DNSSEC: nóg veiligere DNS met een digitale handtekening

0
338
DNSSEC: nóg veiligere DNS met een digitale handtekening

Dit bericht verscheen eerder bij Tuxis

Met een gratis SSL-certificaat kan een aanvaller ook een groen slotje tonen. Naast het omleiden van een bezoeker naar een malicieuze website, wordt ook de indruk gewekt dat de site betrouwbaar is.

De oplossing voor DNS-aanvallen: DNSSEC

Door de jaren heen zijn manieren bedacht om de impact van DNS-aanvallen te beperken. Eén van deze manieren is het gebruiken van een willekeurige poort voor iedere DNS-aanvraag. Een aanvaller moet hierdoor niet alleen de QID weten, maar ook de poort raden. Er zijn 65535 mogelijke poorten, waardoor een DNS-aanval een stuk lastiger wordt. Toch is het van belang om deze DNS-aanvallen anno 2019 het hoofd te bieden. DNS is ten slotte een kritiek onderdeel van infrastructuur.

Hier komt DNSSEC (voluit ‘DNS Security Extensions’) om de hoek kijken. DNSSEC is een cryptografische beveiliging bovenop het traditionele DNS. Met DNSSEC worden domeinnamen door de DNS server met een digitale handtekening ondertekend. De DNS server stuurt een IP-adres alleen terug als de handtekening geldig is. Een onjuist IP-adres uit een ‘cache poisoning attack’ heeft geen geldige handtekening en wordt niet teruggestuurd naar de client.

Het resultaat: alleen legitieme IP-adressen worden teruggestuurd naar de client. Met DNSSEC ondertekende domeinnamen zijn dus immuun voor het gros van de DNS-aanvallen. Het is dan ook niet gek dat de overheid is begonnen met het uitrollen van DNSSEC op overheidssites.

Nieuw: DNSSEC bij Tuxis

De integriteit van gegevens in DNS is zeker met DNSSEC. Daarom worden nieuwe internetstandaarden zoals CAA en DKIM bovenop DNSSEC ontwikkeld. Daarom hebben we bij Tuxis in de afgelopen maanden voorbereidingen getroffen om DNSSEC te implementeren. We gaan bestaande domeinnamen ondertekenen met DNSSEC en nieuwe domeinnamen worden ook automatisch ondertekend. Tuxis regelt het hele proces, dus u hoeft niets te doen als uw domeinnamen en DNS bij ons zijn ondergebracht.

Naast nog betere DNS-beveiliging krijgt u met DNSSEC op uw domeinnaam ook een hogere score op https://internet.nl/. Deze website controleert of uw website zo veilig mogelijk is. Zo hebben we voor https://dadup.eu/ DNSSEC opgeleverd, HTTPS ingeschakeld en de juiste security headers toegevoegd. We scoren 100%.

Wilt u ook domeinnamen registreren met veilige en betrouwbare DNS?
Tuxis levert domeinnamen met DNSSEC vanaf de adviesprijs van € 15,00 per jaar (DNS gratis inbegrepen)

Registreer uw domeinnaam nu

Dit bericht verscheen eerder bij Tuxis

Vorig artikelNetdata, thanks but no thanks
Volgend artikelHostingprovider Cyberfusion migreert naar de Private Cloud