DNSSEC-beheer steeds eenvoudiger

Sinds de ontdekking van de ‘Kaminsky bug’ in 2008, is er veel te doen geweest rondom de beveiliging van het ‘Domain Name Sytem’ (DNS). Daar waar de bedreigingen tot dan toe voornamelijk werden gezien als een puur theoretisch risico, werden ze in 2008 ineens harde realiteit. Het DNS, een onmisbare pijler onder het internet, was in gevaar! Aan een oplossing, DNSSEC, werd in die dagen al ruim een decennium gewerkt, maar deze beveiligingsuitbreiding op het DNS werd slechts door weinigen echt gebruikt. Er bestond veel koudwatervrees. DNSSEC zou complex zijn en een operationele nachtmerrie.

ICANN neemt het voortouw
Maar in de zomer van 2008 veranderde dit beeld. DNSSEC werd algemeen gezien als de enige juiste oplossing tegen bedreigingen zoals de ‘Kaminsky bug’. Dus wie zijn DNS ècht veilig wilde maken, kwam niet onder DNSSEC uit. Dat zag ook ICANN, de beheerder van de rootzone, in. Na grondige voorbereidingen, werd in juli 2010 de rootzone beveiligd met DNSSEC. Daarna ging het snel. De .nl-zone volgde een maand later en inmiddels zijn de meeste grote top-level domeinen, waaronder .com, ‘gesigneerd’ met DNSSEC.

DNSSEC wordt gemeengoed
Er is dus in betrekkelijk korte tijd op grote schaal ervaring opgedaan met DNSSEC en daardoor begint het geleidelijk een gemeengoed te worden. Was DNSSEC een jaar geleden nog voorbehouden aan DNS specialisten en dappere ‘early adopters’, vandaag de dag hoeft de gemiddelde beheerder er niet meer voor terug te deinzen. We zien dat de leveranciers van DNS-software in hoog tempo allerlei voorzieningen hebben ingebouwd, waarmee DNSSEC zonder veel moeite kan worden geactiveerd.

Windows, BIND9, PowerDNS en OpenDNSSEC
Daar waar de ‘DNSSEC deployment guide for Windows Server 2008 R2’ nog een vrij intimiderend document lijkt, zien we dat andere leveranciers het toepassen van DNSSEC echt aanmerkelijk hebben vergemakkelijkt. De meest bekende name server van dit moment, BIND9, levert vandaag de dag allerlei DNSSEC-gerelateerde hulpprogramma’s mee. Tevens kan BIND9 gesigneerde zones geheel automatisch onderhouden. De digitale handtekeningen worden dus door de software wanneer nodig ververst.

De makers van PowerDNS waren lange tijd verklaart tegenstander van DNSSEC. Maar met het recent uitgebrachte PowerDNS v 3.0 leveren ze een prima stuk DNSSEC-software af, waarmee met minimale voorbereidingen en slechts één commando, DNSSEC kan worden geactiveerd in een bestaande situatie. PowerDNS kan op verschillende manieren worden ingezet en is voorzien van baanbrekende nieuwe ‘features’, zoals het ‘online signen’, waarmee je altijd verzekerd bent van verse digitale handtekeningen.

De makers van OpenDNSSEC leveren weliswaar geen name server software, maar wel een prima DNSSEC-product. Vooral het sleutelbeheer van OpenDNSSEC is erg goed, zodat automatische key-rollovers een fluitje van een cent worden.

Vergeet de resolvers niet
Wanneer je besluit om je zone te signeren met DNSSEC, dan kun je met bovengenoemde software dus prima uit de voeten. Maar het signeren van domeinnamen heeft niet zoveel zin als je aan de resolver-zijde de digitale handtekeningen niet valideert. Gelukkig hebben de ontwikkelingen ook daar niet stil gestaan; valideren is zo mogelijk nog simpeler in te regelen dan signeren. Natuurlijk is daar BIND9, dat naast ‘authoritative’ name server ook een prima resolver is. Met een paar handelingen verander je deze in een DNSSEC validerende resolver.

Unbound, van NLnetLabs is ook een prima DNS resolver, met vele mogelijkheden, waaronder natuurlijk de mogelijkheid tot DNSSEC-validatie. Met slechts enkele handelingen is dit aan te zetten.

In vergelijking met de ‘authoritative kant’, hebben resolvers nog minder onderhoud nodig. Omdat zowel BIND9 als Unbound de IETF standaard RFC5501 ondersteunen, zullen key rollovers in de rootzone automatisch worden gedetecteerd, zonder dat de tussenkomst van een beheerder noodzakelijk is. ‘Fire-and-forget’ functionaliteit dus.

Een recent uitgebracht whitepaper van SURFnet legt haarfijn uit hoe makkelijk DNSSEC-validatie op resolvers aan te zetten is: http://www.surfnet.nl/Documents/DeployingDNSSECvalidationv10.pdf


Marco Davids is Technisch Adviseur bij SIDN, de ‘registry’ van het Nederlandse ‘country code top level domain’ (TLD) en dus het bedrijf achter alle .nl domeinnamen.

Over Marco Davids

Marco Davids is Technisch Adviseur bij SIDN.