Beveiliging DNS-servers moet beter

DNS-expert Liu: 'Organisatie die beheer op zich neemt moet neutraal zijn'

Het configureren en onderhouden van een DNS-server (Domain Name System) is niet de meest avontuurlijke taak. Toch is het zaak om stil te staan bij het opzetten van de infrastructuur en de beveiliging ervan. Dat wordt momenteel zwaar onderschat, stelt DNS-specialist Cricket Liu in een exclusief interview.

DNS-expert Liu Cricket Liu is een autoriteit op DNS-gebied (Domain Name System). Naast het schrijven van een aantal handboeken over DNS, inclusief de klassieker DNS en BIND, houdt Liu zich momenteel als vice-president of architecture bezig met de productstrategie van Infoblox. Daarnaast onderhoudt hij contact met de technische gemeenschap over de laatste DNS-ontwikkelingen. Liu begon na zijn studie aan de universiteit van Berkely (waar BIND zijn oorsprong vindt) bij HP, waar hij tien jaar lang een van de grootste verzameling (sub)domeinen ter wereld beheerde. Later startte hij zijn eigen internetconsulting en -training bedrijf, Acme Byte & Wire. Nadat Network Solutions het bedrijf overnam, werd Liu director of DNS product management.

Waarom is DNS belangrijk?
"DNS is de spil van internet. Naamservers regelen het vertalen van ip-adressen naar domeinnamen en andersom, waardoor we kunnen werken met eenvoudig te onthouden namen in plaats van abstracte cijferreeksen. Tegelijkertijd ontrafelen ze mailadressen, om de berichten vervolgens door te sturen naar de juiste ontvanger."
 
DNS is dus cruciaal, ofwel een geliefd doel voor kwaadwillenden?
"Inderdaad; wanneer een DNS-server niet voldoende beveiligd is en onderuit gaat, ligt een deel van internet plat. Dat heeft enorme gevolgen, niet alleen voor het bedrijf dat de DNS-servers onderhoudt, maar voor iedereen die gebruik maakt van deze domeinnamen, of het nu voor mail of webservices is. Meestal leidt dat tot chaos, verlies van productiviteit en boze klanten. De financiële gevolgen kunnen desastreus zijn."
 
Op welke manieren maken kwaadwillenden er vooral misbruik van?
"Men maakt gebruik van kwetsbaarheden van DNS-servers om bijvoorbeeld zijn identiteit te verbergen. Daar zijn vooral spammers bij gebaat. Ook zijn naamservers regelmatig het doelwit van ddos-aanvallen (distributed denial of service). Wanneer de aangevallen server uitvalt, wordt de hele internetinfrastructuur onbereikbaar. Dat is lastig te voorkomen. Het helpt wanneer voldoende reservecapaciteit beschikbaar is, voor zowel bandbreedte als het opvangen van fouten. Verder zien we steeds meer 'pharming'-aanvallen. Hierbij wordt de verwijzing van een domeinnaam aan een ander ip-adres gekoppeld. Bezoekers die dan bijvoorbeeld het vertrouwde adres van hun bank, telefoonmaatschappij of handelsplatform intoetsen, komen terecht op een nepsite met een nagebouwde interface. Waar 'phishing' nog wel voor gebruikers als nep herkenbaar is, is dat bij 'pharming' heel moeilijk."
 
Dat is toch een kwestie van goed beveiligen?
"Ja, maar daar schort het vaak aan. Een recent onderzoek van The Management Factory en Infoblox toonde aan dat 84 procent van de DNS-servers kwetsbaar zijn voor 'pharming'-aanvallen. Meer dan driekwart laat 'recursive queries' toe, terwijl dat voorbehouden zou moeten zijn aan een selecte groep vertrouwde naamservers. Hierdoor kan een naamserver bij een andere naamserver het ip-adres van een domeinnaam opvragen, wat de servers kwetsbaar maakt voor zowel 'cache'-vergiftiging als dos-aanvallen."
 
Hoe komt het dat het zo slecht gesteld is met die beveiliging?
"Het beheer van DNS krijgt vaak te weinig prioriteit. Het is droge kost, tamelijk ingewikkeld en niet zo sexy als opkomende technieken als VoIP en WiFi. Vaak wordt bij de beveiliging van netwerken minder prioriteit gegeven aan een goede DNS-infrastructuur. Slechts een of enkele personen zijn belast met het beheer, meestal naast allerlei andere taken. Het komt ook regelmatig voor dat de DNS samen met andere services op een systeem draait. Dat werkt kwetsbaarheden in de hand, doordat er meer potentiële lekken zijn."
"Ook aan de softwarekant is het niet optimaal geregeld. Doordat klanten om 'plug-and-play'-systemen vragen, leveren veel leveranciers producten waarbij alles direct werkt. Ik zie het liever andersom, waarbij het netwerk direct optimaal beveiligd is en de systeembeheerder daarna eventueel bepaalde beveiligingen kan uitschakelen. Ten slotte wordt het actualiseren van software vaak nagelaten onder het mom van 'als het niet kapot is, repareer het dan niet'. Uit het genoemde onderzoek bleek dat slechts 57 procent van de 1,3 miljoen onderzochte naamservers een recente versie van BIND (Berkeley Internet Name Domain) gebruikt; versie 9.1 of hoger. Minder dan 1 procent gebruikte de jongste versie, 9.3. Ook andere software op de server moet goed worden bijgehouden."
 
Hoe zijn die kwetsbaarheden aan te pakken?
"Ik pleit ervoor om externe naamservers indien mogelijk te splitsen in bedrijfskritische servers en verzenders. Schakel recursie uit op externe bedrijfskritische naamservers en sta op de verzenders alleen verzoeken uit de interne adresruimte toe. Zorg ervoor dat de laatste versie van BIND gebruikt wordt. Filter het verkeer van en naar de externe naamservers met behulp van firewalls of routers. Maak eventueel gebruik van veilige 'appliances' in plaats van algemene servers, besturingssystemen en oss (open source software)."
 
Dat laatste lijkt ook eigenbelang, als vice-president of architecture van Infoblox, dat dergelijke producten levert. Wat is het voordeel?
"Veel beveiligingsproblemen hebben te maken met het besturingssysteem. Een 'appliance' beschikt alleen over de meest noodzakelijke software voor het doel waarvoor hij gebruikt gaat worden. Er zijn daardoor minder potentiële lekken. Een ander voordeel is dat meerdere appliances tegelijkertijd centraal beheerd kunnen worden. Het gehele management, de backups en de opwaarderingen zijn te beheren vanaf één punt en in een keer uitvoerbaar. Dat betekent dat minder beheer en concrete kennis van DNS nodig zijn."
 
Een actueel vraagstuk is het beheer van DNS. Dat is volledig in handen van de VS, terwijl internet al jaren een internationale aangelegenheid is. De EU heeft daarom in samenspraak met Arabische en Aziatische landen gepleit voor internationaal beheer, bijvoorbeeld door de VN. De VS weigeren dat tot nu toe. Hoe kijkt u hier als DNS-professional tegenaan?
"Ter verduidelijking, het gaat om het beheer van de DNS-zones; 'rootnaamservers' zijn reeds over de hele wereld verspreid. Ik vind het een goede zaak dat één organisatie de volledige controle heeft vanwege consistentie, maar dat hoeven niet de VS te zijn. Momenteel ligt de verantwoordelijkheid bovendien bij het ministerie van Handel, wat mij niet het meest logische lijkt. Ik denk dat het in het huidige politieke klimaat niet verstandig is dat de VS voet bij stuk houden. Internet is van iedereen. Bij een machtsblok is niemand gebaat. Het lijkt me overigens wel een voorwaarde dat de organisatie die het beheer op zich neemt neutraal is en veel verstand van DNS heeft."
 
Sommige landen willen nu eigen DNS-rootservers op te zetten. Dreigt internet daardoor uiteen te vallen?
"Dat gevaar is reëel. Dat moet koste wat kost voorkomen worden. Het gebruik van verschillende DNS-zones zou betekenen dat domeinen op het ene internet wel bestaan en op het andere niet. Iets simpels als een mail naar de andere kant van de wereld sturen is dan ineens niet meer mogelijk, laat staan het gebruik van domeinnamen. Het leven op internet zou een stuk complexer worden."
 
Waarom bent u zich gaan bezighouden met DNS?
"In 1988 beheerde ik de maildirectories van HP. In die vroege fase van internet speelde mail amper een rol, waardoor het nogal een duffe baan was. Ik ben me toen meer en meer gaan verdiepen in DNS. Toen we na de aardbeving in San Francisco in 1989 een aantal cruciale naamservers verloren, werd ik vanwege mijn opgedane kennis gevraagd om een nieuwe infrastructuur op te zetten en deze in de toekomst te beheren. Vanaf dat moment heb ik mij intensief bezig gehouden met DNS en de ontwikkeling van internet."