Advarer om stigende trussel mod DNS-infrastrukturen

26. februar 2019 kl. 11:394
Advarer om stigende trussel mod DNS-infrastrukturen
Illustration: Scanrail/Bigstockphoto.
DNS er ikke designet til at være specielt modstandsdygtig over for misbrug og angreb.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Opdateret kl. 16:27.
Internet Corporation for Assigned Names and Numbers (ICANN), som blandt andet har ansvaret for koordinering af topniveaudomænerne, mener, at der er en igangværende og betydelig sikkerhedsrisiko i centrale dele af DNS-infrastrukturen.

Baggrunden er rapporter om omfattende angreb, hvor DNS-servere kapres eller ‘forgiftes’, og trafikken omdirigeres. Det sker for at kunne aflytte trafikken eller for at levere falske tjenester til brugerne.

Det grundlæggende problem er, at i lighed med rigtig meget af den anden aldrende teknologi på internettet er DNS ikke designet til at være specielt modstandsdygtig over for misbrug og angreb. Meget fungerer på samme måde i dag som for 30-40 år siden.

Det er selvfølgelig et problem for hvis DNS ikke fungerer rigtigt, vil meget holde op med at fungere, inklusive web, e-mail og mange mobilapps.

DNSSEC

I midten af nullerne blev der føjet en udvidelse til DNS, som giver tjenesten visse sikkerhedsegenskaber. Denne udvidelse kaldes for DNSSEC og gør det muligt for klientsoftware at opdage uautoriserede ændringer af DNS-information. Det kan forhindre, at brugere ledes på afveje.

Artiklen fortsætter efter annoncen

For at DNSSEC skal fungere, skal det understøttes af både leverandøren af topniveaudomænet, registratoren, hvor det aktuelle domæne er registreret, og af DNS-serverne.

Herhjemme anbefaler dk hostmaster også DNSSEC-beskyttelse på alle domænenavne.

ICANN publicerede for knap to uger siden en tjekliste, som forskellige aktører i DNS-branchen anbefales at følge, når de skal sikre komponenter i DNS-infrastrukturen mod angreb.

De fleste af punkterne er lige så gyldige, når et gælder drift af andre it-tjenester.

Cloudflare skrev i september sidste år, at ynkelige tre procent af hjemmesiderne ejet af Fortune 1000-selskaberne var beskyttet med DNSSEC på dette tidspunkt.

For lidt udbredt

I Danmark er det 1,88 procent af det samlede antal domænenavne, der har aktiveret DNSSEC, viser tal fra DK Hostmaster

I Norge ser det noget anderledes ud. Ifølge en oversigt, som Norid publicerede sidste efterår, ligger Norge rigtig godt globalt, når det gælder sikring af domænenavn med DNSSEC.

Tæt på halvdelen af alle norske domæner var sikret med teknologien i maj 2015. Ifølge Norid er andelen nu på 58 procent for .no-domænerne.

Artiklen er fra digi.no.

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
27. februar 2019 kl. 08:54

Jeg var fristet til at sige "hvor svært kan det være"? Fordi jeg har set hundrevis af guides som fortæller hvordan man slår DNSSEC til for ens domæne.

DNS serveren for mine egne domæner bliver hostet i byen, så jeg får det meste af DNSSEC foræret, men jeg skulle selv sætte DANE, DKIM, SPF og DMARC op, hvilket var ikke frygteligt kompliceret.

Så nu troede jeg at alt var i skønneste orden, men jeg skulle blive klogere.

Man kan bruge https://en.internet.nl/ til at teste om ens mail, web eller internetforbindelse er sat korrekt op, fordi den tester hele pakken både på IPv4 men også IPv6.

Her fandt jeg så ud af at mine DNS opslag bliver ikke valideret imod DNSSEC. Hverken når jeg bruger Google DNS eller min internet udbyder (Fibia).

... så det må blive et aftenprojekt i nær fremtid. :-)

3
27. februar 2019 kl. 04:53

Ja, en ting er teori, noget andet er praksis.