Advarer om stigende trussel mod DNS-infrastrukturen

Illustration: Scanrail/Bigstockphoto
DNS er ikke designet til at være specielt modstandsdygtig over for misbrug og angreb.

Opdateret kl. 16:27.
Internet Corporation for Assigned Names and Numbers (ICANN), som blandt andet har ansvaret for koordinering af topniveaudomænerne, mener, at der er en igangværende og betydelig sikkerhedsrisiko i centrale dele af DNS-infrastrukturen.

Baggrunden er rapporter om omfattende angreb, hvor DNS-servere kapres eller ‘forgiftes’, og trafikken omdirigeres. Det sker for at kunne aflytte trafikken eller for at levere falske tjenester til brugerne.

Det grundlæggende problem er, at i lighed med rigtig meget af den anden aldrende teknologi på internettet er DNS ikke designet til at være specielt modstandsdygtig over for misbrug og angreb. Meget fungerer på samme måde i dag som for 30-40 år siden.

Det er selvfølgelig et problem for hvis DNS ikke fungerer rigtigt, vil meget holde op med at fungere, inklusive web, e-mail og mange mobilapps.

DNSSEC

I midten af nullerne blev der føjet en udvidelse til DNS, som giver tjenesten visse sikkerhedsegenskaber. Denne udvidelse kaldes for DNSSEC og gør det muligt for klientsoftware at opdage uautoriserede ændringer af DNS-information. Det kan forhindre, at brugere ledes på afveje.

For at DNSSEC skal fungere, skal det understøttes af både leverandøren af topniveaudomænet, registratoren, hvor det aktuelle domæne er registreret, og af DNS-serverne.

Herhjemme anbefaler dk hostmaster også DNSSEC-beskyttelse på alle domænenavne.

ICANN publicerede for knap to uger siden en tjekliste, som forskellige aktører i DNS-branchen anbefales at følge, når de skal sikre komponenter i DNS-infrastrukturen mod angreb.

De fleste af punkterne er lige så gyldige, når et gælder drift af andre it-tjenester.

Cloudflare skrev i september sidste år, at ynkelige tre procent af hjemmesiderne ejet af Fortune 1000-selskaberne var beskyttet med DNSSEC på dette tidspunkt.

For lidt udbredt

I Danmark er det 1,88 procent af det samlede antal domænenavne, der har aktiveret DNSSEC, viser tal fra DK Hostmaster

I Norge ser det noget anderledes ud. Ifølge en oversigt, som Norid publicerede sidste efterår, ligger Norge rigtig godt globalt, når det gælder sikring af domænenavn med DNSSEC.

Tæt på halvdelen af alle norske domæner var sikret med teknologien i maj 2015. Ifølge Norid er andelen nu på 58 procent for .no-domænerne.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lasse Mølgaard

Jeg var fristet til at sige "hvor svært kan det være"? Fordi jeg har set hundrevis af guides som fortæller hvordan man slår DNSSEC til for ens domæne.

DNS serveren for mine egne domæner bliver hostet i byen, så jeg får det meste af DNSSEC foræret, men jeg skulle selv sætte DANE, DKIM, SPF og DMARC op, hvilket var ikke frygteligt kompliceret.

Så nu troede jeg at alt var i skønneste orden, men jeg skulle blive klogere.

Man kan bruge https://en.internet.nl/ til at teste om ens mail, web eller internetforbindelse er sat korrekt op, fordi den tester hele pakken både på IPv4 men også IPv6.

Her fandt jeg så ud af at mine DNS opslag bliver ikke valideret imod DNSSEC. Hverken når jeg bruger Google DNS eller min internet udbyder (Fibia).

... så det må blive et aftenprojekt i nær fremtid. :-)

  • 0
  • 0
Log ind eller Opret konto for at kommentere