Veilig DNS blijft een brug te ver

In Nederland ligt het aandeel benaderbare DNS-servers met 28 procent relatief laag. Van deze ‘open’ servers is echter 59 procent nog steeds kwetsbaar voor het Kaminsky-lek. De cijfers komen van The Measurement Factory, dat voor het vierde jaar onderzoek deed naar domain name-servers op internet in opdracht van DNS/DHCP-specialist Infoblox. SIDN doet als beheerder van het .nl-domein vergelijkbaar onderzoek en komt op 30 tot 40 procent niet-gepatchte Nederlandse servers uit. SIDN kan echter door zijn speciale status de patchstatus van zowel open als ‘afgeschermde’ DNS-servers analyseren, waardoor het gemeten percentage ongepatchte servers lager uitvalt. Beheerders die hun DNS-server afschermen, zijn zich blijkbaar iets beter bewust van de noodzaak om te patchen. Bedrijven gebruiken ‘recursive’ DNS-servers om het internetverkeer van en naar het eigen lokale netwerk te regelen. “Veel systeembeheerders zijn bekend met het bestaan van de kwetsbaarheden, maar weten niet dat het over hun systemen gaat. DNS wordt door de complexe configuratie door velen gezien als iets waar je maar beter vanaf kan blijven”, zegt Cricket Liu, autoriteit op het gebied van DNS en vicepresident Architecture bij Infoblox. Hij raadt beheerders aan hun kwetsbaarheid te testen met gratis gereedschap dat te vinden is op internet, onder meer bij Infoblox. De mogelijkheid tot het injecteren van valse verwijzingen in de cache van een recursive server (cache-poisoning) bestaat al jaren maar was in de praktijk een tijdrovende klus. Kaminsky vond een methode waarmee dit in luttele seconden kan. Er is een patch die de Kaminsky-methode blokkeert door de server te dwingen wisselende poorten te gebruiken voor het verzenden van queries en de ontvangst van het antwoord (port randomization). Dat maakt misbruik minder makkelijk, maar is geen panacee voor cache-poisoning.Een definitieve oplossing van het probleem is DNSsec, dat garandeert dat de opgevraagde informatie van de bevraagde server komt en niet is veranderd onderweg. Ofschoon DNSsec al jaren beschikbaar is, wordt het nog nauwelijk toegepast, blijkt uit het onderzoek. Slechts 0,002 procent van de geteste DNS-servers ondersteunt DNSsec. “Er is maar weinig softwaregereedschap en veel beheerders vinden DNS al te complex”, zegt Olaf Kolkman, directeur van NLnetlabs, dat zich bezighoudt met onderzoek en ontwikkeling van DNS-servers. “Bovendien hebben de investeringen niet gelijk effect. Het voordeel wordt pas zichtbaar naarmate meer mensen meedoen.” Positief punt is, volgens Kolkman, dat in het open-sourcedomein steeds meer gereedschap verschijnt dat het beheer van DNSsec vereenvoudigt. Liu schetst dat het inrichten en onderhouden van DNSsec extra handelingen met zich meebrengt, en bovendien het organiseren van een infrastructuur voor het uitwisselen en beheer van certificaten vereist. Topleveldomeinbeheerders en de beheerders van de ‘rootservers’ die de kern van de verwijsindex vormen, maken daarom maar langzaam vorderingen met de beveiliging van DNS. Liu: “Over vragen als ‘Wie genereert de sleutels?’, ‘Wie zorgt voor de distributie?’, ‘Hoelang zijn sleutels geldig?’, moeten besluiten genomen worden. Wanneer dat binnen een organisatie plaatsvindt, kan dat snel gaan, maar hier zijn veel verschillende partijen bij betrokken.”