Diagnose, Ontwerp en Verandering

Naammisbruik: Niets doen is geen optie (meer)!

Doordat bijna alle bedrijven tegenwoordig enorm afhankelijk zijn van internet, is misbruik van DNS namen steeds lucratiever. Vreemd genoeg ontbreekt in veel architectuur en IT ontwerpen een gedegen analyse waaruit blijkt dat genomen risico’s rond naam misbruik acceptabel zijn. Dit kan komen door gebrek aan kennis, of de complexiteit van de materie. Veel online ondernemers of bedrijven die hun klanten online bedienen zijn zich niet bewust van dit technische feit. Vaak blijkt namelijk dat juist iets cruciaals als de afhankelijkheid van DNS bij kwetsbaarheidsanalyse niet goed is meegewogen.

Het DNS (Domain Name System) is een fundamenteel onderdeel van het internet. Het systeem verzorgt de koppeling van IP-adressen naar voor mensen begrijpelijke namen. De opslag en het opvragen van computernamen gebeurt met een wereldwijd systeem van samenwerkende DNS-servers. Deze DNS server communiceren weer met elkaar via het DNS-protocol. De kern van het DNS systeem wordt gevormd door de name-servers. Dit zijn servers die daadwerkelijk IP-adressen omzetten naar domeinnamen. De DNS-naamgeving is hiërarchisch opgebouwd en bestaat uit zones. Zones bevatten domeinnamen of verwijzen door naar een onderliggende zones. Zo is inmiddels een enorme hiërarchische boomstructuur ontstaan. Bij het ontwerp van het DNS systeem is geen rekening gehouden met misbruik van het systeem. Logisch internet zoals we dit nu kennen was er ook nog niet.

Misbruik van DNS is helaas nog altijd eenvoudig mogelijk. Zo mist het DNS protocol mogelijkheden tot validatie van de integriteit en authenticiteit van de uitgewisselde informatie. Dit betekent dat een ‘gebruiker’ bewust foute informatie niet kan onderscheiden van authentieke informatie. Naast ontwerp omissies bevatten bijna alle DNS implementaties helaas ook implementatie fouten in de software. Vaak ontstaan door een andere interpretatie van de richtlijn (het ontwerp) of door het toevoegen van speciale ‘features’ door een fabrikant of programmeur. Binnen het DNS systeem wordt gebruik gemaakt van caching. Een zeer veel voorkomende manier om een ‘hack’ met DNS uit te voeren is nog altijd chache poisoning. Dit betekent dat bewust foutieve informatie in het DNS cache systeem wordt ingebracht. Deze informatie wordt vervolgens door het DNS systeem zelf door gegeven aan vele DNS servers, omdat het systeem nu eenmaal zo ontworpen is. De meest voorkomende fout binnen bedrijven zijn vaak configuratiefouten. Door de complexiteit van DNS software en alle mogelijke parameters die instelbaar zijn, is een configuratie fout snel gemaakt. Kwaadwillende maken ook hier dankbaar gebruik van.

hack

De impact van DNS misbruik kan enorm zijn voor een bedrijf. Los van het onbereikbaar zijn voor klanten, is misleiding van klanten een vorm die veel voorkomt. Misleiding van klanten heeft grote impact op klanten en op het imago van een bedrijf.

Aangezien het DNS systeem al meer dan 20 jaar bestaat in min of meer ongewijzigde vorm is gelukkig goed bekent hoe misbruik te voorkomen is. Voorwaarde is natuurlijk wel dat vanuit een architectuur of ontwerp duidelijk is:

  1. Of de huidige maatregelen voldoende zijn en
  2. Hoe preventieve maatregelen te nemen zijn.

Door de systeemfouten in het DNS systeem is er inmiddels een alternatief beschikbaar. Dit alternatief, genaamd DNSsec (DNS Secure). DNSSEC beschermt de name-server en het transport van de DNS-informatie. Daarmee wordt internet veiliger voor zowel gebruikers als voor bedrijven die online diensten aanbieden. Helaas wordt DNSsec nog sporadisch gebruikt. Echter gezien het tempo waarop grote organisaties nu DNSsec inzetten, is te verwachtten dat DNSsec de komende jaren wereldwijd een enorme vlucht zal nemen. Alle centrale infrastructuur en faciliteiten voor de ondersteuning van DNSSEC op de .nl-domeinnamen zijn inmiddels volledig operationeel. Sinds medio 2012 is DNSSEC mogelijk voor .nl domeinen. Ondanks deze korte tijd, groeit het gebruik exponentieel en is Nederland nu al koploper in gebruik van DNSSEC.

Meer aandacht vanuit architectuur voor afhankelijkheden in de IT infrastructuur, zoals gebruik van DNS of de verbeterde versie DNSSEC, maakt dat het beveiligingsniveau stijgt en onnodige kosten van simpel te voorkomen beveiligingsincidenten vermeden worden.

poison