openminds techtalk: dns
TRANSCRIPT
Agenda
• Domeinnamen:
• generiek vs landgebonden
• transfers
• nieuwe regels
• DNS records
• DNS in Sock
Domeinen
• .be, .com, .vlaanderen: Top Level Domains (TLD)
• Elke TLD wordt door een instantie beheerd
• Generieke - regels door ICANN bepaald
• .com, .net, .org
• maar ook alle nieuwe (.guru, .vlaanderen, .gent)
• Landgebonden - per land (eigen keuze)
Generieke + nieuwe
• Onder toezicht van ICANN (USA)
• .com - Verisign
• .org - PIR (Public Internet Registry)
• .vlaanderen - DNS.be
• .gent - Combell
• .frl (Friesland) - mijndomein.nl
Regels• generieke: algemene regels ICANN
• CCtld: Elke entiteit maakt eigen regels
• Regels heel divers:
• Local Presence
• Wie mag een naam registreren?
• Procedures voor het veranderen van eigenaar
• Technische eisen (bvb .dk, .de, .fr...)
Transfers in .be• Code wordt enkel (!!) naar domeinnaamhouder gestuurd
• door dns.be
• oude “fax” procedure bestaat niet meer
• met die code naar nieuwe registrar
• transfer quasi instant
Transfers in ICANN-wereld• Code moet via huidige registrar bezorgd worden (niet
via ICANN/Verisign/…)
• Domein:
• > 60 dagen oud
• niet “locked”
• transfer alles tussen een uur en 5 dagen
Transfers in andere landen• Hangt af van land tot land
• Bureaucratie en stempels
• Papierwerk (… dat verloren kan gaan)
• Kan heel lang duren!
Nieuwe ICANN pestregels• Nieuw emailadres: bevestiging dat het werkt, via email
• Als geen bevestiging na 15 dagen: domein offline!
• theorie vs praktijk: achterpoortje “manuele controle”
• extra werk
• mails massaal genegeerd: zien eruit als Phishing
• Oude domeinen: bij elke “update” (ook technische)
Nieuwe ICANN pestregels
• Eénmaal per jaar “is de contact info nog up to date” mail
• Geen actie vereist als alles in orde is
Extra veiligheid voor .be domeinen
Domain Lock (bestaat al langer), maar weinig gebruikt:
• regels voor .be domeinen veel strikter dan voor .com
• mag enkel aan- en afgezet worden op directe vraag van domeinnaamhouder (niet de klant)
• expliciete vraag (dus geen opt-out, geen “bulk” …)
• probleem: technisch op zelfde manier als aanpassingen
Extra veiligheid voor .be domeinenNieuw: “Domain Guard”:
• beschermt tegen social engineering, inbraak in uw mailbox, inbraak bij uw registrar
• absolute bescherming tegen alle aanpassingen aan domein
• (Tijdelijk) of permanent opheffen: enkel via telefonische procedure op afgesproken nummers
• niet gratis: 120 euro per jaar per domein
• doel: high-profile namen, of grote impact als fout
Wat
• De hoeksteen van het internet
• Zegt wat waar te vinden is op het internet
• Menselijke naam naar IP-adres of andere info
A / AAAA
• Adres
• Geeft het IPv4/6 adres weer voor een naam/waarde (bvb “www”)
• Meest gangbare record
CNAME
• Canonical Name
• Also-known-as
• webmail.uwdomein.be CNAME mail.openminds.be
• www.uwdomein.be CNAME webserver.openminds.be
• Veelgebruikt
• NOOIT op domein niveau
MX• Mail eXchange(r)
• Geeft aan waar de mail voor [email protected] naartoe moet
• Prioriteiten (lager getal heeft prioriteit)
• Lege record - hoofddomein
MX
• NOOIT naar een IP adres
• Indien niet gedefinieerd - mail naar A-record
• Definieert NIET waar je webmail staat, of waar je calender zit, of...
TXT
• TeXT
• informatieve velden
• origineel weinig gebruikt
• vandaag meer gebruikt:
• SPF / Domain-key
• “Verificatie” (Gmail, Office365, SSL certs, …)
SPF• Sender Policy Framework
• TXT record
• inhoud is tekstveld, volgens SPF regels
• bepaalt welke mailservers mail mogen sturen
• wordt opgevraagd door mailscanning-servers
• is geen globale bescherming
SRV• Service / Server
• Geeft een bepaalde bestaande service weer
• Enkel gebruikt voor bvb SIP-telefooncentrales, Microsoft Lync, Jabber,…
• Meestal automatisch gegenereerd
Caching
• in de “recursive” nameservers
• Access Provider / kantoor-server / Google (8.8.8.8)
• via TTL waarden (Time To Live)
• opgelet: geen manier om dit te “forceren!”
• fout gedurende 1 seconde, outage van uren
Status?
• immens groot project! (meer dan 40000 domeinen)
• voorbije 2 maand “dubbel” gedraaid
• volgende week: live voor ons
• snel erna: select aantal test-klanten
• nog paar “als je dns niet goed kent” issues wegwerken
DNSSEC
• www.uwbank.be heeft A record 123.123.123.123
• Hoe zeker ben je daarvan?
• Telenet/Skynet/8.8.8.8/... caching dns-servers - zijn die niet gehackt, zijn het wel die van Telenet/... etc...?
Signatures toevoegen
• Tekenen en handtekening naar boven doorgeven
• Signature wordt in zone gezet (DS records)
• bvb: .be (dns.be) zone bevat frank.be signature/bewijs
DNSSEC: nuttig?
• Ja!
• Nee! Nut in praktijk is relatief klein, kans op breken groter!
• Wat met transfers?
• Gevaarlijk wanneer één stap het niet/fout doet
• DNSSec vergeeft niet! Fout van 1 seconde kan outage van uren (of dagen) veroorzaken