openminds techtalk: dns

44
Domeinen en DNS Openminds Techtalk 28 april 2015

Upload: frank-louwers

Post on 18-Jul-2015

349 views

Category:

Technology


0 download

TRANSCRIPT

Domeinen en DNSOpenminds Techtalk

28 april 2015

Agenda

• Domeinnamen:

• generiek vs landgebonden

• transfers

• nieuwe regels

• DNS records

• DNS in Sock

Domeinenopenminds.be - google.com - hosting.gent

Domeinen

• .be, .com, .vlaanderen: Top Level Domains (TLD)

• Elke TLD wordt door een instantie beheerd

• Generieke - regels door ICANN bepaald

• .com, .net, .org

• maar ook alle nieuwe (.guru, .vlaanderen, .gent)

• Landgebonden - per land (eigen keuze)

ccTLD

• .be - DNS.be (Leuven, 25 man sterk)

• .nl - SIDN.nl

• .fr - AFNIC

• .eu - EURid

• ...

Generieke + nieuwe

• Onder toezicht van ICANN (USA)

• .com - Verisign

• .org - PIR (Public Internet Registry)

• .vlaanderen - DNS.be

• .gent - Combell

• .frl (Friesland) - mijndomein.nl

Regels• generieke: algemene regels ICANN

• CCtld: Elke entiteit maakt eigen regels

• Regels heel divers:

• Local Presence

• Wie mag een naam registreren?

• Procedures voor het veranderen van eigenaar

• Technische eisen (bvb .dk, .de, .fr...)

tldinfo.openminds.be

Regels. regels. REGELS!

Transfers in .be• Code wordt enkel (!!) naar domeinnaamhouder gestuurd

• door dns.be

• oude “fax” procedure bestaat niet meer

• met die code naar nieuwe registrar

• transfer quasi instant

Transfers in ICANN-wereld• Code moet via huidige registrar bezorgd worden (niet

via ICANN/Verisign/…)

• Domein:

• > 60 dagen oud

• niet “locked”

• transfer alles tussen een uur en 5 dagen

Transfers in andere landen• Hangt af van land tot land

• Bureaucratie en stempels

• Papierwerk (… dat verloren kan gaan)

• Kan heel lang duren!

ICANN mails

Nieuwe ICANN pestregels• Nieuw emailadres: bevestiging dat het werkt, via email

• Als geen bevestiging na 15 dagen: domein offline!

• theorie vs praktijk: achterpoortje “manuele controle”

• extra werk

• mails massaal genegeerd: zien eruit als Phishing

• Oude domeinen: bij elke “update” (ook technische)

Nieuwe ICANN pestregels

• Eénmaal per jaar “is de contact info nog up to date” mail

• Geen actie vereist als alles in orde is

Extra veiligheid voor .be domeinen

Domain Lock (bestaat al langer), maar weinig gebruikt:

• regels voor .be domeinen veel strikter dan voor .com

• mag enkel aan- en afgezet worden op directe vraag van domeinnaamhouder (niet de klant)

• expliciete vraag (dus geen opt-out, geen “bulk” …)

• probleem: technisch op zelfde manier als aanpassingen

Extra veiligheid voor .be domeinenNieuw: “Domain Guard”:

• beschermt tegen social engineering, inbraak in uw mailbox, inbraak bij uw registrar

• absolute bescherming tegen alle aanpassingen aan domein

• (Tijdelijk) of permanent opheffen: enkel via telefonische procedure op afgesproken nummers

• niet gratis: 120 euro per jaar per domein

• doel: high-profile namen, of grote impact als fout

Nut?

teslamotors.com 25-03-2015

DNSDomain Name Service

Domain Record Service zou beter zijn

Wat

• De hoeksteen van het internet

• Zegt wat waar te vinden is op het internet

• Menselijke naam naar IP-adres of andere info

Eenvoudig voorbeeld

• www.openminds.be

• 188.93.97.104

• 2a02:d08::

Ontleding

• domein: openminds.be

• record: “www”

• record-type: adres (A) en ipv6 adres (AAAA)

Welke record-types?

A / AAAA

• Adres

• Geeft het IPv4/6 adres weer voor een naam/waarde (bvb “www”)

• Meest gangbare record

CNAME

• Canonical Name

• Also-known-as

• webmail.uwdomein.be CNAME mail.openminds.be

• www.uwdomein.be CNAME webserver.openminds.be

• Veelgebruikt

• NOOIT op domein niveau

MX• Mail eXchange(r)

• Geeft aan waar de mail voor [email protected] naartoe moet

• Prioriteiten (lager getal heeft prioriteit)

• Lege record - hoofddomein

MX

• NOOIT naar een IP adres

• Indien niet gedefinieerd - mail naar A-record

• Definieert NIET waar je webmail staat, of waar je calender zit, of...

TXT

• TeXT

• informatieve velden

• origineel weinig gebruikt

• vandaag meer gebruikt:

• SPF / Domain-key

• “Verificatie” (Gmail, Office365, SSL certs, …)

SPF• Sender Policy Framework

• TXT record

• inhoud is tekstveld, volgens SPF regels

• bepaalt welke mailservers mail mogen sturen

• wordt opgevraagd door mailscanning-servers

• is geen globale bescherming

SRV• Service / Server

• Geeft een bepaalde bestaande service weer

• Enkel gebruikt voor bvb SIP-telefooncentrales, Microsoft Lync, Jabber,…

• Meestal automatisch gegenereerd

Caching

• in de “recursive” nameservers

• Access Provider / kantoor-server / Google (8.8.8.8)

• via TTL waarden (Time To Live)

• opgelet: geen manier om dit te “forceren!”

• fout gedurende 1 seconde, outage van uren

DNS records in Sock

Sneak Preview

binnenkort in Sock

slimme templates

Status?

• immens groot project! (meer dan 40000 domeinen)

• voorbije 2 maand “dubbel” gedraaid

• volgende week: live voor ons

• snel erna: select aantal test-klanten

• nog paar “als je dns niet goed kent” issues wegwerken

Vragen?

DNSSECDNS-Secure / Security

DNSSEC

• www.uwbank.be heeft A record 123.123.123.123

• Hoe zeker ben je daarvan?

• Telenet/Skynet/8.8.8.8/... caching dns-servers - zijn die niet gehackt, zijn het wel die van Telenet/... etc...?

Signatures toevoegen

• Tekenen en handtekening naar boven doorgeven

• Signature wordt in zone gezet (DS records)

• bvb: .be (dns.be) zone bevat frank.be signature/bewijs

DNSSEC: nuttig?

• Ja!

• Nee! Nut in praktijk is relatief klein, kans op breken groter!

• Wat met transfers?

• Gevaarlijk wanneer één stap het niet/fout doet

• DNSSec vergeeft niet! Fout van 1 seconde kan outage van uren (of dagen) veroorzaken

DNSSEC

• Complexe oplossing

• Key-management

• Technische kennis moet aanwezig zijn in elke stap