Security Professionals - ipfw add deny all from eindgebruikers to any

DNSSEC, moet ik daar wat mee?

18-05-2012, 11:51 door Anoniem, 6 reacties

Ik heb de laatste dagen wat berichten gelezen over (de invoering van) DNSSEC en ik vraag me af of ik daar als eenvoudige webbeheerder iets mee moet.

Ik heb een tiental websites waarbij de domeinen en server gescheiden zijn. In mijn geval staan de domeinen bij transip en de sites draaien op een virtuele server bij strato. Het zijn geen essentiele websites. Gaat er iets mis dan kost het tijd en wellicht wat advertentieinkomsten, veel ingrijpender is het niet.

Voor zover ik het begrijp verbetert DNSSEC de autorisatie van domeinen. Geldt dit voor vooral voor sites waar je te maken hebt gevoelige informatie (bank, inlog, persoonsgegevens, enz..) of is het zinvol om ook voor de meer eenvoudige sites in te stellen?

Enige uitleg of niet al te technisch leesvoer wordt op prijs gesteld.

Virus?!

EPD wat moeten we er nou mee?

Reacties (6)

18-05-2012, 13:05 door Anoniem

https://www.transip.nl/domeinnaam-en-webhosting/dnssec/

Daar staat naar mijn idee best wat informatie en verwijzingen waar je wat aan kan hebben.

18-05-2012, 13:13 door [Account Verwijderd]

[Verwijderd]

18-05-2012, 20:43 door Anoniem

DNS is de bewegwijzering van het internet en DNSSEC zorgt ervoor dat er niet meer met deze bewegwijzering kan worden geknoeid. Zonder DNSSEC kunnen uw klanten (en dus uw geld) op de verkeerde website uitkomen.

Het is zeker de moeite waard om DNSSEC te overwegen (net zoals het de moeite waard is om TLS/SSL certificaten op een website of mailserver te overwegen). Dat geldt net zo goed voor doorgewinterde als voor 'eenvoudige' beheerders.

Met elkaar maken deze maatregelen het internet veiliger en krijgen de 'bad guys' (en dat zijn er heel wat en ze zijn creatief ook!) minder kans.

21-05-2012, 14:47 door Anoniem

Door Anoniem: DNS is de bewegwijzering van het internet en DNSSEC zorgt ervoor dat er niet meer met deze bewegwijzering kan worden geknoeid. Zonder DNSSEC kunnen uw klanten (en dus uw geld) op de verkeerde website uitkomen.

Het is zeker de moeite waard om DNSSEC te overwegen (net zoals het de moeite waard is om TLS/SSL certificaten op een website of mailserver te overwegen). Dat geldt net zo goed voor doorgewinterde als voor 'eenvoudige' beheerders.

Met elkaar maken deze maatregelen het internet veiliger en krijgen de 'bad guys' (en dat zijn er heel wat en ze zijn creatief ook!) minder kans.

Alles heeft een prijs. Security betekent bijna altijd 'fail safe'. (dwz, bij twijfel NIET werken).
Voor DNS Sec is een een veel grotere complexiteit van de server, en operationele last wanneer er "iets niet werkt vanwege geweigerd door dnssec".

Bij fouten in een DNSSec configuratie, of niet updaten ervan zal het domein voor een deel van de gebruikers (degenen met een dnssec aware resolver) "niet werken".
Dat troubleshooten is niet simpel, want voor de meeste bezoekers "werkt het bij mij wel", namelijk met een niet-dnssec resolver.

Of, als je degene bent die een DNSSec resolver gebruikt, zul je dus zo af en toe een niet-werkende site hebben.
Ik denk 99 van de 100 keer vanwege een fout van de beheerder, en misschien één keer vanwege het eigenlijke doel, namelijk dns poisoning die voorkomen is door dnssec.
In die 99 van de 100 keer zullen veel mensen allang naar google dns, opendns overgestapt zijn.

Kortom, leuk die veiligheid, maar vergis je er niet in dat je een stuk extra werk/aandacht nodig hebt als je DNSSec gaat gebruiken.

21-05-2012, 15:49 door Anoniem

Door Anoniem:
Security betekent bijna altijd 'fail safe'. (dwz, bij twijfel NIET werken).

Fail safe in een generieke term die slaat op het controlemechanisme dat ervoor zorgt dat als je systeem faalt, je alsnog de schade probeert te beperken.
Hierbij heb je twee mogelijkheden, fail-open en fail-close (wat jij bedoelt).
Een fail-close systeem gaat bij falen alles blokkeren, een fail-open systeem gaat bij falen alles toelaten.

21-05-2012, 19:44 door Anoniem

Door Anoniem:

Door Anoniem:
Security betekent bijna altijd 'fail safe'. (dwz, bij twijfel NIET werken).

Ik had nu juist 'fail safe' gekozen om de verwarring van fail open / fail closed te voorkomen.

Verwarring tussen 'fail open' als deur (doorlaten) of schakelaar (stroom uit). en (fail closed - vice versa).
http://linux.about.com/cs/linux101/g/failsafelparfai.htm

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Information Security Officer (2fte)

Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

DNSSEC, moet ik daar wat mee?

Pick one:

Wachtwoord Vergeten

Password Reset

Registreren