Onderzoek: dns-infrastructuur Nederlandse overheid is goed ingericht
De dns-infrastructuur van de Nederlandse overheid is goed ingericht, zo blijkt uit onderzoek van SIDNLabs en de Universiteit Twente. Wel is er nog ruimte voor verbetering, zoals het opzetten van een centrale secundaire anycast dienst. Een anycast dienst is een gedistribueerd netwerk dat vanuit verschillende servers antwoord kan geven. Daarnaast wordt aangeraden de gebruikte dns-diensten bij verschillende aanbieders af te nemen.
Het onderzoek werd in opdracht van het Nationaal Cyber Security Centrum (NCSC) uitgevoerd. "Zonder dns zijn (overheids)websites niet te bereiken, en veel diensten of informatie dus niet beschikbaar. Informatievoorziening is een essentiele taak van overheidswebsites, daarom is beschikbaarheid een belangrijk aspect van de dns-infrastructuur", aldus het NCSC.
Volgens de onderzoekers is de dns-infrastructuur van de Nederlandse overheid over het algemeen goed ingericht. Naast het opzetten van een centrale secundaire anycast dienst en het afnemen van gebruikte dns-diensten bij verschillende aanbieders pleiten de onderzoekers er ook voor om periodiek metingen aan het dns van de overheid uit te voeren.
Tijdens het onderzoek zijn er namelijk verscheidene kleine configuratiefoutjes gevonden, zoals verwijzingen naar niet bestaande servers of primaire en secundaire servers die in hetzelfde netwerk staan, die ervoor kunnen zorgen dat het netwerk niet optimaal werkt of voor verminderde redundancy zorgen. Door periodiek metingen uit te voeren worden dit soort foutjes sneller opgemerkt, zo verwachten de onderzoekers.
Nu nog ervoor zorgen dat er geen duizend-en-een websites zijn waardoor je door de bomen het bos niet meer kan vinden.
En nog checken of alle resources van die websites binnen nederland te resolven zijn...
Het is prachtig als de homepage geladen kan worden, maar als dat invulformulier een scriptje uit china laad, is dat natuurlijk een probleem...
Nu nog ervoor zorgen dat er geen duizend-en-een websites zijn waardoor je door de bomen het bos niet meer kan vinden.
Tuurlijk, men had domeinregistraties aan banden moeten leggen. Dat deed men oorspronkelijk ook, maar dat is losgelaten.
In plaats van voor iedere scheet een nieuw domein te registreren zouden bedrijven veel meer moeten werken met subdomeinen en met shortcuts achter de domeinnaam.
Dus niet werkenbijbedrijfx.nl en dat soort ongein.
Nu nog ervoor zorgen dat er geen duizend-en-een websites zijn waardoor je door de bomen het bos niet meer kan vinden.
Inderdaad. Nu is het vaak niet mogelijk voor de gebruiker om te zien of de website werkelijk van de overheid is of dat het een gekloonde site is.
Nu nog ervoor zorgen dat er geen duizend-en-een websites zijn waardoor je door de bomen het bos niet meer kan vinden.
Inderdaad. Nu is het vaak niet mogelijk voor de gebruiker om te zien of de website werkelijk van de overheid is of dat het een gekloonde site is.
Maar als jij een full-proof oplossing hebt , laat maar horen.
Oh ja, het moet wel haalbaar zijn natuurlijk.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
