Document toolboxDocument toolbox


Cyber Response Team

DNS, DNSSEC, DNS Encryptie en DNS Sinkhole

Owned by Devy Leskens
Last updated: 18 Jun, 2024
4 min read

1. Inleiding

Het Domain Name System (DNS) is een fundamenteel onderdeel van het internet, dat de vertaalslag maakt tussen mensvriendelijke domeinnamen en machinevriendelijke IP-adressen. Met de opkomst van cyberdreigingen zijn er beveiligingsmaatregelen geïntroduceerd zoals DNS Security Extensions (DNSSEC) en DNS Encryptie om de integriteit en vertrouwelijkheid van DNS-verzoeken te waarborgen. Dit artikel biedt een dieper inzicht in DNS, DNSSEC en DNS Sinkhole, hun werking, en waarom ze essentieel zijn voor een veilig internet.

2. Wat is DNS?

DNS is vaak omschreven als het telefoonboek van het internet. Wanneer u een domeinnaam zoals "http://www.vlaanderen.be " in uw browser typt, zet DNS dit om in een IP-adres zoals "2.16.6.28" dat computers gebruiken om elkaar te identificeren en te communiceren. Het DNS-systeem bestaat uit een hiërarchische structuur van naamservers die verantwoordelijk zijn voor verschillende domeinnamen:

  • Root Servers: De top van de DNS-hiërarchie die verwijzen naar TLD (Top Level Domain) servers.

  • TLD Servers: Servers die verantwoordelijk zijn voor de top-level domeinen zoals .com, .net, .org.

  • Authoritative Name Servers: Servers die specifieke domeinnamen beheren en de daadwerkelijke IP-adressen bevatten.

3. Werking van DNS

  1. DNS-query: Wanneer een gebruiker een domeinnaam invoert, wordt een DNS-query gegenereerd door de browser.

  2. Recursieve Resolver: Deze query wordt naar een recursieve resolver gestuurd, meestal beheerd door de internetprovider (ISP).

  3. Root Server Contact: De recursieve resolver vraagt de root server waar de TLD server voor het gevraagde domein zich bevindt.

  4. TLD Server Contact: De resolver vraagt vervolgens de TLD server waar de autoritatieve naamserver voor de specifieke domeinnaam zich bevindt.

  5. Autoritatieve Naamserver: Ten slotte vraagt de resolver de autoritatieve naamserver om het IP-adres van de gevraagde domeinnaam.

  6. Response: Het IP-adres wordt teruggestuurd naar de browser, die dan de verbinding met de website tot stand brengt.

4. DNSSEC: Beveiliging van DNS

DNSSEC is een suite van extensies voor DNS die beveiliging toevoegt aan het proces van het omzetten van domeinnamen naar IP-adressen. DNSSEC introduceert cryptografische handtekeningen om de integriteit en authenticiteit van DNS-gegevens te waarborgen. Het doel is om aanvallen zoals cache poisoning en man-in-the-middle aanvallen te voorkomen.

Werking van DNSSEC

  1. Digitale Handtekeningen: Elke DNS-respons wordt voorzien van een digitale handtekening die wordt gegenereerd met een privésleutel.

  2. Publieke Sleutel: De corresponderende publieke sleutel is beschikbaar via DNS, waardoor resolvers de handtekening kunnen verifiëren.

  3. Validatie: Recursieve resolvers controleren de handtekening voordat ze de DNS-respons naar de aanvrager sturen, waardoor alleen authentieke gegevens worden doorgegeven.

Voordelen van DNSSEC

  • Integriteitscontrole: Verzekert dat de gegevens niet zijn gewijzigd tijdens de overdracht.

  • Authenticiteit: Bevestigt dat de gegevens afkomstig zijn van een legitieme bron.

5. Encryptie van DNS: Verbeterde Privacy

Naast de integriteit en authenticiteit van DNS-gegevens, is er een groeiende bezorgdheid over de privacy van DNS-verzoeken. Secure DNS-methoden zoals DNS over HTTPS (DoH) en DNS over TLS (DoT) zijn ontwikkeld om deze privacykwesties aan te pakken.

DNS over HTTPS (DoH)

DoH verzendt DNS-verzoeken en -responsen via het HTTPS-protocol, waardoor het moeilijker wordt voor derden om te zien welke websites een gebruiker probeert te bereiken.

DNS over TLS (DoT)

DoT werkt vergelijkbaar met DoH, maar maakt gebruik van het TLS-protocol om DNS-verzoeken te versleutelen. Beide methoden beschermen tegen afluisteren en manipulatie van DNS-verkeer.

6. DNS Sinkhole: Blokkeren van Kwaadaardige Domeinen

Wat is een DNS Sinkhole?

Een DNS sinkhole, ook wel bekend als een sinkhole server of een sinkhole DNS, is een krachtige techniek die wordt gebruikt in de strijd tegen cyberdreigingen. Het is een beveiligingsmaatregel die helpt om malafide domeinen te blokkeren en kwaadaardig verkeer te herleiden naar een veilige bestemming.

Hoe Werkt een DNS Sinkhole?

Een DNS sinkhole maakt gebruik van de vertalingsfunctie van DNS om kwaadaardige domeinen te identificeren en te blokkeren. Wanneer een DNS-resolver een verzoek ontvangt voor een domein dat bekend staat als kwaadaardig, stuurt de sinkhole de gebruiker naar een ander IP-adres, meestal een beveiligde server die geen kwaad kan.

Stappen in de werking van een DNS sinkhole:

  1. Identificatie van Malafide Domeinen: Beveiligingsonderzoekers en bedrijven verzamelen lijsten van bekende kwaadaardige domeinen.

  2. Configuratie van DNS Sinkhole: Deze domeinen worden toegevoegd aan de configuratie van de DNS-server, waarbij ze worden gekoppeld aan een onschadelijk IP-adres.

  3. Verkeer Omleiden: Wanneer een gebruiker of een apparaat een verzoek indient voor een kwaadaardig domein, wordt het verzoek door de DNS sinkhole omgeleid naar het veilige IP-adres.

  4. Logging en Monitoring: Het verkeer naar de sinkhole wordt gelogd en gemonitord om te helpen bij het identificeren van geïnfecteerde apparaten op het netwerk.

dns_sinkhole_NL.png
Bron: https://www.enisa.europa.eu/topics/incident-response/glossary/dns-sinkhole

Voordelen van DNS Sinkholes

  1. Bescherming Tegen Malware: DNS sinkholes kunnen voorkomen dat malware verbinding maakt met zijn command-and-control servers, waardoor verdere schade kan worden beperkt.

  2. Inzicht in Netwerkverkeer: Door het monitoren van verkeer naar de sinkhole, kunnen beheerders geïnfecteerde apparaten en potentiële bedreigingen binnen het netwerk identificeren.

  3. Preventie van Datadiefstal: Door kwaadaardige domeinen te blokkeren, kan een DNS sinkhole voorkomen dat gevoelige gegevens worden gestolen en naar buiten het netwerk worden gestuurd.

  4. Minimale Impact op Gebruikers: DNS sinkholes werken meestal zonder dat de eindgebruiker merkt dat er iets wordt geblokkeerd, wat zorgt voor minimale verstoring van de dagelijkse activiteiten.

Uitdagingen en Beperkingen

Hoewel DNS sinkholes zeer effectief kunnen zijn, zijn er enkele uitdagingen en beperkingen:

  1. Up-to-Date Domeinlijsten: De effectiviteit van een DNS sinkhole hangt af van de actualiteit en volledigheid van de lijst met malafide domeinen.

  2. Encryptie en DNS over HTTPS (DoH): DoH kan DNS-sinkholes omzeilen, omdat het DNS-verkeer wordt versleuteld en direct naar externe resolvers gaat.

  3. False Positives: Soms kunnen legitieme domeinen onterecht als kwaadaardig worden gemarkeerd, wat kan leiden tot onnodige blokkeringen.

7. Conclusie

DNS, DNSSEC en DNS Sinkholes vormen samen een robuuste verdedigingslinie tegen diverse cyberdreigingen. Elk van deze technologieën draagt bij aan een veiliger en betrouwbaarder internet. Door de juiste combinatie en implementatie van deze technieken kunnen organisaties hun netwerkbeveiliging aanzienlijk versterken en de risico’s van cyberaanvallen verminderen. Echter, het is cruciaal om de configuraties up-to-date te houden en bewust te zijn van de beperkingen om de maximale effectiviteit te garanderen.

Dit is een document voor publiek gebruik.