Nucleus is steeds in de weer met technologische vernieuwing, zeker als die deel uitmaakt van een beter, stabieler en veiliger Internet.

DNSSEC draagt daar zeker toe bij. Dankzij DNSSEC kan een domein nu met zekerheid resolven naar het correcte IP. Sinds enkele maanden zijn de root servers van ICANN uitgerust met DNSSEC en DNS.be is deze week gevolgd.

Dit betekent dat de ganse ketting nu van bovenaf tot op ieder .be domein veilig kan gesteld worden voor problemen zoals DNS cache poisening. Een DNSSEC domein zal voor veel klanten die zekerheid willen hebben over hun domein, een extra bescherming bieden tegen misbruik.
Dergelijk protocol moet voorkomen dat hackers ongemerkt surfers van de website van hun keuze afleiden naar een ‘look-alike’ website en zo trachten paswoorden en andere confidentiële informatie te verkrijgen.

Nucleus is als pionier in de hosting sector altijd bezig om voor haar klanten de meest veilige infrastructuur aan te bieden. DNSSEC kan daar alleen maar aan bijdragen en daarom hebben we deze nieuwe technologie na een uitvoerige voorafgaande testperiode geïmplementeerd van zodra DNS.be zelf live ging met hun systeem.

We hebben onmiddellijk ons hoofddomein gesigned en onze nameservers volledig aangepast. Zo zijn we de eerste Belgische provider die hiermee een belangrijke stap neemt om het Internet en de hosting sector een stuk veiliger te maken.

Nucleus zal deze technologie de komende weken verder voorstellen aan haar klanten en hen aanmoedigen deze extra beveiligingsstap te implementeren.

Waarom DNSSEC nodig is

Als u thuis, of vanop kantoor, naar een bepaalde website surft, gebeurt er op de achtergrond heel wat om dat mogelijk te maken. Eén van die zaken is wat men in jargon “DNS resolving” noemt.

Wat betekent dit nu net? Laten we het verduidelijken met een voorbeeld. Als u naar de website van Dexia wil surfen, typt u in uw browser www.dexia.be, en de correcte website van de bank Dexia wordt getoond. Althans, dat denkt u. Eigenlijk vertaalt men die URL, www.dexia.be, naar een IP adres dat bij de organisatie “Dexia” hoort. Communicatie tussen computersystemen verloopt immers niet op basis van zo’n domeinnamen, maar op basis van IP adressen.

Het huidige systeem van DNS (het feitelijke omzetten van bv. www.dexia.be naar een IP) dat we nu gebruiken kent zijn oorsprong in de begin jaren 1970, toen het internet nog een gesloten gemeenschap was van universiteiten en overheid instanties. Omdat het een gesloten gemeenschap was, vertrouwden computersystemen elkaar ook. Er was nog geen sprake van criminelen op het internet.

Vandaag is de situatie volledig anders, en moeten we op alle manieren beschermd worden op het internet. Een zwakke schakel daarin blijft DNS. Het systeem van zo’n 20 jaar geleden heeft al heel wat veranderingen meegemaakt, maar de beveiliging ervan kreeg pas de laatste jaren meer aandacht. Een oplossing om dit hele systeem nu te gaan beschermen ligt in DNSSEC – waarbij het laatste deel (SEC) verwijst naar “security”.

DNSSEC kunnen we gebruiken om de oorsprong van het IP adres dat we terugkrijgen van bv. www.dexia.be te valideren. We kunnen daarmee garanderen dat u het correcte IP van Dexia zelf krijgt, en niet dat van een crimineel die mogelijk met uw verbinding knoeit. Het is pas sinds enkele weken dat dit nu ook mogelijk is voor domeinen die zich in de “.BE” zone bevinden.

Hoe werkt het nu net?

Om dit alles nu mogelijk te maken, wordt elk DNS record digitaal signeerd. Elk van deze records kan via een “chain of trust” getraceerd worden tot aan de root zone, om te garanderen dat u het correcte record terug krijgt.

Bij elke query die gelanceerd wordt op een nameserver, komt buiten het opgevraagde Resource Record (de gekende A, CNAME, MX, TXT, … records), ook een RRSIG record als antwoord terug. In dat RRSIG record, zit een digitaal gesigneerde versie van het opgevraagde Resource Record. Vervolgens wordt die digitale handtekening gevalideert tegen een publieke sleutel die in het DNSKEY record zit. Klopt die controle niet, dan geeft de opgevraagde server een NXDOMAIN (of soms een SERVFAIL) als antwoord terug, in plaats van het verwachte record, en kan het gevraagde record niet omgezet worden naar een IP adres. Op dat moment kan het gevraagde systeem niet bereikt worden.

Het werkt dus gelijkaardig aan de veel gebruikte Public/Private Key cryptografie, maar gaat daarbij nog een stap verder. Om namelijk te valideren dat u van de root servers van DNSBE, algemene beheerder van .BE domeinnamen, wel de correcte nameservers terugkrijgt, worden ook die records gevalideerd en gecontroleerd tegen de “root zone”, oftewel de “dot”: “.”. Door die gehele controle, kan er gegarandeerd worden dat er niemand in dit hele proces met de verbinding knoeit, en gegevens vervalst (het “chain of trust” ).

In de praktijk wil dit echter nog wel zeggen dat de caching of resolving nameservers, zoals bv. die van uw ISP, een controle moeten uitvoeren op al die DNSSEC requests. In de praktijk gebeurt dat momenteel nog niet, omdat niemand DNSSEC implementeert (het kip en ei verhaal: men zal pas valideren als DNSSEC in de praktijk gebruikt wordt, en DNSSEC heeft pas zin als er validatie op gebeurt). Pas eens die controle er komt, en de DNSSEC records effectief gevalideerd worden, zal DNSSEC zijn werkelijke waarde kunnen tonen. In die cirkel spelen wij graag een sturende rol, en proberen we de uitrol en acceptie van DNSSEC een handje toe te steken, door alvast onze eigen .BE domeinnamen te signeren.

Gerelateerde berichten
hoe voorkom je dat je gehackt wordt

Voorkomen is beter dan genezen: hoe voorkom je dat je gehackt wordt?

Breng alle cyberrisico’s op technisch en juridisch vlak in kaart en neem de passende technische en organisatorische maatregelen. Een overzicht.

Lees meer

communicatie bij een hack

Hoe moet je communiceren als je gehackt bent?

Hoe ga je als bedrijf, groot of klein, met veel of weinig gegevens, best om met de communicatie omtrent een hack en (eventueel) datalek?

Lees meer

welke juridische stappen na hack

Welke juridische maatregelen moet je nemen na een datalek?

In dit artikel willen we zo concreet mogelijk maken welke juridische stappen je moet ondernemen als je bedrijf geconfronteerd wordt met een datalek.

Lees meer