27-11-2020
DNS - de hoeksteen van het internet

DNS - de hoeksteen van het internet

DNS – wat is dat? Je hebt er wellicht nog nooit van gehoord, maar er wel dagelijks tientallen keren gebruik van. DNS staat voor Domain Name System, en zorgt voor de vertaling van een domeinnaam (zoals google.nl) naar een IP-adres. In het geval van google.nl is het bijbehorende IP-adres 172.217.168.227.

DNS is handig, want zo hoeft je niet te onthouden dat je naar 172.217.168.227 moet gaan voor Google, maar kun je gewoon google.nl intypen. Je zou het kunnen zien als een telefoongids.

Waar wordt het voor gebruikt?

Voor vrijwel elke toepassing waar netwerk-verkeer voor nodig is, komt DNS kijken:

  • E-mailen
  • Surfen op het web
  • Online spelletjes spelen
  • Luisteren van muziek via Spotify
  • TV kijken
  • Gebruiken WiFi
  • Online vergadering via Teams

En wellicht minder voor de hand liggend, maar ook:

  • Synchroniseren van je klok
  • Sommige babyfoons / videorecorders
  • Alle iOT apparaten

Je kunt wel stellen dat zonder DNS internet niet zou bestaan in de huidige vorm.

Domeinnaam

DNS is gebaseerd op geregistreerde domeinnamen. Wereldwijd zijn er een aantal organisaties die domeinnamen mogen uitgeven – in Nederland is dat bijv. de SIDN. Zo’n domeinnaam is dus erg belangrijk – hier hangt voor bedrijven de online bereikbaarheid van af.

Hiërarchie

Het domeinnamen-systeem is hiërarchisch opgebouwd – zie hiervoor de onderstaande diagram. Het is verdeeld in 3 niveaus:

  • 1e niveau: het zgn. Top Level Domein, ook wel extensie genoemd. Deze kan bestaan uit een landcode (zoals .nl en .be), maar er zijn inmiddels ook duizenden andere extensies (zoals .shop of .amsterdam). Elke extensie wordt beheerd door een domeinnaam autoriteit (registry), die de domeinnamen van deze extensie uitgeeft. Voor de .nl is dat de SIDN.
  • 2e niveau: de domeinnaam. Iedereen kan een domeinnaam registreren – dit gebeurt meestal via een registrar.
  • 3e niveau: de subdomeinen. Wanneer je een domeinnaam hebt geregistreerd, kun je daar via het DNS elk subdomein onder aanmaken.

DNS

Eigenaarschap controle d.m.v. DNS

Het DNS wordt ook vaak ingezet ter validatie van het eigendomsrecht op dat domein. Daarbij wordt uitgegaan van dit principe: degene die het DNS onder controle heeft, bewijst daarmee de eigenaar te zijn (of in opdracht te handelen van de eigenaar).

Het komt daarom vaak voor dat er validatie-records aangemaakt moeten worden die het eigenaarschap bewijzen – bijv. bij:

  • Validatie van SSL-certificaten
  • Toevoegen van een domein in Exchange-Online
  • Toevoegen van een domein in Google Search Console

Toepassing bij e-mail
Ook bij e-mail wordt dit principe vaak gebruikt – bijv. bij:

  • SPF-record: dit record bepaalt de IP-adressen waar vanaf gemaild mag worden namens dit domein
  • DKIM-records: bevat een public-key die door ontvangers van je e-mail weer gecontroleerd kan worden of de mail echt van jou afkomstig is
  • DMARC-record: dit record bevat het beleid m.b.t. e-mail die de domeinnaam eigenaar wil toepassen

Bovenstaande technieken zorgen ervoor dat je domeinnaam niet makkelijk misbruikt kan worden door bijv. spammers of oplichters.

Zwakte

DNS heeft echter 1 groot probleem: van oudsher is DNS-verkeer altijd onversleuteld geweest, en dus makkelijk te manipuleren door kwaadwillenden. Daardoor is het dus mogelijk dat derden bijv. tijdens het DNS-transport het IP-adres van je website aanpassen, en website-bezoekers daarmee naar een valse site door te leiden. Of dat vertrouwelijke e-mails bij de verkeerde mailserver worden afgeleverd.

DNSSEC

Daarvoor is echter al geruime tijd een oplossing: DNSSEC. DNSSEC voegt een handtekening toe aan het DNS-protocol, waardoor gecontroleerd kan worden of resultaten van DNS-verzoeken vervalst zijn. Bij een juiste toepassing hiervan wordt het onmogelijk dat kwaadwillenden het DNS-verkeer manipuleren.

Misbruik

De afgelopen 10 jaar is phishing1 enorm toegenomen. Daarbij wordt vaak gebruik gemaakt van gekaapte domeinen, óf domeinen die erg veel lijken op een vertrouwde instantie. Zo proberen cybercriminelen bijvoorbeeld rab0bank.nl (let op de nul i.p.v. o) te registreren, en mensen te verleiden daarop in te loggen. Omdat domeinnaam registratie vrij is voor iedereen, is het vrij eenvoudig voor cybercriminelen om dergelijke gelijk ogende domeinnamen te registreren en misbruiken.

Daarnaast komt het vaak voor dat cybercriminelen nep-webwinkels opzetten. Je kunt daar wel bestellen & betalen, maar er wordt niets geleverd. Gelukkig worden hiertegen steeds meer maatregelen getroffen om misbruik te voorkomen. De SIDN heeft bijvoorbeeld een automatische tool ontwikkeld die nep-webwinkels opspoort en offline haalt.

1 Phishing: vorm van cybercrime waarbij criminelen een e-mail naar je verzenden om te proberen inloggegevens, creditcardinformatie, pincodes of andere persoonlijke gegevens van jou te achterhalen

Samengevat

DNS is de hoeksteen van het internet. Zaak dus om domeinnamen en DNS zo goed mogelijk te beveiligen.