| Download whitepapers, case studies en onderzoeken over ICT-onderwerpen Computable IT Knowledge Base  |
Dagelijks het laatste ICT-nieuws in je inbox? Computable e-mail nieuwsbrief |
Internet / Nieuws
Windows 7 biedt betere DNS-beveiliging
De DNS-server die onderdeel uitmaakt van Windows 7 en Windows Server 2008 R2 biedt extra mogelijkheden om het Domain Name System (DNS) te beveiligen. De nieuwe versie van de Microsoft DNS-server ondersteunt namelijk DNSsec.
"De DNS-server in Windows Server 2008 R2 (Release 2) zal ondersteuning bieden voor DNSsec. Die DNS-server is in staat om sleutels te generereren en DNS-zones te beveiligen met digitale handtekeningen. Het gebruikt daarvoor een ondertekeningstool die we leveren met het product." Dat schrijft Shyam Seshadri , programma manager voor Windows DNS bij Microsoft, in een weblog op Microsofts ontwikkelaarssite TechNet.
Domain Name System-servers (DNS) vertalen domeinnamen naar ip-adressen. DNSsec is een uitbreiding op het DNS-protocol, waarmee DNS-zones cryptografisch ondertekend kunnen worden. DNSsec is te vergelijken met een lakzegel. Via dat lakzegel kun je de afzender authenticeren en kun je garanderen dat de inhoud van het informatiepakket onderweg niet gewijzigd is.
Laagdrempeliger
Olaf Kolkman, directeur NLnet Labs en pleitbezorger van DNSsec: "Als een van de grootste commerciele leveranciers van besturingssystemen DNSsec in zijn producten stopt, betekent dat dat DNSsec door die leverancier serieus wordt genomen. Bovendien wordt het gebruik van DNSsec in Microsoft-omgevingen daardoor laagdrempeliger en dat kan mensen over de streep trekken."
Het superbeveiligde DNSsec-protocol kan voorkomen dat internetcriminelen gebruikers ongemerkt omleiden naar nepsites. De kans dat dat laatste gebeurt is groter geworden nadat Dan Kaminsky begin juli wereldkundig maakte dat er een ernstig lek zit in het DNS-protocol. Dat lek maakt het mogelijk de cache van recursieve name servers te vervuilen. Dat zijn adresboeken die kopieën bewaren van ip-adressen van website en mailadressen. Ook na het installeren van een patch voor het ‘Kaminskylek' kunnen kwaadwillenden binnen tien uur een name server overnemen en vervuilen met nepadressen.
Niet iedereen denkt dat DNSsec alle problemen gaat oplossen. PowerDNS-ontwikkelaar Bert Hubert zei hier eerder over tegen Computable: "DNSSEC is echt een gewapend beton-oplossing, maar vereist dat netwerkbeheerders regelmatig nieuwe sleutels creëren. Die eis is weinig realistisch. Netwerkbeheerders zijn het zicht op hun DNS-infrastructuur vaak kwijt. Ze zijn gewend dat DNS gewoon werkt. Los daarvan: je zou de hele internetgemeenschap moeten overtuigen van het gebruik van een nieuw protocol. Maar het is net als bij breedbeeld-televisie: dat heeft alleen zin wanneer iedereen overstapt."
Kaminsky-kwetsbaarheid stimuleert DNSsec
Voorstanders van DNSsec lijken echter steeds meer het tij mee te hebben. De Kaminsky-kwetsbaarheid lijkt als gunstig bijeffect te hebben dat een aantal domeinen versneld overstapt op DNSsec.
In juli werd bekend dat het .org-domein DNSsec gaat ondersteunen, in augustus volgde .gov en per 1 september is ook het .cz-domein (Tsjechië) overstag. Wereldwijd ondersteunen zeven domeinen DNSsec: Brazilië (.br), Bulgarije (.bg), -.gov, -.org, Tsjechië (.cz), Puerto Rico (.pr) en Zweden (.se).
De organisatie die het .nl-domein beheert (SIDN), verwacht in 2009 te beginnen met het implementeren van DNSsec. SIDN implementeert DNSsec nu alvast voor een deel van het nl-domein: de ENUM-zone, die de link vormt tussen telefonie en internet.
Andere domeinen die zich voorbereiden op de ondersteuning van DNSsec zijn Engeland (.uk) en India (.in).
http://www.dnssec.net/ is een algemene portal waarin naar verschillende sites met tutorials, tools en technologie wordt verwezen.
http://www.dnssec-deployment.org/ is een site met achtergronden, nieuws en links.
Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte.
Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres.
Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Zij kunnen daardoor de cache van DNS-servers vervuilen met verkeerde ip-adressen. Die foute adressen kunnen ervoor zorgen dat mails in verkeerde handen terecht komen en dat websitebezoekers worden omgeleid naar vervalste websites. Kwaadwillenden kunnen één website 'kapen' (van bijvoorbeeld een bank of een webmailaanbieder), maar in principe ook het hele .com-domein overnemen.
- Bèta van Windows 7 beschikbaar
- Kaminsky vond DNS-lek dankzij fitnessongelukje
- Test: Zoek de verschillen met Vista
- DNS-lek maakt internetbankieren onveilig
- DNS-patches vertragen internetverkeer
- DNSSEC enige oplossing tegen DNS-lek
- Gepatchte DNS-servers binnen een dag te hacken
- Apple-patch voor DNS-lek deugt niet
- Geen nieuwe patches ondanks DNS-gevaar
- Apple brengt patch uit voor DNS-lek
- DNS-servers aangevallen
- Niet alle providers gepatcht tegen DNS-lek
- Beheerder patcht DNS-lek vaak ongemerkt
- Apple heeft nog geen patch voor DNS-lek
- Kaminsky geeft meer details over DNS-lek
- Cisco: schakel DNS-server uit
- Zeker helft DNS-servers nog niet gepatcht
- Patchen DNS-lek is niet voldoende
- Minderheid bedrijven heeft DNS-lek gedicht
- Details DNS-lek uitgelekt
- 14:51 KPN ligt onder de loep bij OPTA
- 16:55 Reorganisatie bij EMC kost 2400 banen
- 16:59 Dell verplaatst productie naar Polen
- 14:17 Werken met eHRM: 4 succesfactoren
- 03:30 Bèta van Windows 7 beschikbaar
- 10:38 Europese karteldienst bezoekt NXP
- 11:03 KPN ziet geen heil meer in België
- 11:21 NOiV kijkt kritisch naar Utrechtse aanbesteding
- 10:46 'Manager moet werknemer vrijheid geven'
- 09:18 ICT-cursus Belastingdienst nog onbekend
Meer Internet
Het wat en hoe van Systeem & Netwerk Bewaking
Het monitoren van zakelijke TCP/IP-netwerken verdient een goede strategie vanwege het bedrijfskritische karakter ervan. Door zaken vroeg te signaleren kan downtime, problemen met hardware en aanverwante systemen voorkomen worden. Deze whitepaper behandelt hoe je processen voor mapping,...... Download nu
Kansen voor klantenservice telecombedrijven
Hoe hebben ICT-oplossingen invloed gehad op de klantenservice van telecombedrijven? Voor 95 procent van alle ondervraagde telecombedrijven heeft klantenservice de hoogste prioriteit. In hoeverre zij ook voldoen aan hun eigen verwachting en waar verbeterpunten liggen valt in deze whitepaper te lezen.... Download nu
Meer Internet whitepapersIE 7 versus Firefox
Het aandeel Firefox in de browsermarkt is toegenomen ondanks de komst van Internet Explorer 7. Daarmee is het Microsoft met zijn nieuwste internetprogramma niet gelukt om de groei van concurrent Mozilla af te zwakken, stelt Forrester Research.
'Microsoft kon groei van Firefox niet dempen'Slim omgaan met de traditionele database
16-12 14:47 Met de huidige technologieën lijkt het voor bedrijven steeds gemakkelijker te worden om nieuwe klanten te vinden. Zoekmachine marketing, Google AdWords en e-mailmarketing zijn op...
Meer internet opinieAccess point voor geleidelijke migratie naar 11n
03-12 15:17 Lancom Systems introduceert de L-315agn dual Wireless, een dual draadloze access point. Het apparaat omvat twee draadloze modules die zowel werken op de 2,4 als de 5 GHz...
Meer internet productenTwinpack doet financieën via internet
16-07 10:21 Een van de grotere verpakkingsgroothandels in Nederland, Twinpack, is gebruiker van Covide CRM-Groupware en daarover bijzonder tevreden. 'We kunnen nu een goed en op onze...
Meer internet praktijkHet einde van de IT-afdeling
31-12 13:42 Cloud computing, het succes van Salesforce.com, de groei van digitale sociale netwerken. Allemaal tekenen aan de wand: informatietechnologie wordt het domein van een paar grote...
Meer internet achtergrondBekijk de leveranciers op het gebied van Internet.
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl / Intermediair / Intermediair voor Starters / IntermediairPW / HRbase.nl / Overheidscircuit.nl / InInterim.nl / InOverheid.nl / InIct.nl / InFinancieel.nl / IT Directory.nl / Marketingdirectory.nl / Computable / Emerce / CRN / Vnunet.nl / Tweakers.net / Koopinfo / Management Team / Sprout
Abonneren / Adverteren / Disclaimer / Privacy / Alle rechten voorbehouden © VNU Media
Het regelmatig bijwerken van sleutels is een lastig aspect van DNS, maar er zijn voldoende oplossingen die dat proces automatiseren, op een veilige manier. Ook na invoering van DNSsec kan DNS weer dat systeempje in de hoek worden dat stilletjes zijn werk doet. Maar afgezien van dat het nog altijd bescheiden is, wordt het wel steeds veiliger naarmate meer partijen aanschuiven.