DNS-aanpassing geeft beheerders even lucht
Na de uiteenzetting van Kaminsky in juni dat het om de tuin leiden van caching DNS-servers (recursive) veel eenvoudiger is dan altijd werd aangenomen, hebben alle leveranciers van DNS-serversoftware in allerijl UDP source port randomization (UDP SPR) ingevoerd.
Elke keer dat zo’n recursive server een verzoek doet aan een authoritative server van een topdomeinbeheerder zoals SIDN in Nederland, verwacht deze het antwoord terug op dezelfde poort als die voor het verzenden van het verzoek werd gebruikt. Tot voor kort gebruikten DNS-servers daar slechts één poort voor. Door steeds van poort te wisselen, wordt het lastiger, maar niet onmogelijk, voor hackers valse cachebestanden in de database te plaatsen.
Nominum zegt nu de bescherming verder te verbeteren door een gelaagde beveiliging aan te brengen. Elke zoekopdracht naar een domeinnaam wordt geanalyseerd om te voorkomen dat valse verwijzingen in de cache van de DNS-server worden aangebracht. De software biedt mogelijkheden om aanvallen tegen specifieke sites te blokkeren. Wanneer de server merkt dat een poging tot domeinnaamspoofing wordt ondernomen, kan de verwerking van de domeinnaamverwijzing in een speciaal beveiligd kanaal worden uitgevoerd. Ook kan de DNS-server het opgeven van noodzakelijke verwijzingen naar een andere nameserver afhankelijk maken van welke server een verzoek komt. Dat beperkt de mogelijkheden valse verwijzingen te introduceren.
De serversoftware houdt nu tevens in een log bij waar aanvragen voor een domeinnaamverwijzing vandaan komen. Bij geconstateerd misbruik gaat er automatisch een bericht uit naar ISP’s of netwerkbeheerders wier netwerk betrokken is bij het opzetten van een aanval.
“Er zijn allerlei strategieën te bedenken, maar het blijft een wedstrijdje tussen hackers en softwaremakers”, becommentarieert DNS-expert Jaap Akkerhuis van NLnetlabs de aankondiging. “Er is gewoon een probleem met het DNS-protocol waar we niet omheen kunnen. De enige oplossing is de invoering van DNSsec.”
Bij dit protocol voeren servers eerst een autorisatie uit via certificaten alvorens de domeinnaamverwijzingen uit te wisselen. De invoering van DNSsec heeft echter nogal wat voeten in de aarde. Alle authoritative servers moeten een elektronische handtekening krijgen en vervolgens alle daaronder geschaarde verwijsindexen.
Akkerhuis: “Nog beter is het wanneer de rootservers ook ‘gesigned’ worden. Dat zou de complexiteit van de operatie aanzienlijk verminderen.” Daar spelen echter politieke belangen. Zo zou het Amerikaanse bedrijf Verisign graag de regie voeren over die aanpassing, maar veel landen zien de invloed van Amerika op de kern van het internet liever af- dan toenemen. Akkerhuis verwacht dat ‘root’-beheerder ICANN binnenkort met een plan komt voor het toepassen van DNSsec op de rootservers.
Ondertussen groeit het aantal landen dat DNSsec toepast langzaam. Deze week voegde Tsjechië zich toe aan de lijst waar al landen als Zweden, Bulgarije, Brazilië en Puerto Rico op prijken. Akkerhuis: “De UK, Duitsland en Rusland zijn bezig. De Amerikaanse overheid wil dat in 2009 alle .gov-domeinen ‘gesigned’ zijn.”