Het beveiligen van DNS-servers heeft bij de meeste bedrijven en netwerkaanbieders geen prioriteit. Hierdoor ontstaan risico’s, zegt de Nederlandse internetprovider XS4All.
DNS-expert Cricket Liu meldde al eerder in Computable dat de beveiliging van DNS-servers beter moet. onderzoek van The Management Factory en Infoblox bleek dat 75 procent van alle zakelijke netwerken kwetsbaar is voor een pharmingaanval. XS4All kent het probleem. “De structuur en veiligheid van DNS-servers wordt maar al te vaak over het hoofd gezien door individuele gebruikers, bedrijven en netwerkaanbieders”, zegt woordvoerder Judith van Erve. Dit brengt risico’s met zich mee. “De beveiliging van DNS-servers zou mee moeten draaien in de dagelijkse beveiligingsroutine. Dit houdt onder meer in dat er gecheckt wordt op beveiligingsupdates en dat men kennis heeft van de juiste en veilige configuratie.” Maar DNS-instellingen zijn vaak gecompliceerd. “Ook onderhouden veel aanbieders een mix van oudere netwerken, kleinere aanbieders en netwerkstructuren die lastig te beveiligen zijn”, aldus Van Erve.
Nederlandse isp’s
Maar hoe goed beveiligt XS4All zelf zijn DNS-servers? “XS4All volgt het voorbeeld van Cricket Liu”, zegt Van Erve. Liu is auteur van het boek DNS & Bind Book. Hij vindt dat recursie op authoritative naamservers uitgeschakeld moet worden. Recursie is een vorm van naamsbepaling die van een naamserver kan eisen om verzoeken om te leiden naar andere naamservers. Het bieden van recursie aan willekeurige ip-adressen op internet zet een nameserver open voor zowel cachevergiftiging als denial of service (DoS)-aanvallen, vindt Liu. “XS4All scheidt haar recursive servers van haar authoritative servers. Dit kan al veel DNS-misbruik voorkomen”, zegt Van Erve.
