Computer Forum voor al uw vragen en problemen.

Register een gratis account om van alle functies op het forum gebruik te kunnen maken.

Problemen met uw computer, of heeft u advies nodig? PC Web Plus helpt u graag verder.

Welkom op PC Web Plus, op dit computerforum kunt u terecht voor gratis hulp bij computerproblemen en allerhande vragen over software, hardware en computerbeveiliging.

Als gast kunt u alleen het forum bekijken en meelezen met de verschillende discussies. U kunt echter geen reacties of commentaar geven op bestaande discussies, of nieuwe onderwerpen op het forum starten met uw vraag of probleem.

Klik op de onderstaande link om geheel gratis een gebruikersaccount op ons forum te registreren. Vanaf dat moment kunt u deelnemen aan de diverse discussies op het forum.

Klik hier om een gratis account te registreren! - of lees onze Welkomstgids door voor meer informatie over het gebruik van het forum.

 
Gebruikersavatar
Maxstar
Administrator
Administrator
Onderwerp Auteur
Berichten: 41271
Lid geworden op: za 27 sep, 2008 10:18:07
Kennisniveau: (3) Expert
OS: Windows 10
AV: Emsisoft Internet Security
Contacteer:

DNSSEC (Domain Name System Security Extensions) Validator

di 12 feb, 2013 18:00:11

DNSSEC is een uitbreiding op het DNS protocol - Domain Name Systeem (DNS), de Security Extension (SEC) moet het gehele DNS protocol veiliger en betrouwbaarder maken.
Wil je weten of jouw Internet Service Provider (ISP) DNSSEC ondersteund, ga dan naar http://dnssectest.sidn.nl/ en klik op "do the test"; Als je een groen vinkje krijgt te zien wordt het reeds door je provider ondersteund.

Afbeelding

Ondersteund je provider geen DNSSEC dan kunt u gebruik van bijvoorbeeld de publieke DNS-servers van Google [8.8.8.8] die sinds eind januari ook validatie-informatie leveren als gebruikers om DNSSEC vragen, maar hierover later meer.

Wat is DNS?
DNS (Domain Name System) is een client-server-systeem, waarbij de gebruiker door middel van het DNS-protocol een aanvraag doet bij de DNS-server en de DNS-server hier weer op antwoord dit word ook wel 'lookup' / 'reverse-lookup' genoemd, de gevraagde domeinnamen worden namelijk omgezet in IP-adressen.
Meer informatie leest u in het artikel Alternatieve DNS servers & DNS Changer-malware

DNSSEC! maakt gebruik van cryptografie en van de zogenoemde Public Key Infrastructure en is een validatietechniek en géén encryptietechniek.
  • Aanbieders van DNS-systemen kunnen een cryptografische sleutel maken en daarmee hun DNS-gegevens digitaal ondertekenen.
  • Deze sleutel bestaat uit twee elementen: Een "geheim element" waarmee de handtekening wordt gemaakt en een "publiek element" waarmee de digitale handtekening gecontroleerd kan worden. Het publieke deel wordt dus (via DNS) publiek bekend gemaakt.
  • Alle antwoorden van DNS-systemen worden daarmee voorzien van een digitale handtekening. Naast het antwoord van de DNS server (http://www.google.nl heeft IP-adres 74.125.132.94) komt er een extra antwoord met de digitale handtekening (dit is de zogenoemde RRSIG, Resource Record SIGnature).
  • Bij de DNS aanvraag wordt de handtekening gecontroleerd met het publieke deel van de sleutel die via dezelfde DNS bekend is gemaakt.

Huidig DNS systeem verouderd
Het huidige DNS systeem blijkt nu dan ook niet langer gewaarborgd tegen al het kwaad wat op het ‘huidige’ internet rondwaart. Fouten in DNS-software, maar ook fouten in het ontwerp van het domain name systeem zelf zorgen er voor dat cybercriminelen in staat zijn het DNS-systeem zodanig te beïnvloeden dat het voor jou lijkt alsof je naar een vertrouwde website surft, maar in werkelijkheid word je omgeleid naar bijvoorbeeld de server van een cybercrimineel zonder dat je daar zelf erg in hebt.
Zie voor meer informatie ook het artikel DNS Changer-malware internet problemen

DNSSEC Validator
Wanneer je Internet Service Provider (ISP) geen DNSSEC ondersteund kan je met behulp van bijvoorbeeld een Firefox plugin toch een DNSSEC validatie uitvoeren.
De betreffende plugin voor Firefox is te downloaden van de volgende locatie: https://addons.mozilla.org/nl/firefox/a ... validator/
  • Wanneer de plugin in Firefox is geinstalleerd klik je op extra > add-ons
  • Kies hier de optie "extensies" in het linker menu.
  • Selecteer de DNSSEC Validator en klik op opties
  • Stel dan de opties in zoals op de onderstaande afbeelding en klik op OK.
Afbeelding

Google DNS servers met DNSSEC-validatie
Eind januari heeft Google de validatie van DNSSEC op de publieke DNS-servers [8.8.8.8] geactiveerd. Dat betekent dat domeinen die voorzien zijn van een digitale handtekening vanaf nu ook daadwerkelijk goed validerende records moeten afleveren.
Google zet nu dus echter ook de AD-vlag in zijn antwoorden als een gebruiker vraagt om DNSSEC validatie. We kunnen dit laten zien door de dig +dnssec optie mee te geven als we een van de twee publieke servers (8.8.8.8 en 8.8.4.4) benaderen:
dig +dnssec +multi +noqr +noauthority +nocmd +nostats @8.8.8.8 MX sidnlabs.nl

;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53500
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; ANSWER SECTION:
sidnlabs.nl.            21475 IN MX 5 kamx.sidn.nl.
sidnlabs.nl.            21475 IN RRSIG MX 8 2 68400 20130223053732 (
                                20130124052016 20853 sidnlabs.nl.
                                cWqFNe9EZTdAhrdZH1nXeh7/U4f9F4IUW8ggE0iNM4U6
                                VcZ5wohDBahKldXjZqAWOy35XN8dorqyWHFNJ76wXelA
                                imJoV/4uq7WV0I7SwA2YFxAFQF+qplv0fUnhbf1kBta6
                                F7zUVg0uTzR/Dio2CT/dI4t5Ml+PRTMMLTuS5Ck= )

Behalve dat Google nu ook het RRSIG record (de digitale handtekening) voor de MX (mail exchange) wordt meegeleverd, zien we ook dat de AD-vlag (Authentic Data) is gezet, dit is te zien aan de regel die begint met ‘;; flags:’.
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

Dit geeft aan dat de DNS server van Google de hele vertrouwensketen "chain of trust" heeft kunnen valideren.

Wat maakt DNSSEC voor mij als internet-gebruiker belangrijk?
Het Internet wordt natuurlijk steeds meer en meer gebruikt als een platform voor de opslag van waardevolle en vooral persoonlijke en privacy gevoelige informatie zoals het uitvoeren van financiële transacties. Denk hierbij maar aan het reeds ingeburgerde internetbankieren, het uitvoeren van online betalingen bij webwinkels en dergelijke.
Inmiddels weet iedereen wel dat hij of zij dergelijke transacties alleen moet uitvoeren bij een vertrouwde en beveiligde web-server.
Maar zodra een kwaadwillende c.q. cybercrimineel de DNS-informatie onderweg weet te veranderen, dan kan natuurlijk de nietsvermoedende internet-gebruiker naar een identieke maar valse web-server gestuurd worden met alle gevolgen van dien en in vaktermen noemt men dat "DNS spoofing".
De nietsvermoedende internet-gebruiker kan dit dan eigenlijk op géén enkele manier zien zonder gebruik te maken van specialistische tools.

Wat merk ik als internet-gebruiker van DNSSEC?
Internet-gebruikers merken in de basis helemaal niets van het gebruik van DNSSEC. Het is namelijk vooral een technische aangelegenheid voor de DNS-resolver die verantwoordelijk is voor de vertaling van domeinnamen naar IP-adressen. Kan de authenticiteit van een ondertekend record niet geverifieerd worden dan wordt de toegang tot de server echter direct afgebroken en resulteert dit voor de gebruiker in een onbereikbaar domein.

Vragen en problemen
Mocht u vragen hebben omtrent DNSSEC of tegen problemen aanlopen dan kunt u voor hulp terecht op ons forum in de sectie Beveiliging & Privacy
Met vriendelijke groet,

Maxstar


Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast