De patches die nu worden uitgerold verlagen de kans dat caches van Domain Name System-servers (DNS) vervuild worden, maar reduceren die kans niet tot nul. Vooralsnog is DNSSEC de enige oplossing die echt een oplossing biedt voor de verdediging van de intergriteit van de DNS. Dat zegt Olaf Kolkman, directeur van NLnet Labs.
In het artikel "Geen nieuwe patches ondanks DNS-gevaar" is er ruimte voor wat nuance. In het artikel wordt gemeld dat leden van de DNS-werkgroep (waaronder ondergetekende) constateren dat het gebruik van DNSSEC, een beveiligd DNS-protocol, voor het afslaan van "de Kaminsky aanvallen" nog niet rijp is. In het artikel wordt ten onrechte gesuggereerd dat de Internet Engineering Task Force (IETF) DNSSEC uitstelt. Daarnaast suggereert het artikel dat de IETF niets doet tegen het ernstige DNS-lek dat Dan Kaminsky begin juli wereldkundig maakte. Dat is niet waar: de IETF onderzoekt andere protocolaire oplossingen voor het spoofing probleem.
DNSSEC enige oplossing
Het Domain Name System (DNS) ligt aan bijna elke vorm van interactie op het internet ten grondslag. Daardoor kan een aanval op de DNS ervoor zorgen dat een gebruiker van een bepaalde service wordt omgeleid of afgeluisterd. Vooralsnog is DNSSEC de enige oplossing die echt een oplossing biedt voor de verdediging van de intergriteit van de DNS. De patches die nu worden uitgerold verlagen de kans dat de caches vervuild worden maar reduceren die kans niet tot nul. DNSSEC beveiligt tegen deze maar ook tegen andere vormen van DNS data corruptie.
In de IETF wordt er al jaren gewerkt aan een structurele oplossing voor de beveiliging van DNS, waaronder ook de problemen die Kaminsky presenteert geschaard kunnen worden. De structurele oplossing voor de beveiliging van de DNS die de IETF heeft ontwikkeld is DNSSEC. Het is waar dat deze beveiligingsmethode nog niet op zo'n schaal geïmplementeerd en geïnstalleerd is dat het nu helpt met stoppen van het lek. Er is, naast een aantal lapmiddelen in software, echter nog steeds, geen echte oplossing voor het Kaminisky-lek, behalve DNSSEC.
Basis voor DNSSEC groeit
De IETF DNSSEC-specificatie is klaar en wordt door de IETF onderhouden op dezelfde wijze als DNS wordt onderhouden. DNSSEC is geïmplementeerd in closed-source nameservers en binnen open source nameservers zoals BIND, NSD en Unbound. DNSSEC is echter op het openbare internet vrijwel niet operationeel. Dat heeft deels te maken met het feit dat DNSSEC pas echt nuttig is als er voldoende basis voor gebruik is. Die basis begint nu langzaam maar zeker te groeien. Top-Level domains als Zweden (.SE) en Brazilie (.BR) zijn getekend en ook .ORG heeft vergevorderde plannen voor de uitrol van DNSSEC. Grote organisaties en ISPs zouden DNSSEC serieus op de agenda moeten zetten.
Dat DNSSEC kosten voor de netwerkbeheerder met zich meebrengt, zoals PowerDNS-ontwikkelaar Bert Hubert in het artikel stelt, is waar. Aan de andere kant dwingt de invoer van DNSSEC tot bewust nadenken over de infrastructuur en haar onderhoud. DNS heeft aandacht nodig en verdient enig begrip van beheerders, al is het alleen maar om snel te kunnen reageren op de beveiligingspatches die de diverse software-ontwikkelaars de laatste maand hebben geproduceerd. Goed inzicht in de infrastuctuur verlaagt de kosten die je maakt als je op het laatste moment paniekvoetbal moet gaan spelen. Bovendien brengt een succesvolle aanval ook kosten met zich mee. In ieder geval bij de helpdesk en, wie weet, in de aansprakelijkheidssfeer.
Wel degelijk actie
Daarnaast wordt in het artikel beweerd dat de IETF besloten heeft geen nieuwe patches uit te brengen. Dit is veel te kort door de bocht. De IETF doet namelijk geen patches op software.
De IETF is een 22 jaar jonge standaardenorganisatie waar in een open proces specialisten werken aan de missie "Het Internet beter te laten werken". Daartoe worden standaarden ontwikkeld die daarna worden geïmplementeerd door diverse softwareontwikkelaars. De IETF is verantwoordelijk voor het onderhoud en de ontwikkeling van een groot aantal protocollen, niet de software. Naast DNS zijn dat ondermeer ondermeer TCP/IP, BGP(routing protocol), SIP (voip protocol), HTTP, NFS, en nog heel veel meer.
Voor de IETF vergadering in Dublin is er op de IETF mail-lijsten gebrainstormd over een aantal protocolaire lapmiddelen die de pijn van het Kaminskylek zouden kunnen verlichten. Het gaat hier om veranderingen en wijzigingen aan het DNS protocol waarvoor – mocht er binnen de IETF consensus over zijn dat deze oplossingen juist zijn – eerst nog een software-implementatie moet komen. Daarna kan pas worden uitgerold op de verschillende netwerken. Tijdens de IETF in Dublin is er door de DNS-werkgroep besloten om de voorgestelde lapmiddelen eerst goed te onderzoeken op hun complexiteit en effectiviteit. Er wordt dus wel degelijk iets gedaan binnen de IETF: maar voordat grootschalige en wereldwijde oplossingen worden gerealiseerd, wordt er eerst goed nagedacht.
Nu patchen!
Los van het bovenstaande: iedere DNS-specialist is het erover eens dat die patches zo snel mogelijk moeten worden geïnstalleerd. Met de patches zijn aanvallen nog steeds mogelijk maar de tijd die een aanvaller nodig heeft voor succes wordt verlengd. Dat geeft meer tijd om op andere manieren te reageren.
Olaf Kolkman, directeur NLnet Labs
Olaf Kolkman
Olaf Kolkman is directeur van NLnet Labs, het lab is verantwoordelijk voor de ontwikkeling van diverse open-source DNS software zoals NSD en Unbound. Daarnaast is Kolkman voorzitter van de Internet Architecture Board (een aan de IETF gelieerd orgaan) en ex-voorzitter van de IETF DNS extenties werkgroep.
Meer weten over DNSSEC
http://www.dnssec.net is een algemene portal waarin naar verschillende sites met tutorials, tools en technologie wordt verwezen.
http://www.dnssec-deployment.org is een site met achtergronden, nieuws en links.
Het lek dat Kaminsky ontdekte
Domain Name System-servers vertalen domeinnamen naar ip-adressen. Er zijn twee soorten DNS-servers: authoritative en caching nameservers. Alleen het tweede type DNS-server (ook wel ‘resolving name servers' genoemd) is vatbaar voor de kwetsbaarheid die Kaminsky ontdekte. Caching nameservers zijn namelijk niet op de hoogte van alle domeinnamen op het hele internet, en sturen daarom vertaalverzoeken aan ‘autoritieve' DNS-servers. In zo'n vertaalverzoek vraagt een DNS-server naar het ip-adres dat hoort bij een bepaald website- of mailadres. Het huidige DNS-lek maakt het voor kwaadwillenden mogelijk zich uit te geven voor een autoritieve DNS-server. Zij kunnen daardoor de cache van DNS-servers vervuilen met verkeerde ip-adressen. Die foute adressen kunnen ervoor zorgen dat mails in verkeerde handen terecht komen en dat websitebezoekers worden omgeleid naar vervalste websites. Kwaadwillenden kunnen één website 'kapen' (van bijvoorbeeld een bank of een webmailaanbieder), maar in principe ook het hele .com-domein overnemen.
Snelle check
Wie snel wil controleren of de patch is doorgevoerd binnen zijn eigen bedrijf, kan op de website van Dan Kaminsky via één druk op de knop achterhalen of de gebruikte DNS-server kwetsbaar is of niet. Een meer gedetailleerde controle kan elders worden uitgevoerd. Als blijkt dat de DNS-server die je gebruikt kwetsbaar is, informeer dan je netwerkbeheerder. Is je provider het probleem, laat het ons dan weten.