Sikkerhedssystemet DNSSEC har til formål, at verificere DNS-processen, så brugere ikke uforvarende snydes over på et falsk phishing-site. Systemet har eksisteret i årevis - men bruges på under én procent af den danske domæner, kunne Version2 i går fortælle.
Mere præcist er 10.000 .dk-domæner ud af 1,3 million sikret med DSNSEC. Og det er der ikke nogen god grund til, vurderer netværksekspert og Version2-blogger Henrik Kramshøj.
»Der er ikke længere nogen undskyldning, man skal bare gøre det,« fastslår han.
»Generelt skal man tænke, at det her er ikke noget man gør for at beskytte sig selv, men for at beskytte sine brugere. Og med alle de dårlige ting, der er, så synes jeg godt, man kunne arbejde for at hjælpe brugerne lidt mere,« tilføjer Henrik Kramshøj.
DNS-hierakiet starter ved det, man kalder roden, som drives af ICANN. Når man beder en browser om at tilgå Version2.dk, starter browseren med at spørge roden, hvem der har ansvar for .dk-domænerne. Roden henviser i dette tilfælde til DK-Hostmaster. Herefter spørges DK-Hostmaster, hvem der har ansvar for Version2, hvor den danske internetadmin henviser til Version2’s navneservere, som så igen oplyser, hvilken IP-adresse webserveren kan findes på. DNSSEC tilføjer en kryptografisk signatur til hvert svar i DNS-processen, som hver for sig igen signeres af niveauet ovenover i hierarkiet. Det vil sige, at det svar, man får fra Version2, kan kontrolleres hos DK-Hostmaster, og DK-Hostmasters svar kan kontrolleres hos ICANN.DNSSEC
Historisk besværligt
DNSSEC-systemet har tidligere lidt under diverse tekniske udfordringer, som har gjort det mere bøvlet og mindre attraktivt at implementere, fortæller Henrik Kramshøj.
»For det første var roden af internettet ikke signeret tidligere,« indleder han.
»Og det gør det bøvlet at signere et domæne, hvor roden af internettet og toplevel-domænet ikke er signeret. Men det har det efterhånden været i flere år. Og det vil sig at TLD’er, vi bruger i dagligdagen i Danmark - .com, .net, .dk osv - alle understøtter DNSSEC. Så det er på plads,« fastslår Henrik Kramshøj.
Et andet problem, der muligvis har givet protokollen et dårligt ry, var, at algoritmerne tillod et såkaldt zone transfer. DNSSEC-systemet kan endegyldigt fortælle, at et domæne er validt.
Men det kan også fortælle, hvornår et hostnavn ikke findes. Det betyder, at en hacker kan ‘walk the zone’ og på den måde kortlægge hele DNS-zonen. Den viden kan i sidste ende bruges i et angreb.
Det problem er dog også blevet fikset, fordi hele DK-zonen nu er signeret med NSEC3, der blokerer for zone-walking, forklarer Kramshøj.
»Softwarepakkerne er også modne - alle vores softwareimplementeringer understøtter det. Så i det operationelle er der heller ikke længere nogen forhindringer,« fastslår han.
Falske emails og IP-adresser
DNSSEC udvider den almindelige DNS-proces med en signatur, der gør, at browseren kan verificere, at oplysninger fra for eksempel navneserveren er korrekte. Det gør det langt mere vanskeligt for it-kriminelle at lokke brugere over på et phishing-site under dække af en legitim hjemmesiden.
Det er også brugbart i lande - som f.eks. Danmark - hvor ISP’er kan udføre en såkaldt DNS intercept - en manøvre, hvor en forkert IP-adresse returneres på et DNS-opslag.
Øvelsen kendes bedst som DNS-blokering, der blandt andet har 'spærret' for fildelingstjenester som allofmp3.com og thepiratebay.org.
»Det forhindrer altså også man-in-the-middle-angreb fra myndighedernes side,« forklarer Henrik Kramshøj.
Hvis DNSSEC bruges sammen med DMARC-protokollen, der kan verificere afsenderen af en e-mail, kan du desuden undgå, at dine kunder modtager falske mails i dit navn, siger han.
Infrastruktur skal have overhaling
Henrik Kramshøj erkender, at der kan være flere vigtige emner på todo-listen for domæneejere som IPv6 og TLS-kryptering til domæner.
Ikke desto mindre mener netværkseksperten, at domæneejere bør sætte DNSSEC op i mod toppen af listen.
»Man burde i Danmark lave en generel overhaling af sin infrastrukturen - og det er altså ikke svært det her. Det er en relativ lille ting at gøre,« fastslår han og fortsætter:
»Hvis man synes det er besværligt, så er det nok fordi man selv kører DNS, og det skal man lade være med. Man skal overlade DNS til sin leverandør.«
Det burde desuden ikke betyde noget, om man har en dyr eller en gratis leverandør - DNSSEC vil være understøttet.
»Og hvis du er hos en leverandør, der både er dyr og ikke understøtter DNSSEC, så kunne du overveje at skifte,« siger Henrik Kramshøj.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
