Hoe DNSSEC de .nl-zone steeds veiliger maakt

Het domain name system (DNS) is sinds jaar en dag het ‘telefoonboek’ van het internet. Elke keer wanneer je in je browser een domeinnaam invoert vertaalt het DNS dit naar ip-adressen, via een hiërarchisch systeem van authorative DNS-servers. Het DNS is echter ook kwetsbaar voor ‘man in the middle’-aanvallen waarbij aanvallers DNS-gegevens manipuleren, bijvoorbeeld om gebruikers naar een valse website te sturen. Al in de jaren negentig is daarom door verschillende partijen gestart met de ontwikkeling van DNSSEC, een cryptografische beveiliging voor het DNS-protocol. Bij gebruik van DNSSEC vindt validatie van adresinformatie plaats op meerdere niveaus, aan de hand van publieke en private beveiligingssleutels. Stel, je wil www.jebank.nl bezoeken. Om het juiste ip-adres voor je op te halen volgt een serie veiligheidschecks die begint bij een DNS-resolver. Deze valideert vanaf rootniveau de keys van de onderliggende domeinen. Voor de .nl-zone gebeurt dit bij SIDN omdat hier de DNS-keys voor de .nl-domeinen zijn ondergebracht. Deze (ns- en ds-)records worden vervolgens ook gematcht met de informatie die staat op de server die verantwoordelijk is voor www.jebank.nl. Zo ontstaat een keten van vertrouwen die het internet een stuk veiliger zou moeten maken. Op sidn.nl is een meer gedetailleerde beschrijving te vinden van de werking van DNSSEC.

Grote Nederlandse ISP’s lieten de technologie lang links liggen

DNSSEC is een volwassen technologie. Al in 2010 werd voor het rootdomein van DNS de eerste beveiligingssleutel gesigneerd. Je zou zeggen dat domeineigenaren de technologie inmiddels overal hebben omarmd, maar niets is minder waar. Een groot deel van de domeinen maakt er geen gebruik van. Daar is een logische reden voor, zegt Niek Willems, DNS system engineer bij SIDN. “De beveiligingsvoordelen van DNSSEC zijn er vooral voor de eindgebruikers. Voor organisaties die hun domeinen voorzien van een signature brengt het een bepaalde beheerlast met zich mee, en ook risico’s. Want als er iets verkeerd gaat bij het inrichten, wordt je domein onzichtbaar voor de wereld.” Daarnaast is er sprake van een kip-ei-situatie. “Als eindgebruiker maak je gebruik van de resolving nameserver van je provider of soms de organisatie waarvoor je werkt. Een aantal grote providers in Nederland had lang de DNSSEC-validatie niet aan staan. KPN ondersteunt het sinds medio maart 2020, maar VodafoneZiggo heeft het nog niet beschikbaar voor klanten. Hoewel die laatste partij positief tegenover de technologie staat en al jaren aangeeft bezig te zijn met de implementatie ervan, is het nog steeds niet duidelijk wanneer hij precies beschikbaar komt voor klanten. Het gevolg voor nu is dat veel domeinbeheerders op hun beurt de moeite (nog) niet nemen om DNSSEC voor hun domein in te stellen. Dit betreft ook mailservers en beschermende maatregelen tegen spam en fraude zoals SPF, DMARC en DKIM, die in DNS zitten. Al deze technieken zijn kwetsbaar voor man-in-the-middle-aanvallen, en de eindgebruiker heeft baat bij DNSSEC-signing.” Dit laatste schuurt bij ons, omdat er veel aan gelegen is om de status van het .nl-domein als een van de allerveiligste domeinen ter wereld te behouden. Door actief DNSSEC te promoten, maar bijvoorbeeld ook korting te geven aan registrars die hun domeinen bij ons registreren, is inmiddels iets meer dan de helft van alle zes miljoen .nl-domeinnamen DNSSEC-gesigned. Dit is zelfs meer dan het aantal gesigneerde domeinen van .com, zij het met de kanttekening dat wij er al aanmerkelijk langer mee bezig zijn. Wereldwijde statistieken voor verschillende domeinen zijn te vinden via stats.dnssec-tools.org. Wil je weten of domain signatures ook voor jou gevalideerd zijn, dan kun je dit controleren op www.internet.nl, waar je verschillende handige tests uit kunt voeren, waaronder een connectiontest. Je ziet dan snel of DNSSEC ‘aan staat’ en jij daardoor beschermd bent tegen routing naar valse ip-adressen.

Klaar voor sterkere sleutels

Iets wat we overigens zeker niet moeten vergeten, is dat ook services onderling gebruikmaken van DNS en daarom baat hebben bij de beveiliging, voegt Stefan Ubbink, net als zijn collega Willems DNS system engineer bij SIDN, toe. “Als jouw effectenhandel-app een API heeft met een bank of beurs, dan wil je waarschijnlijk gebruikmaken van je eigen validerende resolver en niet afhankelijk zijn van een tussenliggende provider. DNSSEC werkt dan gewoon honderd procent.” Om DNSSEC voor de .nl-zone mogelijk te maken komt er wel het nodige kijken, zoals een specifieke hardware signing module (HSM) voor het maken van de cryptografische hashes en signatures. De .nl-zone bevat al met al zo’n tien miljoen RRSIG-records, die in sommige gevallen binnen vijftien minuten moeten worden gemaakt (RRSIGis het type DNS-record waar een signature in staat). Deze RRSIG/signatures verlopen na een tijdje, maar gelukkig niet allemaal tegelijk. Daar zorgt de signing-software die de HSM aanstuurt voor, aan de hand van een uitgekiende policy die we hebben opgesteld. De HSM bevat veiligheidsvoorzieningen waarmee je voorkomt dat wie dan ook sleutels van je DNS-records kan manipuleren. Onze modules signeren op dit moment hoofdzakelijk met het rsa-mechanisme. “Om de wapenwedloop naar steeds sterkere algoritmen bij te houden, willen we deze op termijn vervangen door nieuwe systemen die beter geschikt zijn voor de opvolger van RSA, elliptic curve. Het voordeel van EC is dat je er per seconde meer signatures mee kunt uitvoeren. Omdat de keys per bit meer security leveren, kun je namelijk met kleinere keys werken.” Hoe werkt de toepassing van DNSSEC voor beheerders die een nieuw domein willen registreren? Dit begint op sidn.nl, waar de beheerder controleert of de gewenste domeinnaam nog vrij is. Is dit niet het geval, dan helpt een suggestietool op sidn.nl bij het zoeken naar een alternatieve naam. Een voorbeeld kan zijn dat bouwbedrijfjansen.nl al vergeven is, waar dit wellicht nog niet het geval is voor aannemersbedrijfjansen.nl. De tool doet daarnaast ook voorstellen op het gebied van beveiliging. Willems: “Wil je als beheerder gebruik gaan maken van DNSSEC, dan krijg je een lijst van registrars die dit kunnen leveren. Vaak zijn dat hostingbedrijven, maar het kunnen ook andere entiteiten zijn.” Een hostingbedrijf draagt zorg voor de DNS-gegevens en het genereren van de keys, meldt het domein aan bij SIDN en levert daar ook een publieke key aan. De nameservers staan ook bij de hostingpartij, tenzij je helemaal zelf je DNS wil doen op eigen nameservers, maar dan moet je wel zelf het keymateriaal aanleveren bij je registrar en ben je zelf verantwoordelijk voor het correct functioneren van de nameservers van je domein.

Let op keymanagement

Op het moment dat wij beschikken over het publieke deel van de sleutel (het DS-record), het domein en de bijbehorende nameservers zijn aangemeld, worden deze gegevens in het domeinregistratiesysteem (DRS) gezet. De meeste organisaties zullen ervoor kiezen hun keys regelmatig te wijzigen. Dit gebeurt echter niet in de parentzone (in dit geval de .nl-zone). Deze bevat een key signing key (KSK) die alleen dient om nieuwe keys (zone signing keys) te signeren. Door het uitfaseren van oude keys kan het daardoor gebeuren dat je als gebruiker met verschillende keys tegelijk signeert. “Keymanagement is dus een belangrijk issue. Dat kan voor domeinbeheerders een reden zijn om DNSSEC niet met een eigen nameserver te gebruiken omdat het dan te complex wordt. Bij hostingbedrijven is dit overigens nooit een probleem. Zij hebben dit proces geautomatiseerd.” Wij beschikken over een aantal systemen die een .nl-zone genereren. Hier begint in feite de ‘signeerstraat’. Een aantal servers in de signeerstraat kijken in de database welke domeinen er zijn, welke nameservers daarbij horen en welke DS-records, en bouwen vervolgens met deze gegevens de zone op. Deze systemen genereren grote files (ongeveer 3GB) met DNS-gegevens met gesignde records. Om denial of service-aanvallen op domeinen te voorkomen is er NSEC (next secure record), een mechanisme in DNSSEC dat ook negatieve antwoorden kan ondertekenen en verifiëren (authenticated denial of existence). Met de meest recente versie hiervan, nsec3, gaat het linken naar de volgende record in de zone met een checksum in plaats van de naam van het volgende record. Hiermee voorkom je zone walking waarbij mensen de inhoud van de totale .nl-zone in kaart proberen te brengen. Willems legt uit: “Het gaat hier om het voorkomen van het door een man-in-the-middle aanreiken van ‘dit domein bestaat niet’-antwoorden. Daardoor kan een eindgebruiker dat domein niet meer gebruiken. Als DNSSEC voor een domein aanstaat en de eindgebruiker maakt gebruik van een validerende resolver, dan zal de man-in-the-middle een gesigneerd ‘dit domein bestaat niet’-antwoord moeten geven, en dat kan hij niet.”

Steeds betere .nl-zone

Als alle signatures zijn opgezet, vinden verificatiestappen plaats. “Dit is in feite een file met alle DNS-gegevens voor de nl-zone erin”, zegt Ubbink. “Hij wordt doorgegeven aan een publicerende nameserver die gelinkt is aan distribuerende nameservers en de ruim dertig anycastservers voor deze zone.” Omdat het telkens signen van zo’n grote zone werk is voor specialistische software, kiezen we ervoor te werken met OpenDNSSEC, waarvoor het samenwerkt met NLnet Labs. Deze opensource-software stuurt individuele records naar de HSM en verzorgt het sleutelmanagement. Verbeteringen aan deze software vinden doorlopend plaats. Willems: “We kijken met name naar het verbeteren van het key-beheer, extra tests en het stroomlijnen van de signeerstraat met nieuwe, sterkere algoritmen. Daar willen we steeds slimmer mee kunnen omgaan. En zo blijven we werken aan het steeds verder beveiligen en verbeteren van de .nl-zone, die nu al een van de allerveiligste ter wereld is.”

Dit kennisartikel verscheen op 25 augustus op Tweakers.nl