DNSSEC enige oplossing tegen DNS-lek

De patches die nu worden uitgerold verlagen de kans dat caches van Domain Name System-servers (DNS) vervuild worden, maar reduceren die kans niet tot nul. Vooralsnog is DNSSEC de enige oplossing die echt een oplossing biedt voor de verdediging van de intergriteit van de DNS. Dat zegt Olaf Kolkman, directeur van NLnet Labs.

DNSSEC enige oplossing

De patches die nu worden uitgerold verlagen de kans dat de caches vervuild worden maar reduceren die kans niet tot nul.

De patches die nu worden uitgerold verlagen de kans dat de caches vervuild worden maar reduceren die kans niet tot nul.

Het Domain Name System (DNS) ligt aan bijna elke vorm van interactie op het internet ten grondslag. Daardoor kan een aanval op de DNS ervoor zorgen dat een gebruiker van een bepaalde service wordt omgeleid of afgeluisterd. Vooralsnog is DNSSEC de enige oplossing die echt een oplossing biedt voor de verdediging van de intergriteit van de DNS. De patches die nu worden uitgerold verlagen de kans dat de caches vervuild worden maar reduceren die kans niet tot nul. DNSSEC beveiligt tegen deze maar ook tegen andere vormen van DNS data corruptie.

In de IETF wordt er al jaren gewerkt aan een structurele oplossing voor de beveiliging van DNS, waaronder ook de problemen die Kaminsky presenteert geschaard kunnen worden. De structurele oplossing voor de beveiliging van de DNS die de IETF heeft ontwikkeld is DNSSEC. Het is waar dat deze beveiligingsmethode nog niet op zo'n schaal geïmplementeerd en geïnstalleerd is dat het nu helpt met stoppen van het lek. Er is, naast een aantal lapmiddelen in software, echter nog steeds, geen echte oplossing voor het Kaminisky-lek, behalve DNSSEC.

Basis voor DNSSEC groeit

De IETF DNSSEC-specificatie is klaar en wordt door de IETF onderhouden op dezelfde wijze als DNS wordt onderhouden. DNSSEC is geïmplementeerd in closed-source nameservers en binnen open source nameservers zoals BIND, NSD en Unbound. DNSSEC is echter op het openbare internet vrijwel niet operationeel. Dat heeft deels te maken met het feit dat DNSSEC pas echt nuttig is als er voldoende basis voor gebruik is. Die basis begint nu langzaam maar zeker te groeien. Top-Level domains als Zweden (.SE) en Brazilie (.BR) zijn getekend en ook .ORG heeft vergevorderde plannen voor de uitrol van DNSSEC. Grote organisaties en ISPs zouden DNSSEC serieus op de agenda moeten zetten.

Dat DNSSEC kosten voor de netwerkbeheerder met zich meebrengt, zoals PowerDNS-ontwikkelaar Bert Hubert in het artikel stelt, is waar. Aan de andere kant dwingt de invoer van DNSSEC tot bewust nadenken over de infrastructuur en haar onderhoud. DNS heeft aandacht nodig en verdient enig begrip van beheerders, al is het alleen maar om snel te kunnen reageren op de beveiligingspatches die de diverse software-ontwikkelaars de laatste maand hebben geproduceerd. Goed inzicht in de infrastuctuur verlaagt de kosten die je maakt als je op het laatste moment paniekvoetbal moet gaan spelen. Bovendien brengt een succesvolle aanval ook kosten met zich mee. In ieder geval bij de helpdesk en, wie weet, in de aansprakelijkheidssfeer.

Wel degelijk actie

Daarnaast wordt in het artikel beweerd dat de IETF besloten heeft geen nieuwe patches uit te brengen. Dit is veel te kort door de bocht. De IETF doet namelijk geen patches op software.

De IETF is een 22 jaar jonge standaardenorganisatie waar in een open proces specialisten werken aan de missie "Het Internet beter te laten werken". Daartoe worden standaarden ontwikkeld die daarna worden geïmplementeerd door diverse softwareontwikkelaars. De IETF is verantwoordelijk voor het onderhoud en de ontwikkeling van een groot aantal protocollen, niet de software. Naast DNS zijn dat ondermeer ondermeer TCP/IP, BGP(routing protocol), SIP (voip protocol), HTTP, NFS, en nog heel veel meer.

Voor de IETF vergadering in Dublin is er op de IETF mail-lijsten gebrainstormd over een aantal protocolaire lapmiddelen die de pijn van het Kaminskylek zouden kunnen verlichten. Het gaat hier om veranderingen en wijzigingen aan het DNS protocol waarvoor - mocht er binnen de IETF consensus over zijn dat deze oplossingen juist zijn -  eerst nog een software-implementatie moet komen. Daarna kan pas worden uitgerold op de verschillende netwerken. Tijdens de IETF in Dublin is er door de DNS-werkgroep besloten om de voorgestelde lapmiddelen eerst goed te onderzoeken op hun complexiteit en effectiviteit. Er wordt dus wel degelijk iets gedaan binnen de IETF: maar voordat grootschalige en wereldwijde oplossingen worden gerealiseerd, wordt er eerst goed nagedacht.

Nu patchen!

Los van het bovenstaande: iedere DNS-specialist is het erover eens dat die patches zo snel mogelijk moeten worden geïnstalleerd. Met de patches zijn aanvallen nog steeds mogelijk maar de tijd die een aanvaller nodig heeft voor succes wordt verlengd. Dat geeft meer tijd om op andere manieren te reageren.

Olaf Kolkman, directeur NLnet Labs