Wat is DNSSEC?
DNSSEC (Domain Name System Security Extensions) is een suite van cryptografische extensies aan DNS die DNS-antwoorden authenticeert door het toevoegen van digitale handtekeningen aan records, voorkomen dat aanvallers van het smeden of manipuleren van DNS-gegevens.Hoe DNSSEC werkt
Chain of Trust:
Root Zone (.)
├── Signs: .com zone key
│ └── KSK (Key Signing Key)
│ └── ZSK (Zone Signing Key)
│
TLD Zone (.com)
├── Signs: example.com zone key
│ └── DS Record points to child KSK
│
Domain Zone (example.com)
├── Signs: All DNS records
│ └── RRSIG (Record Signature)
│ └── DNSKEY (Public keys)
│
Resolver validates entire chain from root
DNSSEC record types
| Opname | Betreft | Omschrijving |
|---|---|---|
| RRSIG | Handtekening | Cryptografische handtekening voor elke recordset |
| DNSKEY | Openbare sleutel | Openbare ondertekeningssleutels van de zone (KSK en ZSK) |
| DS | Delegatie Ondertekenaar | Hash of kind zone KSK in ouder zone |
| NSEC/NSEC3 | Authenticated Denial | Bewijst dat een record niet bestaat |
Sleuteltypen
| Sleutel | Betreft | Rotatiefrequentie |
|---|---|---|
| KSK (sleutel voor ondertekening) | Tekent DNSKEY records | Jaarlijks of minder |
| ZSK (Zone Signing Key) | Teken alle andere records | Maandelijks tot driemaandelijks |
DNSSEC Validatieproces
1. Client queries DNS resolver voor example.com Een record
2. Oplosser haalt een record + RRSIG handtekening
3. Oplosser haalt DNSKEY om RRSIG te verifiëren
4. Resolver valideert DS record tegen DNSKEY
5. Ketting blijft root, controleren van elk niveau
6. Indien alle handtekeningen geldig zijn, wordt het antwoord geverifieerd
Bedreigingen DNSSEC voorkomt
| Aanvallen | Omschrijving | DNSSEC-bescherming |
|---|---|---|
| Cache Vergiftiging | Injecteren van valse records in cache | Handtekeningen detecteren knoeien |
| Man in het midden | Intercepteren en wijzigen van reacties | Cryptografische validatie mislukt |
| DNS Spoofing | Retourneren van valse IP-adressen | Gesmede records ontbreken een geldige handtekening |
Uitvoeringsoverwegingen
- Prestatie: Grotere respons door handtekeningen (~1000-4000 bytes vs ~100 bytes)
- Key management: Vereist veilige sleutelgeneratie, opslag en rotatie
- Zone ondertekening: Moet zone hertekenen als records veranderen
- Ondersteuning voor oplossingen: Klanten hebben DNSSEC-validerende resolvers nodig
Beste praktijken
1. Gebruik algoritme 13 of 14: ECDSA biedt kleinere handtekeningen dan RSA
2. Automatisch sleutelrotatie: Gebruik tools zoals OpenDNSSEC voor de belangrijkste levenscyclus
3. Monitor verlopen: RRSIG handtekeningen hebben geldigheidsperioden
4. Test voor implementatie: Valideer zone met hulpmiddelen zoals dnsviz.net
5. Plan voor noodgevallen: Laat belangrijke rollover procedures gedocumenteerd
DNSSEC biedt essentiële bescherming voor DNS integriteit, zodat gebruikers legitieme bestemmingen bereiken in plaats van aanvaller gecontroleerde servers.