Tijdens de zomer hebben veel consumenten en bedrijven last gehad van internet-storingen door DDoS-aanvallen op DNS-servers. Hoe zijn die storingen structureel te voorkomen? Door zowel het gebruik van DNS-servers beter te monitoren als de beveiliging te verhogen met DNSSEC.
Na een aantal recente aanvallen op de servers van providers, is niet alleen de vakterm DDoS bij iedereen bekend, maar ook de afkorting DNS. DNS staat voor Domain Name System, een belangrijke toepassing die regelt dat websites die mensen willen bezoeken worden vertaald naar IP-adressen. Vergelijkbaar met een telefoonboek. Als de DNS-servers van uw provider door zo’n aanval worden platgelegd, is dat vervelend en loopt u mogelijk omzet mis, maar worden er nog geen gegevens gestolen. Cybercriminelen kunnen bezoekers echter wel met alternatieve DNS-antwoorden naar malafide-sites sluizen.
Work-around of structureel beter beveiligen
Direct na genoemde aanvallen publiceerden diverse media over een work-around, om geen last meer te ondervinden van een DNS-aanval. Namelijk door simpelweg gebruik te maken van DNS-servers van derden, zoals Google, die minder makkelijk te hacken zijn. Een structureel betere oplossing is echter de eigen DNS-server(s) te beveiligen met DNSSEC (Domain Name System Security Extension). Dat is namelijk een al jarenlang beschikbare cryptografische beveiligingsmethode voor het DNS-protocol.
DNSSEC
Bij DNSSEC worden clients en servers voorzien van een digitale handtekening (signeren) als uitbreiding op het standaardprotocol om zowel de DNS-server als het transport van DNS-informatie te beschermen. Daarmee wordt het internet voor iedereen veiliger, omdat criminelen de gebruikers van internet-bankieren en webshops niet meer kunnen omleiden naar vrijwel identieke malafide sites (DNS spoofing) of onderweg informatie onderscheppen (Man in the middle). Twee populaire methodes om creditcard- en persoonsgegevens, wachtwoorden of vertrouwelijke emails te bemachtigen.
DNSSEC is al sinds mei 2012 voor alle .nl-domeinnamen beschikbaar, echter merkwaardig genoeg nog maar beperkt geïmplementeerd. Uit een publicatie hierover op DNSSEC.nl blijkt dat slechts 25 procent van de nationale overheidsdomeinen in Europa met DNSSEC is beveiligd, waaronder onze government.nl. Op de website internet.nl kan iedereen eenvoudig controleren of de web- en maildomeinen die men zelf gebruikt met DNSSEC zijn beveiligd en of het nieuwe IPv6-protocol wordt ondersteund.
Performance verhogen
Het implementeren van DNSSEC is één van de mogelijke maatregelen om de beveiliging van kritische netwerkinfrastructuren te verhogen en imagoschade of omzetverlies door servicestoringen te voorkomen. Natuurlijk vraagt het coderen en decoderen van die toegevoegde cryptografische handtekeningen meer performance. Daarom is het raadzaam om hier proactief op te anticiperen, met snellere servers of speciaal voor het verwerken van zware netwerktaken ontwikkelde Application Delivery Controllers (ADC’s).
De nieuwste generatie ADC’s zijn namelijk uitgerust met een 64-bit operating systeem, een DNS Application Firewall en snelle securityprocessoren. Daardoor kunnen ze op hoge snelheid simultaan alle DNSSEC-verzoeken en ook SSL- of TSL-encrypties voor een enorm aantal verbindingen afhandelen. Uiteraard is het belangrijk om er bij aanschaf op te letten dat DNSSEC wordt ondersteund, want dat is net als bij een aantal topdomeinen helaas nog niet vanzelfsprekend.
Dit stuk pretendeert te gaan over DDoS mitigatie: “Tijdens de zomer hebben veel consumenten en bedrijven last gehad van internet-storingen door DDoS-aanvallen op DNS-servers. Hoe zijn die storingen structureel te voorkomen?”
In de eerste paragraaf na de introductie wordt toegelicht wat DNS is, en er is dieper ingegaan op DNSSEC. Het onderwerp (het structureel voorkomen van storingen ten gevolge van DDoS aanvallen op DNS-servers) wordt jammer genoeg niet behandeld. Wordt er *voordat* dit soort stukken geplaatst worden gekeken naar de inhoud (en dan vooral of het ergens op slaat)?
In het vervolg: Als een onderwerp gegeven wordt in een inleiding is het gebruikelijk om daar ook iets over te zeggen. Dat staat nog *los* van het feit dat de premisse (DNSSEC doet inherent iets tegen storingen ten gevolge van DDoS-aanvallen) niet klopt. Dat moet kunnen.
Buiten de grote lijnen zijn er op de details ook nog wel een aantal dingen op te merken:
Punt 1:
Zin A:
“Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet het redactionele gedachtegoed van Computable.”
Zin B:
“Expert van Computable voor de topics: Netwerkbeheer, Infrastructuur en Datacenters”
Voor het leesgemak zal ik de (binnen deze context) overbodige woorden in die twee zinnen wegknippen:
Zin A:
“Deze opinie […] vertegenwoordigt dus niet […] Computable.”
Zin B:
“Expert van Computable […]”
Wat is het nut van een expert in dienst hebben als zijn opinie over de onderwerpen waar hij (volgens eigen zeggen) expert in is niks met Computable te maken mogen hebben?
Punt 2:
In de paragraaf met de subtitel “Performance verhogen” staat “proactief op te anticiperen”. Anticiperen is proactief.
Punt 3:
Uit de paragraaf met de subtitel “Work-around of structureel beter beveiligen”: “Namelijk door simpelweg gebruik te maken van DNS-servers van derden, zoals Google, die minder makkelijk te hacken zijn.”
Een DDoS aanval op een DNS-server is geen “hack”. Het is een DDoS aanval.
Inhoudelijk, over diezelfde paragraaf:
“Een structureel betere oplossing is echter de eigen DNS-server(s) te beveiligen met DNSSEC (Domain Name System Security Extension). Dat is namelijk een al jarenlang beschikbare cryptografische beveiligingsmethode voor het DNS-protocol.”
Waarom is het structureel beter? Waartegen? Een DDoS aanval (dit is immers het onderwerp)? Het zou waardevol zijn als toegelicht werd wat de gedachtengang hierachter is, want voor de lezer is dat wellicht geen aangenomen feit. Op het moment dat getracht wordt deze vraag toe te lichten wordt hopelijk ook duidelijk dat het niet klopt.
@Onderzoeksblabla
Bewonderenswaardig analytische reactie van je.
Maar laat Harry nou gewoon lekker met FUD die A10’s aan de man brengen. Doetie al jaren geen vlieg kwaad mee.
Ja, dit soort schrijverij krijg je met die gigantische aantallen hbo-ers in IT-land die niet direct voor logisch/kritisch nadenken in de wieg zijn gelegd maar ook moeten “groeien” volgens hun baas (die het zelf met mavo moet doen, en natuurlijk heel veel praktijkervaring, dat wel).