Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

ENISA: Complexiteit belangrijkste uitdaging bij implementatie DNSSEC

  • Door
  • Arnout Veenman
  • geplaatst op
  • 29 mei 2009 08:12 uur

Uit een onderzoek van de European Network and Information Security Agency (ENISA), blijkt dat 22% van de Europese service providers DNSSEC ondersteunt en nog eens 56% van plan is om dit binnen 3 jaar ook te doen. De 22% die daar geen plannen voor heeft noemt het gebrek aan vraag naar DNSSEC als belangrijkste reden. Andere redenen zijn de kosten, onvolwassenheid van de technologie en het feit dat het niet verplicht is gesteld door de nationale telecomautoriteit.

DNSSEC gebruik door service providers in Europa

Er zijn ook een aantal obstakels bij de implementatie van DNSSEC. 86% van de service providers noemt complexiteit een uitdaging, gevolgd door het gebrek aan tools (71%), het feit dat de rootzone nog niet gesigneerd is (29%) en het nog niet beschikbaar zijn van NSEC3 dat het uitlezen van de rootzone onmogelijk maakt (14%).

DNSSEC uitdaging volgens Europese service providers

Het volledige rapport van ENISA is hier te downloaden, achtergrond informatie hier.

Japje, 29 mei 2009 9:46 am

Persoonlijk vind ik DNSSEC nog steeds een ranzige oplossing.

DNS is zo'n geniaal protocol dat in een een piep klein UDP pakketje vertelt wat je nodig hebt.. maar nee, we willen graag een key toevoegen van 1024 bytes (om maar een voorbeeld te noemen) zodat er zeker weten een TCP sessie moet worden gestart en de grootte van het pakketje zeker met een factor 25 zo hoog is..

Daarbij niet vergeten dat meeste hardware het niet ondersteunt. Meeste DNS software geen fatsoenlijke implementatie klaar heeft. Weinig rootzones het ondersteunen en dat het een administratieve hell is.. vergeet ik iets?

ja, als ze op 1 of andere manier iemand (de boefjes) een root zone certifcaat weten te faken of bemachtigen kunnen ze zelf hun request bouwen en heb je er nog steeds helemaal niets aan! DOH

neen, geef mij maar de oplossing van Bernestein DNSCurve:
http://en.wikipedia.org/wiki/DNSCurve
Hierbij word alleen de transport van de request versleutelt en is het implementeren veel beter te doen.. maarja ik zie dit nog niet zo snel gebeuren..

Thomas, 29 mei 2009 10:39 am

Met de komst van IPv6 ziet het er voorlopig toch naar uit dat het een TCP pakketje wordt.

http://www.serverwatch.com/tutorials/article.php/3723016

Iemand, 29 mei 2009 8:25 pm

22% van de Europese providers ondersteund DNSSEC?!
Wisten deze providers wel waar ze 'ja' op gezegd hebben?
Mij lijkt dat percentage namelijk aan de hoge kant.

Bart, 31 mei 2009 10:46 am

@Japje
DNSSEC vereist EDNS0 support om UDP pakketten groter dan 512 bytes te kunnen gebruiken. Dus eender welke resolver die om dnssec records vraagt (dat is een flag die je moet zetten, komt niet automatisch), zal nog steeds UDP gebruiken.

DNSSEC uitrollen gaat meestal in twee stappen. Je begint met de validatie, wat op zich redelijk simpel is. Het grote probleem daar is dat de root nog niet gesigned is. Zolang dat nog niet is gebeurd, zit je met veel trust eilandjes waarvoor je keys moet importeren en up-to-date houden. Maar dit is nog redelijk te doen.

De moeilijkste stap is het signen van de eigen zones. Key management is niet evident en de tools die ervoor beschikbaar zijn, zijn vaak nogal zwak. Er is veel meer onderhoud nodig dan bij standaard DNS. Gezien hoe verbazingwekkend weinig mensen nu al weten over DNS, is de extra complexiteit vaak een groot probleem. Zolang tools dit niet automagisch afhandelen zullen veel bedrijven dat niet gaan uitrollen.

DNSSEC validatie staat op mijn planning voor dit jaar (het is eigenlijk al bijna rond) maar het effectief signen van eigen zones zal toch pas eind volgend jaar zijn. Daartegen zou NSEC3 al beter ingeburgerd moeten zijn en zullen de tools wel volwassener zijn.

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.