Een jaar nadat Kaminsky heeft aangetoond hoe groot het lek in DNS wel niet is, wordt er hard gewerkt aan de implementatie van DNSSEC. Daarbij treden in Nederland drie partijen op de voorgrond, NLnet Labs, SIDN en SURFnet. Gisteren kwam NLnet Labs aan het woord, en vandaag is SURFnet aan de beurt, dat deze week al bekendmaakte dat het klaar is voor DNSSEC.

SURFnet is onderdeel van de SURF-organisatie, waarin zo’n 180 instellingen, zoals universiteiten, Academische ziekenhuizen, bibliotheken en onderzoeksinstellingen met elkaar samenwerken. SURFnet verbindt die instellingen met elkaar door middel van netwerkdiensten en op dit moment zitten er ongeveer 1 miljoen eindgebruikers op dat netwerk. Bij SURFnet is men erg geïnteresseerd in DNSSEC. Roland van Rijswijk, Manager Middleware Services van SURFnet, legt uit waarom.

Cache poisoning

“Wij doen er alles aan om internet veilig te maken voor de bij ons aangesloten instellingen en hun eindgebruikers”, zegt Van Rijswijk. Bij de aangesloten instellingen wordt met hoogwaardige onderzoeksgegevens gewerkt en die worden uitgewisseld over internet. Die data mag niet in verkeerde handen terecht komen. “Ook in de onderzoekswereld is er natuurlijk een grote concurrentiestrijd tussen onderzoekers onderling, dus onderzoekers zijn heel zuinig op hun data.” Cache poisoning is een ideale aanval als je bijvoorbeeld onderzoeksdata wilt stelen zonder dat het slachtoffer daar iets van merkt.

Van Rijswijk: “Als je gaat kijken naar de belangrijkste kwetsbaarheden in DNS en als je gaat kijken naar problemen met integriteit, dan is cache poisoning, dus de Kaminsky-aanval, het grootste risico. DNSSEC is op dit moment de enige oplossing om dat aan te pakken.” Hij rekent voor dat je met een brute force aanval binnen enkele uren een nameserver kunt aanvallen. “Maar als je de tijd neemt en het low key houdt, met bijvoorbeeld maar 100 queries per seconde, als grote isp merk je niet dat zoiets gebeurt, dan heb je binnen zes weken 50 procent kans om de name server te pakken te krijgen. Dan klinkt als heel erg weinig, maar je moet bedenken dat zo’n aanvaller alle tijd van de wereld heeft. Bovendien hoeft hij maar één keer te slagen en hij is binnen.”

Als zo’n aanval eenmaal geslaagd is, kan de aanvaller vertellen dat verkeer voor bepaalde domeinen bij een andere nameserver moet zijn dan de bedoeling is. “Als ik in een cache zet dat men voor .nl niet bij de nameservers van SIDN moet zijn maar bij die van mij, dan kan ik alles wat in de .nl zone staat omleiden”, zegt Van Rijswijk. “Dat kan ik bijvoorbeeld heel selectief doen. Ik kan alleen het e-mail-verkeer nemen of alleen het VoIP-verkeer. Bijna alle informatie die ik dan geef klopt, behalve waar de email naartoe moet. En als ik het echt gemeen wil doen, dan ga ik bijvoorbeeld ieder uur vijf minuten verkeerde antwoorden geven en de rest van het uur geef ik de goede antwoorden. Op het moment dat mensen gaan klagen, is het alweer goed en zullen de helpdeskmedewerkers denken dat er niets aan de hand is.”

DoS-aanvallen

Van Rijswijk gaat verder: “Het hele vervelende van deze aanval is dat het voor eindgebruikers, maar ook voor beheerders heel moeilijk te detecteren is. Eindgebruikers zullen het helemaal niet zien en beheerders zullen echt heel goed moeten weten waar ze mee bezig zijn en dan kunnen ze het misschien zien. Juist omdat het zo moeilijk te detecteren is weten we niet hoe vaak zo’n poging slaagt.”

Met DNSSEC wordt het probleem van de Kaminsky-aanval opgelost. Maar dat wil niet zeggen dat dan alle problemen met DNS de wereld uit zijn. “DNS is ook kwetsbaar voor DoS-aanvallen”, zegt Van Rijswijk. “Als ik een DoS aanval kan uitvoeren waardoor een DNS server niet meer beschikbaar is, dan verdwijnt er een domein van het internet en dat kan een boel schade opleveren. Gebruikers zullen dan zeggen dat internet stuk is.” En een nadeel van DNSSEC is dat de hoeveelheid data die moet worden uitgewisseld veel groter wordt, dus daarmee is het ook kwetsbaarder voor DoS-aanvallen. “Dat is een trade off”, zegt Van Rijswijk. “Maar wij zijn van mening dat het belangrijker is dat je een goed antwoord krijgt dan dat je even geen antwoord krijgt.”

OpenDNSSEC

SURFnet ziet zichzelf als netwerkinnovator, dus loopt het graag voorop bij het ontwikkelen van nieuwe technologieën. De organisatie heeft zijn eigen resolvers dan ook geschikt gemaakt voor DNSSEC-validatie. Daardoor worden de handtekeningen gecontroleerd van alle domeinen die nu al bevestigd zijn met DNSSEC. “Dat betekent dat de gebruikers die op ons netwerk zitten en die van onze caches gebruik maken, er direct van profiteren op het moment dat er weer een domein wordt getekend.”

Maar daar hoort het in feite niet op te houden, aldus van Rijswijk. Bij SURFnet hebben ze een managed DNS omgeving, waarin de aangesloten instellingen hun domein helemaal kunnen beheren. “Wat wij willen is dat het aanzetten van DNSSEC niet meer is dan het plaatsen van een vinkje. Daarom ondersteunen we OpenDNSSEC.”

OpenDNSSEC is nu een jaar in ontwikkeling en de 1.0 release kan nu elk moment uitkomen. Daarna zal er aan een tweede versie gewerkt gaan worden, waarin allerlei featurerequests moeten worden verwerkt die al zijn binnengekomen. “Er is behoorlijk wat interesse”, zegt Van Rijswijk. “En er zijn veel partijen aan het testen.”

SURFnet ondersteunt OpenDNSSEC omdat er op dit moment geen goede tooling bestaat. “Er is wel tooling”, aldus Van Rijswijk, “maar dat zijn erg dure commerciële producten, of open source projecten waar je heel veel moeite voor moet doen en heel veel kennis voor nodig hebt om die te kunnen gebruiken. En als mensen met slechte tools aan de gang gaan, is de kans veel groter dat ze het stuk maken.”

Voor de uitrol van DNSSEC moet er dus goede tooling aanwezig zijn, maar de wil om het uit te rollen is minstens even belangrijk. En juist dat gaat op dit moment erg goed, aldus Van Rijswijk. Vooral in Amerika is er nu veel aan de hand. De Amerikaanse overheid stimuleert DNSSEC doordat ze .gov hebben getekend en doordat ze hebben beloofd om hetzelfde te doen met de root zone. “Ze hebben gezegd dat ze er alles aan doen om dat voor het einde van 2009 voor elkaar te krijgen. Ze kunnen nu niet meer terugkrabbelen. Het gaat gebeuren en dat is een enorme sprong voorwaarts.”

Morgen besluiten we deze serie over DNSSEC met het standpunt van SIDN, de beheerder van de .nl zone. Bron: Techworld