Windows 7 biedt betere DNS-beveiliging
De DNS-server die onderdeel uitmaakt van Windows 7 en Windows Server 2008 R2 biedt extra mogelijkheden om het Domain Name System (DNS) te beveiligen. De nieuwe versie van de Microsoft DNS-server ondersteunt namelijk DNSsec.
"De DNS-server in Windows Server 2008 R2 (Release 2) zal ondersteuning bieden voor DNSsec. Die DNS-server is in staat om sleutels te generereren en DNS-zones te beveiligen met digitale handtekeningen. Het gebruikt daarvoor een ondertekeningstool die we leveren met het product." Dat schrijft Shyam Seshadri , programma manager voor Windows DNS bij Microsoft, in een weblog op Microsofts ontwikkelaarssite TechNet.
Domain Name System-servers (DNS) vertalen domeinnamen naar ip-adressen. DNSsec is een uitbreiding op het DNS-protocol, waarmee DNS-zones cryptografisch ondertekend kunnen worden. DNSsec is te vergelijken met een lakzegel. Via dat lakzegel kun je de afzender authenticeren en kun je garanderen dat de inhoud van het informatiepakket onderweg niet gewijzigd is.
Laagdrempeliger
Olaf Kolkman, directeur NLnet Labs en pleitbezorger van DNSsec: "Als een van de grootste commerciele leveranciers van besturingssystemen DNSsec in zijn producten stopt, betekent dat dat DNSsec door die leverancier serieus wordt genomen. Bovendien wordt het gebruik van DNSsec in Microsoft-omgevingen daardoor laagdrempeliger en dat kan mensen over de streep trekken."
Het superbeveiligde DNSsec-protocol kan voorkomen dat internetcriminelen gebruikers ongemerkt omleiden naar nepsites. De kans dat dat laatste gebeurt is groter geworden nadat Dan Kaminsky begin juli wereldkundig maakte dat er een ernstig lek zit in het DNS-protocol. Dat lek maakt het mogelijk de cache van recursieve name servers te vervuilen. Dat zijn adresboeken die kopieën bewaren van ip-adressen van website en mailadressen. Ook na het installeren van een patch voor het ‘Kaminskylek' kunnen kwaadwillenden binnen tien uur een name server overnemen en vervuilen met nepadressen.
Niet iedereen denkt dat DNSsec alle problemen gaat oplossen. PowerDNS-ontwikkelaar Bert Hubert zei hier eerder over tegen Computable: "DNSSEC is echt een gewapend beton-oplossing, maar vereist dat netwerkbeheerders regelmatig nieuwe sleutels creëren. Die eis is weinig realistisch. Netwerkbeheerders zijn het zicht op hun DNS-infrastructuur vaak kwijt. Ze zijn gewend dat DNS gewoon werkt. Los daarvan: je zou de hele internetgemeenschap moeten overtuigen van het gebruik van een nieuw protocol. Maar het is net als bij breedbeeld-televisie: dat heeft alleen zin wanneer iedereen overstapt."
Kaminsky-kwetsbaarheid stimuleert DNSsec
Voorstanders van DNSsec lijken echter steeds meer het tij mee te hebben. De Kaminsky-kwetsbaarheid lijkt als gunstig bijeffect te hebben dat een aantal domeinen versneld overstapt op DNSsec.
In juli werd bekend dat het .org-domein DNSsec gaat ondersteunen, in augustus volgde .gov en per 1 september is ook het .cz-domein (Tsjechië) overstag. Wereldwijd ondersteunen zeven domeinen DNSsec: Brazilië (.br), Bulgarije (.bg), -.gov, -.org, Tsjechië (.cz), Puerto Rico (.pr) en Zweden (.se).
De organisatie die het .nl-domein beheert (SIDN), verwacht in 2009 te beginnen met het implementeren van DNSsec. SIDN implementeert DNSsec nu alvast voor een deel van het nl-domein: de ENUM-zone, die de link vormt tussen telefonie en internet.
Andere domeinen die zich voorbereiden op de ondersteuning van DNSsec zijn Engeland (.uk) en India (.in).
http://www.dnssec.net/ is een algemene portal waarin naar verschillende sites met tutorials, tools en technologie wordt verwezen.
http://www.dnssec-deployment.org/ is een site met achtergronden, nieuws en links.
Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte.
Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres.
Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Zij kunnen daardoor de cache van DNS-servers vervuilen met verkeerde ip-adressen. Die foute adressen kunnen ervoor zorgen dat mails in verkeerde handen terecht komen en dat websitebezoekers worden omgeleid naar vervalste websites. Kwaadwillenden kunnen één website 'kapen' (van bijvoorbeeld een bank of een webmailaanbieder), maar in principe ook het hele .com-domein overnemen.
10-02 Infor helpt Ferrari met bouwen F1-auto's
10-02 Tester Four Oaks in Israëlische handen
10-02 IS Online en Tres zijn klaar voor Elfstedentocht
10-02 SecureLink migreert Microsoft-diensten Atradius
10-02 Nieuwe software brengt Vitens in problemen
10-02 Ex-Misys-topman moet CSC uit penarie helpen
10-02 Veenman en 20/20 vision adviseren samen klant
10-02 Cisco maakt 2,2 miljard dollar kwartaalwinst
10-02 Misys en Temenos willen fuseren
10-02 Raet stelt Schrijnemaekers als nieuwe CFO aan
10-02 SecureLink migreert Microsoft-diensten Atradius
09-02 Vodafone: Wij spelen klantinformatie niet door
09-02 Lang leve de hackers!
09-02 'Ook met cookiewet is gebruiker niet anoniem'
09-02 'KPN koppelt ID aan internetverkeer'
08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'
07-02 Eigen werknemer kan ook een vijand zijn
03-02 'Overheid vreest voor veiligheid in de cloud'
01-02 F5 beschermt openbare websites
31-01 Publieksvoorlichting is belangrijke taak voor NCSC
|
|
12-10-09 SIDN stelt invoering DNSsec uit
07-09-09 SURFnet ondersteunt veilig internetprotocol
04-06-09 Internet krijgt beveiligd DNS-protocol
12-05-09 Windows 7 ligt voor kerst in de schappen
13-03-09 Win7 ondersteunt meer programma's dan Vista
25-02-09 .com-domein krijgt beveiligd DNS-protocol
05-02-09 Fabrikanten kunnen nu al Windows 7 testen
04-02-09 Windows 7 krijgt twee zakelijke versies
15-01-09 Bèta Windows 7 bevat beveiligingslek
12-01-09 Microsoft-servers overbelast door Windows 7
12-01-09 Bèta beschikbaar van Windows Server 2008 R2
08-01-09 Bèta van Windows 7 beschikbaar
06-01-09 Kaminsky vond DNS-lek dankzij fitnessongelukje
19-11-08 Test: Zoek de verschillen met Vista
08-08-08 DNS-lek maakt internetbankieren onveilig
06-08-08 DNS-patches vertragen internetverkeer
05-08-08 DNSSEC enige oplossing tegen DNS-lek
04-08-08 Gepatchte DNS-servers binnen een dag te hacken
04-08-08 Apple-patch voor DNS-lek deugt niet
01-08-08 Geen nieuwe patches ondanks DNS-gevaar
Best Practices om laptop-data te beschermen
In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 154 | 6.4 | |
 | 2 | 120 | 6.7 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media
Het regelmatig bijwerken van sleutels is een lastig aspect van DNS, maar er zijn voldoende oplossingen die dat proces automatiseren, op een veilige manier. Ook na invoering van DNSsec kan DNS weer dat systeempje in de hoek worden dat stilletjes zijn werk doet. Maar afgezien van dat het nog altijd bescheiden is, wordt het wel steeds veiliger naarmate meer partijen aanschuiven.