Nieuws
image

KPN schakelt DNSSEC in voor vaste en mobiele klanten

dinsdag 17 maart 2020, 16:49 door Redactie, 10 reacties

KPN heeft zowel voor vaste als mobiele klanten DNSSEC ingeschakeld wat moet voorkomen dat gebruikers op malafide websites terechtkomen. Bij dochterbedrijf Telfort werd de maatregel afgelopen december al geactiveerd. DNSSEC is een extensie van het Domain Name System (DNS).

Via DNSSEC kan een domeinnaamhouder een digitale handtekening toevoegen aan DNS-informatie. "Aan de hand van deze handtekening kan een internetgebruiker de inhoud en de ontvangen DNS-informatie valideren. Hierdoor is met grote waarschijnlijkheid vast te stellen dat het antwoord van de DNS onderweg niet is gemanipuleerd door derden", zo laat het Forum Standaardisatie weten. Dit moet injectie van verkeerde informatie, waardoor gebruikers naar malafide websites worden geleid, voorkomen.

Afgelopen december werd DNSSEC al bij dochterbedrijf Telfort ingeschakeld. "Hun infrastructuur lijkt erg op die van KPN. Vanwege de kleinere userbase hebben we deze beveiligingsfeature dus eerst daar geïmplementeerd", zegt Roeland Mighawry van KPN tegenover de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert.

KPN-klanten hoeven zelf niets te doen om van DNSSEC gebruik te maken. "Dit is echt geweldig nieuws,” zegt Marco Davids van SIDN Labs. "Hiermee wordt DNSSEC-validatie in één klap voor 30-40 procent van internettend Nederland aangezet." Volgens SIDN komt KPN later dit jaar nog met een security- en privacy-specifieke aankondiging.

Image

Reacties (10)
17-03-2020, 18:37 door Anoniem
Dit is een goede stap in het beschermen tegen DNS poisoning aanvallen tussen de DNS server van KPN (recursive) en de DNS servers van de domeinnaam eigenaren (authoritative). Het lijkt mij echter wat overtrokken om te suggereren dat hiermee 30-40% van Nederland ook DNSSEC validatie heeft. Dat is namelijk pas het geval als je zélf DNSSEC validatie uitvoert op je systeem. Dat kan bijvoorbeeld met systemd-dnssec. (En ja, dat is een gedrocht van een stuk software, maar wel een van de weinige die validatie ondersteund.)

Het zou overigens interessant zijn als een KPN gebruiker de ondersteunde algorithmen test van [0] hier kan plaatsen. Ben wel benieuwd of Ed25519 en/of Ed448 ook al ondersteund worden.

[0] https://rootcanary.org/test.html
17-03-2020, 20:08 door Anoniem
Door Anoniem: Dit is een goede stap in het beschermen tegen DNS poisoning aanvallen tussen de DNS server van KPN (recursive) en de DNS servers van de domeinnaam eigenaren (authoritative). Het lijkt mij echter wat overtrokken om te suggereren dat hiermee 30-40% van Nederland ook DNSSEC validatie heeft.
Wat men bedoelt is dat HUN resolver DNSSEC validatie heeft en de juiste foutcodes/reacties vertoont richting de klant.
Het traject tussen klant en resolver is dus niet beschermd maar het traject tussen resolver en "de rest van de wereld" wel.
Men zou het wellicht nog wat kunnen verbeteren door DoH of DoT te ondersteunen.
DNSSEC validatie op het systeem van de klant dat heeft KPN niet in de hand, dat kon altijd al natuurlijk.
17-03-2020, 20:45 door marcod - Bijgewerkt: 17-03-2020, 20:46
Door Anoniem:Het lijkt mij echter wat overtrokken om te suggereren dat hiermee 30-40% van Nederland ook DNSSEC validatie heeft.

Toch wel; KPN heeft veel klanten en iedereen die klant is, valideert. ;-)
(disclaimer: ok, het pad tussen gebruiker en validerende resolver is nog kwetsbaar, maar het is zeker een stap voorwaarts)

Het zou overigens interessant zijn als een KPN gebruiker de ondersteunde algorithmen test van hier kan plaatsen. Ben wel benieuwd of Ed25519 en/of Ed448 ook al ondersteund worden.

Dat moet niet moeilijk zijn met zoveel KPN-klanten. Misschien was je zelf, ongemerkt ook al KPN-klant op je mobiele telefoon?

Maar zie anders hier: https://twitter.com/marcodavids/status/1240001348147576833
17-03-2020, 23:21 door Anoniem
Waarom kun je SIDN alleen bezoeken als WebGL toestaat. Het zou toch juist een toegankelijke website moeten zijn.
18-03-2020, 08:48 door Erik van Straten
Met "Test je verbinding" in https://nl.internet.nl/ kun je zien of op jouw aansluiting DNSSEC wordt ondersteund.
18-03-2020, 09:29 door Anoniem
Door Anoniem: Waarom kun je SIDN alleen bezoeken als WebGL toestaat. Het zou toch juist een toegankelijke website moeten zijn.

Oh echt? Geef het anders even door aan @SIDN op Twitter.
18-03-2020, 13:36 door Anoniem
Door Erik van Straten: Met "Test je verbinding" in https://nl.internet.nl/ kun je zien of op jouw aansluiting DNSSEC wordt ondersteund.
Firefox ESR keurt het Sectigo certificaat niet goed als je de test start.
Ik zie vaker gelazer met Sectigo / Comodo certificaten, hoewel aan het certificaat zelf verder niets verkeerds opvalt.
Blijkbaar staat deze certificaat issuer niet (meer?) standaard als goedgekeurde CA genoteerd in Firefox ESR,
hoewel het mij niet 100% duidelijk is waarom niet als ze nog zoveel gebruikt worden.
18-03-2020, 14:10 door Anoniem
Door Anoniem:
Door Anoniem: Waarom kun je SIDN alleen bezoeken als WebGL toestaat. Het zou toch juist een toegankelijke website moeten zijn.

Oh echt? Geef het anders even door aan @SIDN op Twitter.

Laat maar, het is een WebGL fingerprint van Google. SIDN has moved to the EVIL side.
19-03-2020, 13:24 door Anoniem
Door Anoniem: Laat maar, het is een WebGL fingerprint van Google. SIDN has moved to the EVIL side.
Dat is al jaren zo. In een fatsoenlijke browser kun je al geruime tijd geen contactgegevens van een domein meer opvragen. Werkt simpelweg niet. Echter bij SIDN staan ze niet open voor kritiek of ze begrijpen simpelweg het probleem niet. Dat laatste geldt voor zoveel websites die maar data delen met derden en roepen dat dat hartstikke veilig is, zelfs mijn huisarts, zorgverzekeraar en bank doen daar gewillig aan mee.
25-03-2020, 16:57 door Anoniem
Meer nieuws van KPN: https://mediamagazine.nl/kpn-breidt-internetdiensten-uit-met-vrije-modemkeuze-of-fritzbox/.

Kennelijk komen de XS4ALL zaken beschikbaar voor alle kpn klanten
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure