DNS nog veiliger met DNSSEC
Nieuws

DNSSEC: nóg veiligere DNS met een digitale handtekening

Het DNS (Domain Name System) zorgt ervoor dat computers weten bij welk IP-adres een domeinnaam hoort. Met een domeinnaam van Tuxis kunt u kosteloos gebruikmaken van ons DNS cluster. Deze maand breiden wij ons DNS cluster uit met DNSSEC. Wat is DNSSEC precies en wat zijn de voordelen?

Het risico van traditionele DNS

DNS zorgt voor de vertaling van domeinnamen naar IP-adressen. Doordat DNS één van de eerste internet-protocollen is, is DNS niet helemaal conform met de beveiliging die tegenwoordig op internet verwacht mag worden. Zo zijn er diverse DNS-aanvallen die stammen uit de jaren ’80 toen DNS een gloednieuw protocol was. Wanneer een client (bijvoorbeeld een pc of server) het IP-adres van een website opvraagt met DNS, kan een kwaadwillende het IP-adres in het antwoord aanpassen en zorgen dat u de server van de kwaadwillende aanspreekt i.p.v. de website van uw bank. Zo’n omleiding is niet eenvoudig maar niet onmogelijk.

Deze kwetsbaarheid was tot 10 jaar geleden nog theorie. In 2008 is het veiligheidsexpert Dan Kaminsky gelukt een DNS-aanval in de praktijk uit te voeren. Met deze kwetsbaarheid kan een nietsvermoedende bezoeker naar een IP-adres van een aanvaller worden gestuurd.

‘Cache poisoning’ als DNS-aanval

Eén van de manieren om een DNS-aanval uit te voeren is met een ‘cache poisoning attack‘. Bij dit type aanval kan een aanvaller zijn eigen IP-adres naar een DNS server sturen. De DNS server beantwoord aanvragen voor een domeinnaam vervolgens met het IP-adres van de aanvaller. Deze aanval gaat als volgt in zijn werk:

DNS is gebaseerd op het UDP-protocol. Door de wijze waarop UDP werkt, kan een client antwoorden ontvangen én terugsturen. Omdat iedereen antwoorden terug kan sturen, kan een kwaadwillende zijn eigen IP-adres naar een DNS server sturen om bezoekers om de tuin te leiden.

Stel: een aanvaller stuurt het IP-adres ‘127.0.0.1’ voor de domeinnaam ‘nu.nl’ naar een DNS server. Een verouderde DNS server zal het IP-adres blindelings aannemen, en vertelt clients dat ‘nu.nl’ zich bevindt op het IP-adres ‘127.0.0.1’. Op het IP-adres van de aanvaller kan bijvoorbeeld een phishing-site van een kwaadwillende draaien, terwijl de bezoeker denkt dat hij gewoon op ‘nu.nl’ is beland.

DNS Cache Poisoning: DNSSEC is hier de oplossing voor
Technische werking van ‘cache poisoning’

DNS-aanval bij recente DNS servers

De beveiliging van DNS servers is sterk verbeterd sinds de introductie van het DNS-protocol. ‘Cache poisoning’ is tegenwoordig stukken lastiger uit te voeren. Het is niet meer mogelijk om blindelings een IP-adres naar een DNS server te sturen. Een aanvaller moet tegenwoordig minimaal een zogenaamd ‘QID’ meesturen. Een QID is een willekeurig ID die iedere DNS-aanvraag toegewezen krijgt.

Stel: een client vraagt het A-record voor ‘www.nu.nl’ op, dan krijgt deze aanvraag bijvoorbeeld de QID ‘2133’. De volgende aanvraag krijgt weer een willekeurig QID zoals ‘52319’. De DNS server neemt een IP-adres aan als een QID van een huidige aanvraag wordt meegestuurd. Een aanvaller moet dus één van deze QID’s weten zodat de DNS server zijn malicieuze IP-adres aanneemt. Als een aanvaller echter een willekeurige QID kiest, dan kan hij proberen een IP-adres constant met dezelfde QID te versturen. Na verloop van tijd zal het QID overeenkomen met een antwoord, en stuurt de DNS server het onjuiste IP-adres naar alle clients.

Voorbeeld van ‘DNS cache poisoning’

Met een gratis SSL-certificaat kan een aanvaller ook een groen slotje tonen. Naast het omleiden van een bezoeker naar een malicieuze website, wordt ook de indruk gewekt dat de site betrouwbaar is.

De oplossing voor DNS-aanvallen: DNSSEC

Door de jaren heen zijn manieren bedacht om de impact van DNS-aanvallen te beperken. Eén van deze manieren is het gebruiken van een willekeurige poort voor iedere DNS-aanvraag. Een aanvaller moet hierdoor niet alleen de QID weten, maar ook de poort raden. Er zijn 65535 mogelijke poorten, waardoor een DNS-aanval een stuk lastiger wordt. Toch is het van belang om deze DNS-aanvallen anno 2019 het hoofd te bieden. DNS is ten slotte een kritiek onderdeel van infrastructuur.

Hier komt DNSSEC (voluit ‘DNS Security Extensions’) om de hoek kijken. DNSSEC is een cryptografische beveiliging bovenop het traditionele DNS. Met DNSSEC worden domeinnamen door de DNS server met een digitale handtekening ondertekend. De DNS server stuurt een IP-adres alleen terug als de handtekening geldig is. Een onjuist IP-adres uit een ‘cache poisoning attack’ heeft geen geldige handtekening en wordt niet teruggestuurd naar de client.

Het resultaat: alleen legitieme IP-adressen worden teruggestuurd naar de client. Met DNSSEC ondertekende domeinnamen zijn dus immuun voor het gros van de DNS-aanvallen. Het is dan ook niet gek dat de overheid is begonnen met het uitrollen van DNSSEC op overheidssites.

Nieuw: DNSSEC bij Tuxis

De integriteit van gegevens in DNS is zeker met DNSSEC. Daarom worden nieuwe internetstandaarden zoals CAA en DKIM bovenop DNSSEC ontwikkeld. Daarom hebben we bij Tuxis in de afgelopen maanden voorbereidingen getroffen om DNSSEC te implementeren. We gaan bestaande domeinnamen ondertekenen met DNSSEC en nieuwe domeinnamen worden ook automatisch ondertekend. Tuxis regelt het hele proces, dus u hoeft niets te doen als uw domeinnamen en DNS bij ons zijn ondergebracht.

Naast nog betere DNS-beveiliging krijgt u met DNSSEC op uw domeinnaam ook een hogere score op https://internet.nl/. Deze website controleert of uw website zo veilig mogelijk is. Zo hebben we voor https://dadup.eu/ DNSSEC opgeleverd, HTTPS ingeschakeld en de juiste security headers toegevoegd. We scoren 100%.

Wilt u ook domeinnamen registreren met veilige en betrouwbare DNS?
Tuxis levert domeinnamen met DNSSEC vanaf de adviesprijs van € 15,00 per jaar (DNS gratis inbegrepen)

Registreer uw domeinnaam nu

Algemeen

Oude wijn in een nieuwe zak!

Afgelopen maanden is er op de achtergrond een hoop gebeurd bij Tuxis, wat vorige week officieel is gemaakt. Tuxis Internet Engineering V.O.F. wordt Tuxis B.V. De groei op allerlei vlakken; personeel, omzet, maar ook risico’s, heeft de oprichters van Tuxis doen besluiten om deze stappen te zetten. Hierdoor kunnen we een stabielere omgeving creëren voor onze klanten en ons personeel.

Wat verandert er allemaal?

Nieuws

Tuxis Netwerk Upgrades

Het waren roerige tijden voor AS197731 (de technische naam van het netwerk van Tuxis) in de afgelopen weken. Een aantal keren veroorzaakte het netwerk van de leverancier NL-IX/Joint Transit (JT) onderbrekingen, waardoor onze klanten verbindingen verloren en soms zelfs even niet opnieuw konden opzetten. Tot overmaat van ramp veroorzaakten wij zelf ook nog een storing, wat het aantal storingen in de maanden september en oktober op 3 zetten.

In het kader van ‘geen woorden maar daden’ besloten we de volgende stappen te nemen. We:

Nieuws

Hostingprovider Cyberfusion migreert naar de Private Cloud

Veel hosters beginnen met het huren van VPS’en waarop diensten aangeboden worden. Bij groei blijkt Infrastructuur huren geen toekomstvast, beheersbaar en transparant model. Dan zijn er nog hosters die zelf aan de slag gaan met clusters, storage en datacenters. Hostinginfrastructuur bouwen en onderhouden blijkt al snel een compleet andere tak van sport te zijn.

Nieuws

Tuxis hoofdsponsor van de Tuxis Ede’s Best Run!

Philip (l; Ede’s Best Run) en Mark (r; Tuxis) na ondertekening van het sponsorcontract.

Vlak voor het weekend is onderstaand persbericht de deur uit gegaan. Tuxis is hoofdsponsor van het nationale sportevenement in Ede, de Ede’s Best Run. De Tuxis Ede’s Best Run is een survivalrun; een hardloopevenement met
uitdagende hindernissen. Deze is geschikt voor zowel families als de
geoefende survival-atleet.

Maatwerk

Nieuwe website RD.nl, powered by Tuxis

We mogen Erdee Media Groep (EMG)  feliciteren. Deze week is de vernieuwde website van het Reformatorisch Dagblad, RD.nl, live gegaan! Maar niet alleen hun website is vernieuwd, alle onderliggende infrastructuur is nieuw.

Cluster

In de afgelopen maanden hebben Tuxis en EMG hard gewerkt aan een nieuwe hostingoplossing. Op basis van het Tuxis Cluster Concept hebben we voor EMG een cluster mogen bouwen. Verdeelt over drie locaties in Ede. En omdat voor EMG  bereikbaarheid van de site natuurlijk enorm belangrijk is, is het mogelijk om zelfs bij uitval van twee van de drie locaties door te draaien.

Nieuws

Storage Wars

Storage: NFS, iSCSI, Ceph, ZFS, XFS, EXT4, BTRFS, centraal, lokaal, redundant, enkel, met cluster, zonder cluster. GEK word je ervan. Iedere sysadmin zal het beamen, storage is altijd een probleem. Je moet altijd keuzes maken, en de keuze die je maakt lijkt op dat moment de mooiste optie met het minste risico op downtime en dataverlies. Maar de markt blijft in beweging en er komen nieuwe features, nieuwe ideeën, betere oplossingen.

Nieuws

Internettoegang over glasvezel en DSL

Na veel aanvragen zijn we er nog eens ingedoken. De vraag: Kunnen jullie internettoegang op kantoor leveren? En vanaf nu is het antwoord: Maar natuurlijk kunnen wij dat. En dat zijn fatsoenlijke verbindingen waarbij we gebruik maken van glasvezel of VDSL.

Fatsoenlijke?

Daarmee bedoelen wij transparante verbinding met een lage latency die vanzelfsprekend IPv4 én IPv6 ondersteund. Een verbinding waar wij zelf connectiviteit op kunnen zetten zonder gebonden te zijn aan één infrastructuur leverancier. Met die eisen hadden wij het ons niet makkelijk gemaakt.

Nieuws

Aangepaste openingstijden

Het einde van het jaar komt er weer aan, de kerstbomen en -kaarten vliegen ons allemaal om de oren. Tijd voor wat rust en ontspanning. De laatste twee weken van het jaar -van 21 december 2015 tot en met 1 januari 2016- is Tuxis daarom gesloten.

Natuurlijk blijft onze monitoring 24×7 doordraaien en grijpen we bij eventuele issues direct in. Ook zijn we bereikbaar voor dringende storingen of capaciteitsproblemen, gewoon op ons normale telefoonnummer. Maar voor de minder dringende zaken willen we u verzoeken via e-mail contact met ons op te nemen.

Rest ons u een geweldige kerst en een nog betere jaarwisseling toe te wensen!

Nieuws

Tuxis CDN nog slimmer dankzij PowerDNS

Tuxis is vanaf het begin al tevreden gebruiker van PowerDNS. De nameserver van Nederlandse bodem is snel, stabiel en zit vol flexibiliteit qua backends. Sinds we zijn begonnen met de ontwikkeling van nsedit proberen we ook wel eens wat bij te dragen aan de ontwikkeling PowerDNS. Het is natuurlijk goed dat Open Source Software vaak gratis is, maar iedereen wordt er blijer van als je ook wat bijdraagt. En als je dan toch aan het bijdragen bent mag dat best zijn voor de dingen die je zelf nodig hebt.