, maar nog weinig vraag

    Thumb-locked-gate

    Onder .nl zijn nu zo’n 150 domeinnamen beveiligd met .nl Control

    Lees meer
  • woensdag 25 juli 2018

    Weblog

    Studenten positief over onze collegereeks Security Services for the IoT

    Thumb-employee-computer

    De collegereeks krijgt een vervolg

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.