De DNS-server die onderdeel uitmaakt van Windows 7 en Windows Server 2008 R2 biedt extra mogelijkheden om het Domain Name System (DNS) te beveiligen. De nieuwe versie van de Microsoft DNS-server ondersteunt namelijk DNSsec.
"De DNS-server in Windows Server 2008 R2 (Release 2) zal ondersteuning bieden voor DNSsec. Die DNS-server is in staat om sleutels te generereren en DNS-zones te beveiligen met digitale handtekeningen. Het gebruikt daarvoor een ondertekeningstool die we leveren met het product." Dat schrijft Shyam Seshadri , programma manager voor Windows DNS bij Microsoft, in een weblog op Microsofts ontwikkelaarssite TechNet.
Domain Name System-servers (DNS) vertalen domeinnamen naar ip-adressen. DNSsec is een uitbreiding op het DNS-protocol, waarmee DNS-zones cryptografisch ondertekend kunnen worden. DNSsec is te vergelijken met een lakzegel. Via dat lakzegel kun je de afzender authenticeren en kun je garanderen dat de inhoud van het informatiepakket onderweg niet gewijzigd is.
Laagdrempeliger
Olaf Kolkman, directeur NLnet Labs en pleitbezorger van DNSsec: "Als een van de grootste commerciele leveranciers van besturingssystemen DNSsec in zijn producten stopt, betekent dat dat DNSsec door die leverancier serieus wordt genomen. Bovendien wordt het gebruik van DNSsec in Microsoft-omgevingen daardoor laagdrempeliger en dat kan mensen over de streep trekken."
Het superbeveiligde DNSsec-protocol kan voorkomen dat internetcriminelen gebruikers ongemerkt omleiden naar nepsites. De kans dat dat laatste gebeurt is groter geworden nadat Dan Kaminsky begin juli wereldkundig maakte dat er een ernstig lek zit in het DNS-protocol. Dat lek maakt het mogelijk de cache van recursieve name servers te vervuilen. Dat zijn adresboeken die kopieën bewaren van ip-adressen van website en mailadressen. Ook na het installeren van een patch voor het ‘Kaminskylek' kunnen kwaadwillenden binnen tien uur een name server overnemen en vervuilen met nepadressen.
Niet iedereen denkt dat DNSsec alle problemen gaat oplossen. PowerDNS-ontwikkelaar Bert Hubert zei hier eerder over tegen Computable: "DNSSEC is echt een gewapend beton-oplossing, maar vereist dat netwerkbeheerders regelmatig nieuwe sleutels creëren. Die eis is weinig realistisch. Netwerkbeheerders zijn het zicht op hun DNS-infrastructuur vaak kwijt. Ze zijn gewend dat DNS gewoon werkt. Los daarvan: je zou de hele internetgemeenschap moeten overtuigen van het gebruik van een nieuw protocol. Maar het is net als bij breedbeeld-televisie: dat heeft alleen zin wanneer iedereen overstapt."
Kaminsky-kwetsbaarheid stimuleert DNSsec
Voorstanders van DNSsec lijken echter steeds meer het tij mee te hebben. De Kaminsky-kwetsbaarheid lijkt als gunstig bijeffect te hebben dat een aantal domeinen versneld overstapt op DNSsec.
In juli werd bekend dat het .org-domein DNSsec gaat ondersteunen, in augustus volgde .gov en per 1 september is ook het .cz-domein (Tsjechië) overstag. Wereldwijd ondersteunen zeven domeinen DNSsec: Brazilië (.br), Bulgarije (.bg), -.gov, -.org, Tsjechië (.cz), Puerto Rico (.pr) en Zweden (.se).
De organisatie die het .nl-domein beheert (SIDN), verwacht in 2009 te beginnen met het implementeren van DNSsec. SIDN implementeert DNSsec nu alvast voor een deel van het nl-domein: de ENUM-zone, die de link vormt tussen telefonie en internet.
Andere domeinen die zich voorbereiden op de ondersteuning van DNSsec zijn Engeland (.uk) en India (.in).
DNSsec
http://www.dnssec.net/ is een algemene portal waarin naar verschillende sites met tutorials, tools en technologie wordt verwezen.
http://www.dnssec-deployment.org/ is een site met achtergronden, nieuws en links.
DNS
Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte.
Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres.
Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Zij kunnen daardoor de cache van DNS-servers vervuilen met verkeerde ip-adressen. Die foute adressen kunnen ervoor zorgen dat mails in verkeerde handen terecht komen en dat websitebezoekers worden omgeleid naar vervalste websites. Kwaadwillenden kunnen één website 'kapen' (van bijvoorbeeld een bank of een webmailaanbieder), maar in principe ook het hele .com-domein overnemen.
Het is niet juist dan DNSsec pas veilig wordt wanneer iedereen meedoet. De kracht van het protocol is juist dat het sterker wordt naarmate meer mensen meedoen. Wat wel nodig is, is ondersteuning aan zowel server- als clientkant. Dus als je bank en de DNS cache van je ISP allebei DNSsec ondersteunen dan is je bankverkeer in elk geval veilig.
Het regelmatig bijwerken van sleutels is een lastig aspect van DNS, maar er zijn voldoende oplossingen die dat proces automatiseren, op een veilige manier. Ook na invoering van DNSsec kan DNS weer dat systeempje in de hoek worden dat stilletjes zijn werk doet. Maar afgezien van dat het nog altijd bescheiden is, wordt het wel steeds veiliger naarmate meer partijen aanschuiven.