Security Professionals - ipfw add deny all from eindgebruikers to any

DNSSEC, moet ik daar wat mee?

18-05-2012, 11:51 door Anoniem, 6 reacties
Ik heb de laatste dagen wat berichten gelezen over (de invoering van) DNSSEC en ik vraag me af of ik daar als eenvoudige webbeheerder iets mee moet.

Ik heb een tiental websites waarbij de domeinen en server gescheiden zijn. In mijn geval staan de domeinen bij transip en de sites draaien op een virtuele server bij strato. Het zijn geen essentiele websites. Gaat er iets mis dan kost het tijd en wellicht wat advertentieinkomsten, veel ingrijpender is het niet.

Voor zover ik het begrijp verbetert DNSSEC de autorisatie van domeinen. Geldt dit voor vooral voor sites waar je te maken hebt gevoelige informatie (bank, inlog, persoonsgegevens, enz..) of is het zinvol om ook voor de meer eenvoudige sites in te stellen?

Enige uitleg of niet al te technisch leesvoer wordt op prijs gesteld.
Reacties (6)
18-05-2012, 13:05 door Anoniem
https://www.transip.nl/domeinnaam-en-webhosting/dnssec/

Daar staat naar mijn idee best wat informatie en verwijzingen waar je wat aan kan hebben.
18-05-2012, 13:13 door [Account Verwijderd]
[Verwijderd]
18-05-2012, 20:43 door Anoniem
DNS is de bewegwijzering van het internet en DNSSEC zorgt ervoor dat er niet meer met deze bewegwijzering kan worden geknoeid. Zonder DNSSEC kunnen uw klanten (en dus uw geld) op de verkeerde website uitkomen.

Het is zeker de moeite waard om DNSSEC te overwegen (net zoals het de moeite waard is om TLS/SSL certificaten op een website of mailserver te overwegen). Dat geldt net zo goed voor doorgewinterde als voor 'eenvoudige' beheerders.

Met elkaar maken deze maatregelen het internet veiliger en krijgen de 'bad guys' (en dat zijn er heel wat en ze zijn creatief ook!) minder kans.
21-05-2012, 14:47 door Anoniem
Door Anoniem: DNS is de bewegwijzering van het internet en DNSSEC zorgt ervoor dat er niet meer met deze bewegwijzering kan worden geknoeid. Zonder DNSSEC kunnen uw klanten (en dus uw geld) op de verkeerde website uitkomen.

Het is zeker de moeite waard om DNSSEC te overwegen (net zoals het de moeite waard is om TLS/SSL certificaten op een website of mailserver te overwegen). Dat geldt net zo goed voor doorgewinterde als voor 'eenvoudige' beheerders.

Met elkaar maken deze maatregelen het internet veiliger en krijgen de 'bad guys' (en dat zijn er heel wat en ze zijn creatief ook!) minder kans.

Alles heeft een prijs. Security betekent bijna altijd 'fail safe'. (dwz, bij twijfel NIET werken).
Voor DNS Sec is een een veel grotere complexiteit van de server, en operationele last wanneer er "iets niet werkt vanwege geweigerd door dnssec".

Bij fouten in een DNSSec configuratie, of niet updaten ervan zal het domein voor een deel van de gebruikers (degenen met een dnssec aware resolver) "niet werken".
Dat troubleshooten is niet simpel, want voor de meeste bezoekers "werkt het bij mij wel", namelijk met een niet-dnssec resolver.

Of, als je degene bent die een DNSSec resolver gebruikt, zul je dus zo af en toe een niet-werkende site hebben.
Ik denk 99 van de 100 keer vanwege een fout van de beheerder, en misschien één keer vanwege het eigenlijke doel, namelijk dns poisoning die voorkomen is door dnssec.
In die 99 van de 100 keer zullen veel mensen allang naar google dns, opendns overgestapt zijn.

Kortom, leuk die veiligheid, maar vergis je er niet in dat je een stuk extra werk/aandacht nodig hebt als je DNSSec gaat gebruiken.
21-05-2012, 15:49 door Anoniem
Door Anoniem:
Security betekent bijna altijd 'fail safe'. (dwz, bij twijfel NIET werken).
Fail safe in een generieke term die slaat op het controlemechanisme dat ervoor zorgt dat als je systeem faalt, je alsnog de schade probeert te beperken.
Hierbij heb je twee mogelijkheden, fail-open en fail-close (wat jij bedoelt).
Een fail-close systeem gaat bij falen alles blokkeren, een fail-open systeem gaat bij falen alles toelaten.
21-05-2012, 19:44 door Anoniem
Door Anoniem:
Door Anoniem:
Security betekent bijna altijd 'fail safe'. (dwz, bij twijfel NIET werken).
Fail safe in een generieke term die slaat op het controlemechanisme dat ervoor zorgt dat als je systeem faalt, je alsnog de schade probeert te beperken.
Hierbij heb je twee mogelijkheden, fail-open en fail-close (wat jij bedoelt).
Een fail-close systeem gaat bij falen alles blokkeren, een fail-open systeem gaat bij falen alles toelaten.

Ik had nu juist 'fail safe' gekozen om de verwarring van fail open / fail closed te voorkomen.

Verwarring tussen 'fail open' als deur (doorlaten) of schakelaar (stroom uit). en (fail closed - vice versa).
http://linux.about.com/cs/linux101/g/failsafelparfai.htm
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.