Zittend aan een enorme tafel, staren twee mannen me aan met een triomfantelijke blik in hun ogen. Het zijn Chris Buijs, manager core network services bij netwerkspecialist AXIANS en Cricket Liu, vice president of architecture bij Infoblox en regelrechte authoriteit op het gebied van DNS.

Hup Holland Hup!

Liu begint vrijwel direct over het feit dat hij zo blij is met de Nederlanders. Het .nl domein is dan misschien nog niet gesigneerd met DNSSEC, tot een maand na het signeren van de root, maar Nederlandse organisaties paraderen al tijden aan het voorfront van DNSSEC, zegt Liu met een twinkeling in zijn ogen. Het is me duidelijk dat dit twee mannen zijn die lang met dit project bezig zijn geweest en dat ze trots zijn dat het eindelijk in de afrondende fase is beland.

De Nederlandse contributies waar Cricket het over heeft, zijn twee van de leidende nameservers van DNSSEC. Die zijn voor een groot gedeelte ontwikkeld door Nederlandse organisaties. Unbound bijvoorbeeld is een recursive nameserver met extensieve DNSSEC support, waaraan NLnetlabs veel heeft bijgedragen.

Hèt moment

Liu vervolgt dat de stap die nu genomen gaat worden toch echt wel hèt moment is waar ze al tijden op zitten te wachten en dat wanneer de root daadwerkelijk gesigneerd is, DNSSEC pas echt zijn intrede kan gaan doen.

Toch is er ook daarna nog veel werk te verrichten. Zo moeten de subzones zoals .nl nog gesigneerd worden. Dat moet als eerste gebeuren om DNSSEC helemaal door te kunnen voeren. Verder moeten de mensen die binnen organisaties verantwoordelijk zijn voor DNS ook hun subzones weer signeren en ISP’s moeten de DNSSEC gesigneerde data gaan (en kunnen) valideren. Het kan nog een tijdje duren voordat alles via DNSSEC gaat, maar de keuzevrijheid om DNSSEC in je bedrijf te gebruiken is er straks in ieder geval en dat is maar goed ook, volgens Liu.

Zullen mijn billen oxideren?

Maar waarom zou je ook alweer precies? "Voordat Dan Kaminsky liet zien hoe fundamenteel fout het zit met de beveiliging van het DNS-protocol, zag men niet of nauwelijks de noodzaak in voor het beveiligen van DNS", stelt Liu.

Door cache poisoning bleken hele groepen mensen naar een website gestuurd te kunnen worden die precies lijkt op de beoogde website, maar in werkelijkheid bijvoorbeeld een kopie kan zijn waar criminelen achter zitten, op jacht naar je financiële gegevens. "Daarna was duidelijk dat er iets daadkrachtigs moest gaan gebeuren. DNSSEC is naar aanleiding daarvan naar voren geschoven", zegt Liu.

DNS is dus vandaag de dag een van de belangrijke elementen die je dient te beveiligen als je bekend wilt staan als een veilig bedrijf. “Kun je het je als bank bijvoorbeeld veroorloven om DNSSEC geen prioriteit te geven, wanneer andere banken dat wel doen? Dat is sowieso al een commercieel punt, los van de dreiging van het niet hebben van DNSSEC”, stelt Buijs.

En de billetjes van mijn bedrijf?

“Verder heeft zelfs de FBI DNSSEC hoog op hun lijstje staan van technische oplossingen die we in de gaten moeten houden op het gebied van beveiligen. De vraag is dus niet of een bedrijf DNSSEC gaat toepassen, maar meer wanneer", zegt Buijs.

"Bij kleine bedrijven die niet zoveel transacties doen is het echter minder van vitaal belang", volgens Liu. "Het is wel degelijk iets wat je in de gaten moet houden, maar natuurlijk is DNSSEC voor die bedrijven minder nijpend dan voor banken."

Een groot deel van de mensen zal weinig merken van DNSSEC. “Als je een contract tekent met je ISP en je vinkt het vakje DNSSEC aan, dan heb je het. Ook al weet je zelf niet hoe het werkt. Bij veel dingen is het gewoon een kwestie van het hokje aanvinken en DNSSEC werkt”, zegt Liu.

Complex en tijdrovend

“Voor bepaalde bedrijven is het voorstelbaar dat het te veel tijd kost om het volledig te doorgronden", zegt Buijs. "Het is dan ook redelijk complex spul. Maar de vraag is alsnog of het kwaad kan om het aan te zetten. Als het antwoord nee is, dan moet je het gewoon doen. En als er ontzettend veel tijd in gaat zitten, dan kun je altijd kijken hoe hoog het op je prioriteitenlijst staat. Maar uiteindelijk gaat iedereen toch over, dus hou het in de gaten”, aldus Buijs.

Voordat DNSSEC helemaal doorgevoerd is, zijn we wel een tijdje verder. Het punt is namelijk, als een bedrijf DNSSEC doet, hoeft het bedrijf in Taiwan waar het contact mee heeft dat nog niet te doen. “Maar het is een extra service om wel meteen DNSSEC aan te bieden. Je zorgt ervoor dat klanten, of het nu consumenten zijn of bedrijven, jou kunnen verifiëren. Commercieel gezien is dat het sterkste punt van DNSSEC”, zegt Buijs.

DNSSEC klaar voor gebruik

Doordat de root van het internet op 1 juni 2010 wordt gesigneerd, kun je volgens Buijs zeggen dat DNSSEC vanaf die datum werkt zoals bedoeld in het ontwerp. “De weg er naartoe was ruig, vanwege de gigantische infrastructurele ingrepen, het ontzettend hoge aantal bugs dat weggewerkt moest worden en de vele partijen die betrokken zijn bij de invoering van zoiets groots.”

Het signeren van zoiets als de root of .com is dan ook onwaarschijnlijk veel werk. “Je hebt daar heel wat paardenkracht voor nodig en die was er 3 of 4 jaar geleden echt niet. Het is nu veel makkelijker om DNSSEC beschikbaar te stellen. Verder moeten de ISP’s nog klaar zijn om het te implementeren en dat zijn ze steeds meer. Het is dus een lange weg geweest, maar nu is het mogelijk, en we hebben het voor elkaar gespeeld met z’n allen”, vertelt een opgewekte Buijs.

Bron: Techworld