DNSSEC: Bescherm uw domeinnaam

Bescherm uw domeinnaam tegen Cache Poisoning.

In de afgelopen jaren hebben hackers methoden ontwikkeld om DNS-servers te infecteren, waardoor ze het verkeer kunnen omleiden naar hun eigen servers (phishing, etc.) door de antwoorden van de DNS-directory te vervalsen. We raden u aan om uw DNS-servers direct te beschermen met onze DNSSEC-oplossing.

DNSSEC

Inclusief

- Veilige DNS
- Bescherming tegen Cache Poisoning
Kan via uw Control Panel geactiveerd worden

Een domeinnaam bestellen
Verzoek_verzonden_naar_de_DNS_server

Hoe een aanval verloopt en DNSSEC daartegen beschermt

De gebruiker voert het adres www.ovhcloud.com in zijn webbrowser in. Er wordt een verzoek verstuurd naar de DNS-server die het bijbehorende IP-adres terugstuurt: 213.186.33.34.

IP_gevalideerd

De webbrowser kent nu het IP-adres van de server waar de pagina www.ovhcloud.com zich bevindt. Dan stuurt hij een verzoek naar het IP-adres en dit stuurt vervolgens de inhoud van de pagina terug.

Een hacker_ontdekt_een_fout_in_de_DNS_server

Het gevaar: Cache Poisoning

Een hacker heeft een fout in de DNS-server ontdekt. Hij dringt binnen in de server in te voeren en kan het IP-adres van www.ovhcloud.com vervangen door het IP-adres van een andere server die hij heeft: 203.0.113.78.

DNS_geïnfecteerd

Wanneer de gebruiker het adres www.ovhcloud.com invoert, gaat zijn browser naar de DNS-server om het bijbehorende IP-adres op te halen. De geïnfecteerde DNS retourneert het adres dat de hacker heeft ingevoerd: 203.0.113.78.

Pagina_gehackt

De browser gebruikt dit IP-adres om de inhoud van de site op te halen. De server van de hacker stuurt een pagina die lijkt op www.ovhcloud.com om zijn persoonlijke gegevens te verkrijgen (phishing).

DNSSEC_beveiligt_de_authenticiteit_van_de_DNS_respons

Waarvoor dient DNSSEC?

Met DNSSEC kan de authenticiteit van de DNS-respons worden beveiligd. Wanneer de browser een verzoek stuurt, wordt het antwoord met een verificatiesleutel verzonden, die bevestigt dat het geretourneerde IP-adres juist is.

IP_gevalideerd

De gebruiker weet dus zeker dat hij de juiste website bezoekt als hij een door DNSSEC gevalideerd IP-adres ontvangt. Het doel is om inconsistenties in verzoeken te identificeren.

DNS_beschermd_door_DNSSEC

Als een hacker de tabel probeert te wijzigen op een server die met DNSSEC beveiligd is, dan zal de server deze verzoeken weigeren, omdat de verzonden informatie niet ondertekend is.

DNSSEC activeren

Antwoord op uw vragen

Hoe kan ik mijn DNS-server beschermen?

Om deze praktijken tegen te gaan gebruikt DNSSEC de beginselen van asymmetrische cryptografie en digitale handtekeningen om de authenticiteit van de gegevens te waarborgen, evenals een bewijs van niet-bestaan indien de gevraagde registratie niet bestaat en als frauduleus kan worden beschouwd.

DNSSEC activeren

Waar dient een DNS voor?

Een DNS-server wordt gebruikt om het IP-adres te verkrijgen dat overeenkomt met een domeinnaam (URL in het geval van een website). Het is een soort telefoonboek. De DNS-service vertaalt domeinnamen naar IP-adressen en andere typen records. Uw browser heeft het IP-adres nodig om contact op te nemen met de webserver die verantwoordelijk is voor de site die u wilt bezoeken, omdat het IP-adres elke machine die op internet is aangesloten eenduidig identificeert, net zoals een telefoonnummer. Het is een discrete maar cruciale schakel voor de veiligheid op internet. Een typisch voorbeeld van een DNS-server is de BIND-server, die het meest gebruikt wordt op internet.

Momenteel worden IP-adressen voornamelijk geregistreerd als IPv4 en de overstap om IPv6-adressen te gebruiken komt langzaam op gang. Elke combinatie van een domeinnaam met een IP-adres is uniek.

DNS-servers hebben een hiërarchie. Het hoogste hiërarchische middelpunt is de root (meestal vertegenwoordigd door een punt). In een domein kan men dan meerdere subdomeinen aanmaken die zelf delegaties naar subdomeinen kunnen aanmaken, die op andere servers gehost worden. De delegaties creëren dan zones met een eigen hiërarchisch systeem. De domeinen die zich net onder de root bevinden, zijn de primaire domeinen (TLD voor Top Level Domain). De updates worden uitgevoerd op de primaire server van het domein. De zoneoverdracht bestaat uit het repliceren van de records van de primaire server door de secundaire servers.

Waaruit bestaat een zoekactie op een DNS server?

Wanneer een host een domein zoekt, doorloopt hij de gehele DNS-hiërarchie op een iteratieve manier tot aan het specifieke domein. Een internetprovider stelt recursieve servers ter beschikking aan zijn klanten die dergelijke zoekopdrachten uitvoeren. Wanneer deze server een IP-adres zoekt, verzendt de server het verzoek naar de hoofdservers. Deze kiest een server die antwoord moet kunnen geven. Als dat niet het geval is, zal hij een andere kiezen uit de lijst met servers, enzovoort. Het kan gebeuren dat hij meerdere servers raadpleegt voordat hij de server vindt die het verzoek kan beantwoorden.

Er bestaat ook een omgekeerde zoekopdracht (oftewel reverse DNS), waarbij een zoekopdracht wordt gedaan uitgaande van het IP-adres. Dit wordt uitgevoerd door een PTR-record. Dat geeft aan welke hostservernaam bij het adres van de betreffende server hoort. Als dit is opgegeven, moet deze de reverse record van een DNS A- of AAAA-record bevatten. Query's van servers voor online berichten (e-mails, etc.) hebben geen PTR-record, dus is er een grotere kans dat ze niet lukken.

Wat zijn records van een DNS-server?

Tot de andere DNS-records behoort meestal het "Start Of Authority record" (SOA record), dat informatie bevat over de zone: hoofdserver, e-mail met contactgegevens, verschillende tijden waaronder de vervaldatum, het serienummer van de zone, enzovoorts. Het is een soort identiteitsbewijs van de DNS-server. Dit record met DNS-gegevenstypes bevat een serienummer dat telkens wordt verhoogd wanneer het zonebestand wordt gewijzigd.

Er is ook een TXT-record waarmee een beheerder tekst kan aanmaken in een DNS-record. Elk type record is gekoppeld aan een TTL (Time to live) die de levensduur aanduidt, d.w.z. hoe lang het mag worden opgeslagen op een cacheserver. Op dat punt kan DNS cache poisoning plaatsvinden.

Wat is cache poisoning?

Het vergiftigen of vervuilen van de DNS-cache, oftewel DNS Cache Poisoning, is een techniek van hackers die een DNS-server misleidt door hem te laten geloven dat hij een geldig en authentiek antwoord op een verzoek ontvangt. De aldus verontreinigde DNS-server plaatst de informatie in een cache. De gebruikers worden dan doorgestuurd naar dubieuze sites, die bijvoorbeeld kunnen worden gebruikt voor phishing of als een kanaal om een virus te installeren.

De aanvaller maakt meestal gebruik van een kwetsbaarheid van de DNS-server die onjuiste of onnauwkeurige verzoeken accepteert. De slachtoffers verwachten dat zij de gewenste inhoud bereiken, maar worden geconfronteerd met een andere inhoud, die mogelijk gevaarlijk is.

Meestal heeft een DNS-server poort 53. De maximale grootte van een respons is 512 bytes. Als het groter is, dan wordt de query naar tcp 53 omgeleid. Een dergelijke omleiding is echter zeldzaam, omdat providers de mogelijkheid beperken om zo DNS-zones over te dragen.

DNSSEC activeren

Hoe configureer ik een DNSSEC-zone op mijn DNS voor een bij ons gehoste domeinnaam?

Vind alle informatie over het activeren van DNSSEC in de onderstaande handleidingen:
Mijn DNS-zone bewerken
Configuratie van de DNS-server