DNS – wat is dat? Je hebt er wellicht nog nooit van gehoord, maar er wel dagelijks tientallen keren gebruik van. DNS staat voor Domain Name System, en zorgt voor de vertaling van een domeinnaam (zoals google.nl) naar een IP-adres. In het geval van google.nl is het bijbehorende IP-adres 172.217.168.227.
DNS is handig, want zo hoeft je niet te onthouden dat je naar 172.217.168.227 moet gaan voor Google, maar kun je gewoon google.nl intypen. Je zou het kunnen zien als een telefoongids.
Voor vrijwel elke toepassing waar netwerk-verkeer voor nodig is, komt DNS kijken:
En wellicht minder voor de hand liggend, maar ook:
Je kunt wel stellen dat zonder DNS internet niet zou bestaan in de huidige vorm.
DNS is gebaseerd op geregistreerde domeinnamen. Wereldwijd zijn er een aantal organisaties die domeinnamen mogen uitgeven – in Nederland is dat bijv. de SIDN. Zo’n domeinnaam is dus erg belangrijk – hier hangt voor bedrijven de online bereikbaarheid van af.
Het domeinnamen-systeem is hiërarchisch opgebouwd – zie hiervoor de onderstaande diagram. Het is verdeeld in 3 niveaus:
Het DNS wordt ook vaak ingezet ter validatie van het eigendomsrecht op dat domein. Daarbij wordt uitgegaan van dit principe: degene die het DNS onder controle heeft, bewijst daarmee de eigenaar te zijn (of in opdracht te handelen van de eigenaar).
Het komt daarom vaak voor dat er validatie-records aangemaakt moeten worden die het eigenaarschap bewijzen – bijv. bij:
Toepassing bij e-mail
Ook bij e-mail wordt dit principe vaak gebruikt – bijv. bij:
Bovenstaande technieken zorgen ervoor dat je domeinnaam niet makkelijk misbruikt kan worden door bijv. spammers of oplichters.
DNS heeft echter 1 groot probleem: van oudsher is DNS-verkeer altijd onversleuteld geweest, en dus makkelijk te manipuleren door kwaadwillenden. Daardoor is het dus mogelijk dat derden bijv. tijdens het DNS-transport het IP-adres van je website aanpassen, en website-bezoekers daarmee naar een valse site door te leiden. Of dat vertrouwelijke e-mails bij de verkeerde mailserver worden afgeleverd.
Daarvoor is echter al geruime tijd een oplossing: DNSSEC. DNSSEC voegt een handtekening toe aan het DNS-protocol, waardoor gecontroleerd kan worden of resultaten van DNS-verzoeken vervalst zijn. Bij een juiste toepassing hiervan wordt het onmogelijk dat kwaadwillenden het DNS-verkeer manipuleren.
De afgelopen 10 jaar is phishing1 enorm toegenomen. Daarbij wordt vaak gebruik gemaakt van gekaapte domeinen, óf domeinen die erg veel lijken op een vertrouwde instantie. Zo proberen cybercriminelen bijvoorbeeld rab0bank.nl (let op de nul i.p.v. o) te registreren, en mensen te verleiden daarop in te loggen. Omdat domeinnaam registratie vrij is voor iedereen, is het vrij eenvoudig voor cybercriminelen om dergelijke gelijk ogende domeinnamen te registreren en misbruiken.
Daarnaast komt het vaak voor dat cybercriminelen nep-webwinkels opzetten. Je kunt daar wel bestellen & betalen, maar er wordt niets geleverd. Gelukkig worden hiertegen steeds meer maatregelen getroffen om misbruik te voorkomen. De SIDN heeft bijvoorbeeld een automatische tool ontwikkeld die nep-webwinkels opspoort en offline haalt.
1 Phishing: vorm van cybercrime waarbij criminelen een e-mail naar je verzenden om te proberen inloggegevens, creditcardinformatie, pincodes of andere persoonlijke gegevens van jou te achterhalen
DNS is de hoeksteen van het internet. Zaak dus om domeinnamen en DNS zo goed mogelijk te beveiligen.