211service.com
DNS-beveiligingsprotocol wint aan momentum
Technologen die pleiten voor betere beveiliging van het domeinnaamsysteem (DNS) hebben vaak voorspeld dat de technologie in de komende twee tot vijf jaar zou worden ingezet. Dat deze voorspellingen al anderhalf decennium aan de gang zijn, is een inside joke in de industrie geworden.
De voorstanders kunnen eindelijk hun dag hebben. Op maandag heeft het bedrijf dat de .com- en .net-registers beheert, VeriSign , zal haar strategie bekendmaken om tegen het eerste kwartaal van 2011 DNS Security (DNSSEC) stapsgewijs te testen en in te zetten voor de twee topleveldomeinen. De Internet Corporation voor toegewezen namen en nummers (ICANN) - de organisatie die de eigenaren van internetinfrastructuur coördineert - heeft al aangekondigd dat het het proces op gang zal brengen door op 1 december de sleutel op het hoogste niveau te creëren voor het verifiëren van domeinnamen.
De twee fundamentele stappen geven DNSSEC een broodnodige boost, zegt Joe Waldron, directeur productbeheer bij VeriSign.
Ik denk dat we op een keerpunt zitten, zegt hij. Tussen nu en 12 tot 18 maanden zult u een aanzienlijke mate van acceptatie zien bij registers, registrars, internetserviceproviders en domeinnaamhouders.
Het domeinnaamsysteem is het fundament waarop het internet is gebouwd. DNS-servers vertalen gemakkelijk te begrijpen domeinnamen, zoals technologyreview.com, naar de numerieke internetadressen die computers en netwerkapparaten gebruiken om met elkaar te communiceren. DNSSEC voegt gegevens toe aan de domeinrecords en voegt cryptografische informatie toe die kan worden gebruikt om te verifiëren dat een adres een geldige bestemming voor een domein is.
Maar omdat DNSSEC wijzigingen vereist in de servers en software die de fundamentele componenten van internet beheren, hebben bedrijven en organisaties zich verzet tegen de invoering ervan.
Zo was er eind jaren negentig veel bezorgdheid over cache-vergiftigingsaanvallen, zei Dan Kaminsky, directeur penetratietesten voor IOActive , een in Seattle gevestigd beveiligingsbedrijf. Veel mensen zeiden dat we er iets aan moesten doen, maar we deden niets.
Bovendien is het beheer van de cryptografische sleutels die nodig zijn om vermeldingen in het domeinnaamsysteem te valideren ingewikkeld. De sleutel van elk domein moet worden gevalideerd of ondertekend door een andere sleutel hoger in de vertrouwensketen. Dot-com-domeinen worden gevalideerd door de sleutel die VeriSign implementeert. Dit wordt op zijn beurt gevalideerd door de DNS key-signing key. ICANN zal samen met het Amerikaanse ministerie van Handel en VeriSign de hoofdsleutel beheren.
Kaminsky heeft waarschijnlijk een impuls gegeven aan de beweging naar DNSSEC. In 2008 spoorde een ernstige bug die door de onderzoeker werd gevonden de industrie aan om samen te werken om een tijdelijke oplossing te implementeren om de DNS-beveiliging te verbeteren. Door de kwetsbaarheid kon een aanvaller DNS-vermeldingen vervalsen, zodat een persoon die op internet surft, bijvoorbeeld zou denken dat hij naar zijn bank ging, maar in werkelijkheid zijn gebruikersnaam en wachtwoord aan gegevensdieven gaf. De industrie sloeg de handen ineen om patches te implementeren; ze waren echter een noodmaatregel, geen echte oplossing.
Hoewel er andere methoden zijn voorgesteld om het domeinnaamsysteem te beveiligen, heeft geen enkele de aandacht en tests gehad die DNSSEC heeft gehad. Kaminsky geloofde in de noodzaak van DNSSEC. In 2009 werd hij een evangelist en sprak hij met iedereen die maar wilde luisteren in een poging de adoptie van DNSSEC te versnellen.
Kaminsky deed mensen beseffen dat er veel fouten in DNS zitten waar ze voorheen niet aan hadden gedacht, zegt Keith Mitchell, technisch directeur van het Internet Systems Consortium, een non-profitorganisatie die de meest populaire DNS-software ontwikkelt, bekend als de Berkeley Internet Noem Daemon of BIND. En DNSSEC is zo'n beetje de enige game in de stad die deze problemen oplost.
Met de creatie van de key-signing key op 1 december legt ICANN de basis van de DNSSEC-infrastructuur. De beheerders van top-level domeinen kunnen andere domeinen ondertekenen waarvoor ze verantwoordelijk zijn. Het aanmaken van de hoofdsleutel vereenvoudigt het beheer van beveiligde DNS-servers en vormt het begin van een hiërarchie van vertrouwen.
Dit is een cruciaal stukje van de puzzel die al een tijdje ontbreekt, zegt Mitchell. Tot nu toe is er geen vertrouwensbankier bij de wortel geweest, wat een probleem was.
VeriSign is niet de eerste die DNSSEC implementeert in een topleveldomein. Zweden implementeerde de beveiligingstechnologie door in 2005 de .se-zonesleutel te ondertekenen. Eerder dit jaar tekende de Public Interest Registry de zonesleutel voor .org.
VeriSign is van plan om de implementatie van DNSSEC langzaam te laten verlopen, te beginnen met kleine proefprojecten, registrars en ISP's te helpen bij het testen van hun implementaties, en snel over te gaan naar meer ambitieuze implementaties, zegt het bedrijf. De sleutel is echter om geen applicaties op internet te breken, zegt Waldron.
We willen ervoor zorgen dat registrars doen wat ze moeten doen om de service beschikbaar te maken voor hun klanten, zegt hij. Bijna elk onderdeel van de internetinfrastructuur wordt beïnvloed door de inzet van DNSSEC. Dit wil je dus niet overhaasten. Het minimaliseren van incidenten is een prioriteit.