Woordenlijst - DNSSEC

Wat is DNSSEC?

DNSSEC zorgt voor een extra beveiliging bij domeinnamen van DNS door middel van een digitale handtekening.

DNSSEC is de veiliger opvolger van het Domain Name System (DNS).

Het internet is een verzameling van computers. Die computers kunnen onderling communiceren omdat ze elk een uniek adres hebben gekregen. Dat adres is een IP-adres, een numeriek adres. Dat adres is makkelijk te onthouden voor computers, maar voor mensen is het bijzonder onhandig. Daarom bestaan er domeinnamen. In het DNS-systeem worden domeinnamen achter de schermen omgezet in de IP-adressen van de computers waar de informatie opgehaald kan worden.

Telefoonboek

Dit is te vergelijken met een telefoonboek. Op basis van een naam van een persoon zoek je in een telefoonboek zijn telefoonnummer op. Daarmee kan je dan een gesprek opzetten met je correspondent. De rol van het telefoonboek is een nameserver.

Phishing

Belangrijkste probleem bij het DNS-systeem is dat informatie in de nameserver kan worden vervalst, zowel in de nameservers als bij het opvragen. Het gevaarlijkste is dat gebruikers niet merken wat er gebeurd, zelfs al zijn ze op hun hoede. Hackers gebruiken het vervalsen van nameserver informatie om een aantal redenen:

• Voor phishing: Je wordt via een correcte domeinnaam toch naar een valse internetbanking site geleid waar je wachtwoorden worden ontfutseld.

• Voor kapen van internettrafiek: Trafiek van bekende websites wordt afgeleid naar sites met advertenties. De inkomsten uit deze advertenties komen bij de hackers terecht.

• Voor spionage: E-mails worden gereroute om afgeluisterd en ev. een vals antwoord terug te sturen.

Cache-poisoning

Een relatief eenvoudig techniek om dit te bekomen is cache-poisoning. Hierbij worden de cache nameservers van ISP's voorzien van valse nameserver records. Dit kan door aanvragen van de cache nameservers op te vangen en een vals antwoord te verstrekken. Die valse antwoorden komen in de nameservers van ISP's die de resultaten een duizenden tot miljoenen nietsvermoedende gebruikers verspreiden.

DNSSEC

Om die problemen aan te pakken is vanaf 1997 al gestart met de ontwikkeling van het DNSSEC protocol. DNSSEC staat voor Domain Name System Security Extensions. De belangrijkste doelstelling van DNSSEC is dat de informatie in nameservers als echt - authentiek - kan worden beschouwd.

Encryptie

Bij DNSSEC wordt de authenticiteit van de informatie in de nameservers gecontroleerd door middel van encryptie-technologie op basis van een publieke en private key. De private key wordt gebruikt om de informatie te versleutelen met een digitale handtekening. Met de publieke key kan gecontroleerd worden of de digitale handtekening correct is. De technieken voor de versleuteling is RSA.

Bijhouden van publieke keys

De publieke keys worden opgeslagen in de zonefiles van de nameservers. Vervolgens moet via publieke key infrastructuur gecontroleerd worden dat de publieke key van een domeinnaam vertrouwd is. Dit gebeurd in een hiërarchie, net zoals dat voor SSL-certificaten gebeurd. Die ketting mag niet onderbroken worden.

Houdbaarheid

De sleutels in DNSSEC hebben echter een houdbaarheid om veiligheidsredenen. Hierdoor is er een actief sleutelbeheer nodig. Dit is een complexe aangelegenheid die secuur moet gebeuren. Een andere nadeel van DNSSEC is dat nog niet alle schakels in het systeem, zoals operatingsystemen voor de desktop, geschikt zijn voor DNSSEC.

DNSSEC

Sinds 2010 zijn de root zones ondertekend en kan DNSSEC praktisch gebruikt worden. Ook DNS Belgium heeft zijn zones ondertekend, zodat sinds 30 september 2010 het ook mogelijk voor .be-domeinnamen om DNSSEC te gaan gebruiken. Ondanks de nadelen wordt DNSSEC in heel wat landen op steeds grotere schaal uitgerold.