SURFnet kondigt aan dat alle SURFnet DNS (Domain Name System) resolvers DNSSEC ondersteunen. DNS resolvers verbinden domeinnamen aan IP-adressen en zorgen zo voor de bewegwijzering op internet. DNSsec (domain name system security extensions) is een protocol dat backwards compatible is met internetfundament DNS, maar daarnaast authenticatie en databescherming biedt. Via DNSsec kunnen internetgebruikers controleren of DNS-gegevens te vertrouwen zijn.
Wanneer een internetgebruiker foutieve DNS-gegevens ontvangt, kan hij worden omgeleid naar vervalste websites, of kunnen zijn mailberichten worden afgeleverd op het verkeerde adres. Via DNSsec kunnen gebruikers aan een DNS-server vragen om gegevens te voorzien van een digitale handtekening.
SURFnet stelt verwijst haar gebruikers op haar website naar online informatie voor de meest voorkomende besturingssystemen over hoe ze hun computer gebruik kunnen laten maken van de SURFnet DNS resolvers. De klanten van SURFnet zijn hogere onderwijs- en onderzoeksinstellingen. SURFnet levert hen netwerkdiensten.
Echtheid IP-adressen gecontroleerd
Roland van Rijswijk, Manager Middleware Services van SURFnet: 'Een veilig internet is van groot belang voor onderwijs en onderzoek. Door de invoering van DNSSEC zet SURFnet een cruciale stap om te kunnen profiteren van de wereldwijde uitrol van veilige internet bewegwijzering. In een fractie van een seconde wordt nu niet alleen de domeinnaam opgezocht maar wordt ook de echtheid van de geleverde IP-adres informatie gecontroleerd'.
De root van de DNS wordt voor het einde van dit jaar met DNSsec beveiligd. De rootzone is het hoogste niveau binnen de hiërarchische DNS-structuur. In juni werd DNSsec ingevoerd voor het .org domein. In februari werd bekend dat Verisign DNSsec binnen twee jaar in gaat voeren voor de top-level domeinen die dit Amerikaanse bedrijf beheert: .com en .net. DNSsec wordt ondermeer al door de volgende domeinen ondersteund: Brazilië (.br), Bulgarije (.bg), -.gov, -org, Puerto Rico (.pr), Tsjechië (.cz), Thailand(.th) en Zweden (.se).
ERNSTIG LEK IN DNS
Het superbeveiligde DNSsec-protocol kan voorkomen dat internetcriminelen gebruikers ongemerkt omleiden naar nepsites. De kans dat dat laatste gebeurt is groter geworden nadat Dan Kaminsky in juli 2008 wereldkundig maakte dat er een ernstig lek zit in het DNS-protocol. Dat lek maakt het mogelijk de cache van recursieve name servers te vervuilen. Dat zijn adresboeken die kopieën bewaren van ip-adressen van website en mailadressen. Ook na het installeren van een patch voor het ‘Kaminskylek' kunnen kwaadwillenden binnen tien uur een name server overnemen en vervuilen met nepadressen. Dat kan allerlei consequenties hebben: niet alleen kan mail worden afgevangen, maar zelfs SSL-certificaten voor internetbankiersites kunnen in theorie via dit lek vervalsd worden.
MEER WETEN OVER DNSSEC
http://www.dnssec.net/ is een algemene portal waarin naar verschillende sites met tutorials, tools en technologie wordt verwezen.
http://www.dnssec-deployment.org/ is een site met achtergronden, nieuws en links.
