De kans is groot dat bepaalde internetgebruikers afgesneden worden van het internet op 5 mei. Hoewel verwacht wordt dat het overgrote deel van de internetters er niets van zal merken, kunnen zij die bij een minder oplettende ISP aangesloten zijn of achter slecht ontworpen firewalls schuilgaan gedisconnect worden.

Het probleem

DNSSEC voegt digitale handtekeningen toe aan DNS queries, die ervoor zorgen dat het risico op cyberaanvallen zoals de beruchte Kaminsky aanval drastisch verkleind wordt.

De DNSSEC-standaard wordt momenteel voorzichtig aan uitgerold op de DNS-servers van het internet en in mei zijn alle 13 servers gesigned. De reden dat zich eventuele problemen voor zullen doen is dat normaal DNS-verkeer het UDP-protocol gebruikt. Dit protocol is sneller en vraagt minder van een systeem dan bijvoorbeeld TCP. DNS UDP-pakketjes zijn dan ook niet groter dan 512 bytes.

Om die reden zijn netwerkapparaten soms hardwarematig geconfigureerd om elk UDP-pakketje groter dan 512 bytes te negeren, omdat ze dan volgens hun ingebouwde logica kwaadaardig of simpelweg kapot zijn. DNSSEC-pakketjes zijn echter allemaal groter dan 512 bytes, vanwege de sterkere versleuteling en zullen dus geweigerd worden.

Problemen voor jou?

Er is een manier om te testen of je huidige DNS-resolver DNSSEC aankan. Namelijk door de instructies te volgen op DNS-OARC of door een Java appje te downloaden bij RIPE.

De angst is vooral dat bedrijven die bij onoplettende ISP’s zijn aangesloten problemen krijgen. Voor consumenten is de kans dat het misgaat kleiner, omdat een enkele modem, switch of router op zichzelf niet voor een blokkade van het internet kan zorgen. Wees dus niet bezorgd wanneer je thuis horrorresultaten op je beeldscherm krijgt.

Bron: Techworld