Beheer

Netwerken
Versleuteling

Klein, maar ingrijpend onderhoud aan internet

DNSSEC-aanpassing heeft geen gevolgen voor internetters - als alle beheerders hun werk doen.

© Shutterstock
7 oktober 2016

DNSSEC-aanpassing heeft geen gevolgen voor internetters - als alle beheerders hun werk doen.

Deze maand begint de Internet Committee for Assigned Names and Numbers met een kleine, maar cruciale ingreep aan DNSSEC: de sleutellengte wordt verdubbeld – en dat is voor het eerst.

Bij de introductie van DNSSEC in het hart van internet, in 2010, werd gebruik gemaakt van RSA-sleutels van 1024 bit. Zes jaar later worden sleutels van die lengte niet langer veilig genoeg geacht voor de beveiliging van deze communicatie. ICANN verdubbelt om die reden de lengte van de sleutels naar 2048 bit. Dat was bij de introductie van DNSSEC al zo gepland; er is dus geen concrete aanleiding – lees incident – om de maatregel te nemen.

Het lijkt maar een klein dingetje, het aanpassen van de sleutellengte. Maar het moet wel heel behoedzaam uitgevoerd worden. Bij fouten of niet-aansluitende planningen kunnen websites die op DNSSEC vertrouwen namelijk onbereikbaar worden. En dan gaat het niet om onbelangrijke sites. Juist banken en webwinkels maken gebruik van DNSSEC, omdat met name hun inlog- en betaalpagina’s natuurlijk een gewild doelwit zijn van cybercriminelen.

Beveiligingsextensie voor Domain Name System

De Security Extensions voor internets Domain Name System zijn ontworpen om een heel specifiek probleem tegen te gaan: het vervalsen van internetadressen. DNSSEC is een cryptografische beveiliging voor het DNS-protocol. Clients die deze uitbreiding ondersteunen (inmiddels al het merendeel), ontvangen van de name-server adresinformatie voorzien van een digitale handtekening. Zo wordt de websurfer bij met DNSSEC beveiligde websites gewaarschuwd als hij ergens anders terechtkomt dan hij dacht.

Spoofing voorkomen

Het probleem dat mensen met slechte bedoelingen ervoor konden zorgen dat een webserver op een heel ander internetadres belandde dan zijn bedoeling was, was al sinds begin jaren negentig van de vorige eeuw bekend. Maar het kostte behoorlijk wat tijd om een werkbare oplossing voor het tegengaan van dat ‘spoofing’ te ontwikkelen.

DNSSec werd vanaf 2006 in verschillende landen beproefd. Maar een echt wereldwijde systematiek werd het pas toen de ICANN het in de zomer van 2010 in het ‘root’-systeem van internet implementeerde.

Trage adoptie

De adoptie van DNSSec verloopt traag. Dat heeft eensdeels te maken met de complexiteit van het implementeren ervan. Bij het overhalen van site-eigenaren om de nodige maatregelen te nemen helpt niet, dat verschillende critici de effectiviteit ervan betwijfelen. DNSSec kan websites zelfs minder veilig maken doordat gebruik ervan meer gegevens vrijgeeft dan bij gebruik van DNS zonder extensies. En omdat het meer verkeer oplevert, zou toepassing van de extensies ook nog eens helpen Distributed Denial of Service-aanvallen zwaarder te maken.

ICANN schat dat bij ongeveer een kwart van het internetverkeer DNSSEC wordt toegepast. Van de kleine 5,7 miljoen adressen in het .nl-domein gebruiken ruim 2,5 miljoen DNSSEC.

ICANN is daarom al geruime tijd geleden – in december 2014 – begonnen met de voorbereidingen van de overstap. In de afgelopen maanden zijn al verschillende tests uitgevoerd. Deze maand zet ICANN een belangrijke stap vooruit: de generatie van het centrale sleutelpaar. Dat gebeurt in een zwaar beveiligde omgeving in de Verenigde Staten. Van daaruit wordt de publieke sleutel van het paar verspreid onder internet service providers, hardwarefabrikanten en andere partijen die de sleutel nodig hebben om de DNSSEC-validatie op hun servers te updaten. De geheime sleutel wordt door ICANN veilig achter slot en grendel gehouden.

ICANN publiceert de openbare sleutel in februari 2017 op de website van de Internet Assigned Numbers Authority, en in juli maakt de verdubbelde sleutel zijn opwachting in het Domain Name System. De eerste feitelijke ondertekening met een sleutel van 2048 bit moet in oktober plaatsvinden. De 1024-bitsleutels blijven dan nog 3 maanden geldig, tot januari 2018. Het point of no return wordt bereikt in maart 2018, wanneer de geheime 1024-bitsleutel wordt vernietigd.

Geen problemen verwacht

De planning biedt betrokkenen tijd genoeg om de benodigde aanpassing door te voeren. In principe worden daar geen problemen mee verwacht. De aanpassing komt niet als een verrassing, en veel systemen zijn zo geconfigureerd dat ze de nieuwe sleutel automatisch ophalen zodra die beschikbaar is. Maar het is wel zaak voor beheerders en ontwikkelaars om te checken of dat ook op alle systemen onder hun beheer zo is ingesteld, en goed werkt. Daarbij moeten ze met name ook bedacht zijn op de consequenties van de verlenging van de antwoorden van DNS-lookups. Grote DNS-antwoorden bereiken hun bestemming niet altijd goed door IP-fragmentatie. Routers en firewalls kunnen daarbij met name spelbreker zijn. Verisign heeft daarvoor een test ontwikkeld. Als iedereen zijn zaakjes op orde heeft, zullen de internetters van de hele operatie niets merken.

Er staat ook al een volgende verdubbeling op stapel: in 2022 wordt de sleutel opnieuw versterkt, is de planning nu.

Zie ook Beheer op AG Connect Intelligence
Reactie toevoegen