DNS nog veiliger met DNSSEC
Nieuws

DNSSEC: nóg veiligere DNS met een digitale handtekening

Het DNS (Domain Name System) zorgt ervoor dat computers weten bij welk IP-adres een domeinnaam hoort. Met een domeinnaam van Tuxis kunt u kosteloos gebruikmaken van ons DNS cluster. Deze maand breiden wij ons DNS cluster uit met DNSSEC. Wat is DNSSEC precies en wat zijn de voordelen?

Het risico van traditionele DNS

DNS zorgt voor de vertaling van domeinnamen naar IP-adressen. Doordat DNS één van de eerste internet-protocollen is, is DNS niet helemaal conform met de beveiliging die tegenwoordig op internet verwacht mag worden. Zo zijn er diverse DNS-aanvallen die stammen uit de jaren ’80 toen DNS een gloednieuw protocol was. Wanneer een client (bijvoorbeeld een pc of server) het IP-adres van een website opvraagt met DNS, kan een kwaadwillende het IP-adres in het antwoord aanpassen en zorgen dat u de server van de kwaadwillende aanspreekt i.p.v. de website van uw bank. Zo’n omleiding is niet eenvoudig maar niet onmogelijk.

Deze kwetsbaarheid was tot 10 jaar geleden nog theorie. In 2008 is het veiligheidsexpert Dan Kaminsky gelukt een DNS-aanval in de praktijk uit te voeren. Met deze kwetsbaarheid kan een nietsvermoedende bezoeker naar een IP-adres van een aanvaller worden gestuurd.

‘Cache poisoning’ als DNS-aanval

Eén van de manieren om een DNS-aanval uit te voeren is met een ‘cache poisoning attack‘. Bij dit type aanval kan een aanvaller zijn eigen IP-adres naar een DNS server sturen. De DNS server beantwoord aanvragen voor een domeinnaam vervolgens met het IP-adres van de aanvaller. Deze aanval gaat als volgt in zijn werk:

DNS is gebaseerd op het UDP-protocol. Door de wijze waarop UDP werkt, kan een client antwoorden ontvangen én terugsturen. Omdat iedereen antwoorden terug kan sturen, kan een kwaadwillende zijn eigen IP-adres naar een DNS server sturen om bezoekers om de tuin te leiden.

Stel: een aanvaller stuurt het IP-adres ‘127.0.0.1’ voor de domeinnaam ‘nu.nl’ naar een DNS server. Een verouderde DNS server zal het IP-adres blindelings aannemen, en vertelt clients dat ‘nu.nl’ zich bevindt op het IP-adres ‘127.0.0.1’. Op het IP-adres van de aanvaller kan bijvoorbeeld een phishing-site van een kwaadwillende draaien, terwijl de bezoeker denkt dat hij gewoon op ‘nu.nl’ is beland.

DNS Cache Poisoning: DNSSEC is hier de oplossing voor
Technische werking van ‘cache poisoning’

DNS-aanval bij recente DNS servers

De beveiliging van DNS servers is sterk verbeterd sinds de introductie van het DNS-protocol. ‘Cache poisoning’ is tegenwoordig stukken lastiger uit te voeren. Het is niet meer mogelijk om blindelings een IP-adres naar een DNS server te sturen. Een aanvaller moet tegenwoordig minimaal een zogenaamd ‘QID’ meesturen. Een QID is een willekeurig ID die iedere DNS-aanvraag toegewezen krijgt.

Stel: een client vraagt het A-record voor ‘www.nu.nl’ op, dan krijgt deze aanvraag bijvoorbeeld de QID ‘2133’. De volgende aanvraag krijgt weer een willekeurig QID zoals ‘52319’. De DNS server neemt een IP-adres aan als een QID van een huidige aanvraag wordt meegestuurd. Een aanvaller moet dus één van deze QID’s weten zodat de DNS server zijn malicieuze IP-adres aanneemt. Als een aanvaller echter een willekeurige QID kiest, dan kan hij proberen een IP-adres constant met dezelfde QID te versturen. Na verloop van tijd zal het QID overeenkomen met een antwoord, en stuurt de DNS server het onjuiste IP-adres naar alle clients.

Voorbeeld van ‘DNS cache poisoning’

Met een gratis SSL-certificaat kan een aanvaller ook een groen slotje tonen. Naast het omleiden van een bezoeker naar een malicieuze website, wordt ook de indruk gewekt dat de site betrouwbaar is.

De oplossing voor DNS-aanvallen: DNSSEC

Door de jaren heen zijn manieren bedacht om de impact van DNS-aanvallen te beperken. Eén van deze manieren is het gebruiken van een willekeurige poort voor iedere DNS-aanvraag. Een aanvaller moet hierdoor niet alleen de QID weten, maar ook de poort raden. Er zijn 65535 mogelijke poorten, waardoor een DNS-aanval een stuk lastiger wordt. Toch is het van belang om deze DNS-aanvallen anno 2019 het hoofd te bieden. DNS is ten slotte een kritiek onderdeel van infrastructuur.

Hier komt DNSSEC (voluit ‘DNS Security Extensions’) om de hoek kijken. DNSSEC is een cryptografische beveiliging bovenop het traditionele DNS. Met DNSSEC worden domeinnamen door de DNS server met een digitale handtekening ondertekend. De DNS server stuurt een IP-adres alleen terug als de handtekening geldig is. Een onjuist IP-adres uit een ‘cache poisoning attack’ heeft geen geldige handtekening en wordt niet teruggestuurd naar de client.

Het resultaat: alleen legitieme IP-adressen worden teruggestuurd naar de client. Met DNSSEC ondertekende domeinnamen zijn dus immuun voor het gros van de DNS-aanvallen. Het is dan ook niet gek dat de overheid is begonnen met het uitrollen van DNSSEC op overheidssites.

Nieuw: DNSSEC bij Tuxis

De integriteit van gegevens in DNS is zeker met DNSSEC. Daarom worden nieuwe internetstandaarden zoals CAA en DKIM bovenop DNSSEC ontwikkeld. Daarom hebben we bij Tuxis in de afgelopen maanden voorbereidingen getroffen om DNSSEC te implementeren. We gaan bestaande domeinnamen ondertekenen met DNSSEC en nieuwe domeinnamen worden ook automatisch ondertekend. Tuxis regelt het hele proces, dus u hoeft niets te doen als uw domeinnamen en DNS bij ons zijn ondergebracht.

Naast nog betere DNS-beveiliging krijgt u met DNSSEC op uw domeinnaam ook een hogere score op https://internet.nl/. Deze website controleert of uw website zo veilig mogelijk is. Zo hebben we voor https://dadup.eu/ DNSSEC opgeleverd, HTTPS ingeschakeld en de juiste security headers toegevoegd. We scoren 100%.

Wilt u ook domeinnamen registreren met veilige en betrouwbare DNS?
Tuxis levert domeinnamen met DNSSEC vanaf de adviesprijs van € 15,00 per jaar (DNS gratis inbegrepen)

Registreer uw domeinnaam nu

Nieuws

Tuxis Netwerk Upgrades

Het waren roerige tijden voor AS197731 (de technische naam van het netwerk van Tuxis) in de afgelopen weken. Een aantal keren veroorzaakte het netwerk van de leverancier NL-IX/Joint Transit (JT) onderbrekingen, waardoor onze klanten verbindingen verloren en soms zelfs even niet opnieuw konden opzetten. Tot overmaat van ramp veroorzaakten wij zelf ook nog een storing, wat het aantal storingen in de maanden september en oktober op 3 zetten.

In het kader van ‘geen woorden maar daden’ besloten we de volgende stappen te nemen. We:

Cehp Storage Cluster
Techniek

Ceph is dead, long live Ceph!

Een soortgelijke uitspraak wordt in een aantal landen gebruikt bij opvolging van de koning(in). En ook bij ons is er sprake van!

U zal er niet veel van gemerkt hebben, maar in de afgelopen maanden zijn we bezig geweest met het live migreren van onze storage naar een nieuw Ceph cluster. Het oude cluster (Ceph Hammer) heeft sinds november 2015 geweldige diensten geleverd en hebben we tevens veel dingen bijgeleerd.

Frontpage

New in UrBackup: ZFS Snapshotting

The latest release of UrBackup (2.2.7) has a new feature which we requested and sponsored: ZFS-based filebackups. UrBackup supported image-backups to ZFS volumes before, but we feel that ZFS snapshots make UrBackup better suitable for large environments because it depends on hardlinks less.

When you enable ZFS backups, each backup UrBackup makes has its own filesystem. A following backup will be created with the last backup as ‘ZFS origin’, so all files that were unchanged are already in place. New files will be added, changed files overwritten and removed files deleted. Removing an old backup is as simple as removing the snapshot.

Techniek

Released in the wild: ypconfig

Last Friday, I gave a presentation (Dutch) on the `Lekker Weer NLNOG 2017` afternoon. Subject of my presentation was the project I did for ourselves, building our new 10Gbit routers.

Most important task in the project was to be able to reliably configure network interfaces using a `commit && confirm || rollback` method. As far as I could tell, there was no such tool, hence I created it.

Today, we released it into the wild `ypconfig`. We changed the license to BSD-2 to be as permissive as possible but without loosing the credits. Feel free to use, abuse and improve ypconfig!

PS: ypconfig would not be possible without `pyroute2`.

Nieuws

Storage Wars

Storage: NFS, iSCSI, Ceph, ZFS, XFS, EXT4, BTRFS, centraal, lokaal, redundant, enkel, met cluster, zonder cluster. GEK word je ervan. Iedere sysadmin zal het beamen, storage is altijd een probleem. Je moet altijd keuzes maken, en de keuze die je maakt lijkt op dat moment de mooiste optie met het minste risico op downtime en dataverlies. Maar de markt blijft in beweging en er komen nieuwe features, nieuwe ideeën, betere oplossingen.

Techniek

IoT gecertificeerde verbindingen

U bent het wel gewend, als wij iets doen, dan doen we het goed. Tuxis is de eerste in Nederland waar u terecht kunt voor internetverbindingen over glasvezel en VDSL met een IoT certificering van ICSA labs! ICSA labs is de certificerende instantie voor onze verbindingen. Zij hebben de verbindingen uitvoerig getest en geconcludeerd dat zij een ICSA labs certificering waardig zijn. En daar zijn wij natuurlijk best trots op.

Als wij nu niets zouden doen met IoT bestaan we over een paar jaar niet meer!

IoT, wat was dat ook alweer?