Open-sourceproject streeft naar een veilige DNS-beveiliging

Een groep ontwikkelaars heeft open-source software uitgegeven die beheerders helpt om het adresseringssysteem van internet minder kwetsbaar te maken voor hackers.

De software, OpenDNSSEC genaamd, automatiseert veel taken geassocieerd met de implementatie van DNSSEC (Domain Name System Security Extensions), een reeks protocollen waarmee DNS-records (Domain Name System) een digitale handtekening kunnen dragen, zegt John A. Dickinson, een DNS-consultant die aan het project werkt.

Met DNS-records kunnen websites van een naam worden vertaald in een IP-adres (Internet Protocol), dat door een computer kan worden opgevraagd. Maar het DNS-systeem heeft verschillende fouten uit het oorspronkelijke ontwerp die steeds meer het doelwit worden van hackers.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Door te knoeien met een DNS-server is het mogelijk om een gebruiker om de juiste website-naam in te typen, maar wordt doorverwezen naar een frauduleuze site, een type aanval genaamd cache poisoning. Dat is een van de vele zorgen die zorgen voor een beweging voor ISP's en andere entiteiten die DNS-servers draaien om DNSSEC te gebruiken.

DNSSEC maakt DNS-records cryptografisch ondertekend en die handtekeningen worden geverifieerd om ervoor te zorgen dat de informatie juist is. De goedkeuring van DNSSEC werd echter afgeremd door de complexiteit van de implementatie en een gebrek aan eenvoudigere hulpmiddelen, zei Dickinson.

Om DNS-records te ondertekenen, gebruikt DNSSEC cryptografie met openbare sleutels, waarbij handtekeningen worden gemaakt met behulp van een publieke en private sleutel en geïmplementeerd op een zoneniveau. Een deel van het probleem is het beheer van die sleutels, omdat ze periodiek moeten worden vernieuwd om een ​​hoog niveau van beveiliging te behouden, zei Dickinson. Een fout bij het beheer van die sleutels kan grote problemen veroorzaken, wat een van de uitdagingen voor beheerders is.

OpenDNSSEC stelt beheerders in staat om beleid te maken en vervolgens het beheer van de sleutels te automatiseren en de records te ondertekenen, aldus Dickinson. Het proces omvat nu meer handmatige interventie, wat de kans op fouten vergroot.

OpenDNSSEC "zorgt ervoor dat de zone op juiste en juiste wijze ondertekend blijft volgens het beleid op permanente basis," zei Dickinson. "Dit alles is volledig geautomatiseerd, zodat de beheerder zich kan concentreren op het doen van DNS en de beveiliging op de achtergrond kan laten werken."

De software heeft ook een functie voor sleutelopslag waarmee beheerders sleutels in een hardware- of beveiligingssoftwaremodule kunnen bewaren, een extra beveiligingslaag die ervoor zorgt dat toetsen niet in de verkeerde handen terechtkomen, zei Dickinson.

De OpenDNSSEC-software is beschikbaar om te downloaden, hoewel deze wordt aangeboden als een technologievoorbeeld en in de toekomst nog niet zou moeten worden gebruikt productie, Dickinson gezegd. Ontwikkelaars zullen feedback verzamelen over de tool en in de nabije toekomst verbeterde versies vrijgeven.

Vanaf eerder dit jaar werden de meeste topleveldomeinen, zoals die eindigend op ".com", niet cryptografisch ondertekend en ook niet. in de DNS-hoofdzone, de hoofdlijst van waar computers naartoe kunnen gaan om een ​​adres op te zoeken in een bepaald domein. VeriSign, dat is het register voor ".com", zei in februari dat het DNSSEC zal implementeren in alle topleveldomeinen, inclusief.com in 2011.

Andere organisaties zijn ook op weg om DNSSEC te gebruiken. De Amerikaanse overheid heeft zich gecommitteerd om DNSSEC te gebruiken voor zijn.gov-domein. Andere ccTLD's (landcode-topleveldomeinen) in Zweden (.se), Brazilië (.br), Puerto Rico (.pr) en Bulgarije (.bg) maken ook gebruik van DNSSEC. Deskundigheidsdeskundigen beweren dat DNSSEC moet eerder vroeger dan later worden gebruikt vanwege bestaande kwetsbaarheden in DNS. Een van de meer serieuze is door beveiligingsonderzoeker Dan Kaminsky onthuld in juli 2008. Hij toonde aan dat DNS-servers snel kunnen worden gevuld met onnauwkeurige informatie, die kan worden gebruikt voor een verscheidenheid aan aanvallen op e-mailsystemen, software-updatesystemen en wachtwoord herstelsystemen op websites.

Hoewel er tijdelijke patches zijn geïmplementeerd, is dit geen langetermijnoplossing omdat het net langer duurt om een ​​aanval uit te voeren, volgens een whitepaper die eerder dit jaar is gepubliceerd door SurfNet, een Nederlandse organisatie voor onderzoek en onderwijs. SurfNet behoort tot de ondersteuners van OpenDNSSEC, waaronder ook de ".uk" -registratie Nominet, NLnet Labs en SIDN, het ".nl" -register.

Tenzij DNSSEC wordt gebruikt, "de basisfout in het Domain Name System - dat er is geen manier om ervoor te zorgen dat antwoorden op vragen echt zijn - blijft, "aldus de krant.