beantwoord

DNSSEC

  • 2 april 2019
  • 24 reacties
  • 428 keer bekeken

Reputatie 1
Als ik de test https://internet.nl/test-connection draai op mijn telfort abonnement (voorheen concepts-abo), dan zie ik onder andere het volgende verschijnen:

"Helaas! Domein-handtekeningen (DNSSEC) worden voor jou nu niet gecontroleerd. Daardoor ben je niet beschermd tegen gemanipuleerde vertaling van ondertekende domeinnamen naar kwaadaardige IP-adressen. Vraag je internetprovider om DNSSEC-validatie en/of activeer het op je eigen systemen."

Kunnen jullie DNSSEC activeren voor de telfort abonnement houders? Graag jullie reactie.

Met vriendelijke groet,
Harry
icon

Beste antwoord door Bart - Telfort 5 april 2019, 12:35

Even een update van mijn kant. KPN zal in de loop van 2019 en 2020 het KPN-merk aanvullen met de sterke eigenschappen van de merken van Telfort, Telfort Zakelijk, XS4ALL en Yes Telecom. Hoe die aanvulling er precies uitziet, wordt in de loop van 2019 en 2020 bepaald. Ik verwacht hier op de korte termijn dus geen updates over, maar zal de wens delen met de organisatie!
Bekijk reactie

24 reacties

Reputatie 8
Badge +10
Volgens onderstaand artikel op security.nl ondersteunen de Nederlandse providers geen DNSSEC.
Het artikel is al 5 jaar oud maar lijkt nog steeds actueel...

https://www.security.nl/posting/401188/Veiligheid+internetbetalingen+ondergraven%3A+providers+ondersteunen+geen+DNSSEC
Reputatie 1
Volgens dit artikel is XS4All overgestapt naar DNSSEC.
https://dutchitchannel.nl/594581/sidn-sluit-pilot-dnssec-validerende-dns-service-succesvol-af.html

Ook TransIP is al van DNSSEC voorzien.
https://www.transip.nl/domeinnaam/transdns/
Reputatie 8
Badge +10
Volgens dit artikel is XS4All overgestapt naar DNSSEC.https://dutchitchannel.nl/594581/sidn-sluit-pilot-dnssec-validerende-dns-service-succesvol-af.html
Ik zie het... XS4ALL heeft veiligheid voor haar klanten altijd al hoog in het vaandel gehad.

https://www.xs4all.nl/service/diensten/beveiliging-en-veiligheid/gebruiken/dnssec.htm

Ik ben benieuwd of KPN deze goede kwaliteiten van XS4ALL ook gaat toevoegen aan hun eigen servicelevel nadat de merknaam XS4ALL binnenkort verdwijnt, zoals ze beweren...

Ook TransIP is al van DNSSEC voorzien.https://www.transip.nl/domeinnaam/transdns/

Da's leuk maar TransIP is een domeinhoster, geen ISP.
Van een betaalde hostingservice mag je dit verwachten.
Reputatie 8
Badge +7
Ziggo doet ook nog niet mee, daar is het ook al eens uitgebreid behandeld in het forum.
Reputatie 8
Badge +10
Ziggo doet ook nog niet mee, daar is het ook al eens uitgebreid behandeld in het forum.
Het lijkt vooralsnog alleen XS4ALL te zijn, zoals je mocht verwachten... 😉
Reputatie 8
Als je een andere DNS-server gebruikt voor je instellingen, wordt de test wel goed uitgevoerd.


Reputatie 8
Badge +10
De meest gebruikte (publieke) DNS-servers voorzien inderdaad in DNSSEC beveiliging, de providers niet.

Google: 8.8.8.8 en 8.8.4.4
Cloudflare: 1.1.1.1

Jammer genoeg doet OpenDNS niet mee met DNSSEC terwijl ze juist op het gebied van protectie tegen malware, phishing en web content filtering etc. juist zo goed scoren.
OpenDNS heeft wel een eigen implementatie die heet DNSCrypt maar die is op lokaal netwerkniveau (eigen router) alleen beschikbaar voor de opensource firmware zoals OpenWRT en Tomato.
Jammer...
Reputatie 8
Badge +7
Hallo @Enterprise ,
ik heb 1.1.1.1 zowel in mijn modem v10 als in de ipv4 configuratie van mijn laptop gezet en krijg toch geen goed resultaat. Als DND-provider wordt PT genoemd.
Ik ga het eens met de DNS van Google proberen.
Reputatie 8
Badge +10
Hallo @Enterprise ,
ik heb 1.1.1.1 zowel in mijn modem v10 als in de ipv4 configuratie van mijn laptop gezet en krijg toch geen goed resultaat. Als DND-provider wordt PT genoemd.
Ik ga het eens met de DNS van Google proberen.

Cloudflare lijkt zoals ik op internet lees nogal eens te 'haperen' v.w.b. de DNSSEC...
Probeer inderdaad eens of Google een betere uitslag geeft.

NB... als je een DNS-server hebt ingesteld op je modem/router dan hoef je dat niet meer te doen op je laptop of andere devices achter de modem/router.
Deze krijgen allemaal de DNS die op de modem/router is ingesteld.

Nog een NB... ik twijfel aan de betrouwbaarheid van de uitslagen op de genoemde testsite.
Deze geeft geregeld aan dat ik geen IPv6 WAN-IP adres heb terwijl dat toch écht wel het geval is...
Reputatie 8
Badge +7
Hallo @Enterprise ,
Bedankt voor je reactie, ook Google DNS geeft een negatief resiltaat.
Goed dat je schreef dat OpenDNS het niet doet, want die wilde ik ook proberen.
Fijne dag verder, ik ben de komende uren even uit de lucht.
Reputatie 8
Badge +10
Hallo @Enterprise ,
Bedankt voor je reactie, ook Google DNS geeft een negatief resiltaat.
Goed dat je schreef dat OpenDNS het niet doet, want die wilde ik ook proberen.
Fijne dag verder, ik ben de komende uren even uit de lucht.

Graag gedaan en fijne dag nog... 😉
Zoals ik al zei, die testsite lijkt niet betrouwbaar...
Wat OpenDNS betreft, zij bieden dan wel geen DNSSEC maar ik gebruik deze toch al jaren om reden van de overige beveiliging die ze wél bieden.

Het zou KPN/Telfort overigens sieren als ze DNSSEC ook zouden aanbieden op hun eigen DNS-servers...
Reputatie 8
Badge +11
Hoi @HarryHorrible, ik lees dat je graag de DNSSEC geactiveerd wilt zien. Hier is al veel op ingegaan hierboven. Daar komt jammer genoeg uit dat ik je daar niet bij kan helpen helaas. Dit ondersteunen wij niet.
Reputatie 8
Badge +10
Hoi @HarryHorrible, ik lees dat je graag de DNSSEC geactiveerd wilt zien. Hier is al veel op ingegaan hierboven. Daar komt jammer genoeg uit dat ik je daar niet bij kan helpen helaas. Dit ondersteunen wij niet.
En da's jammer... 🙄
Het moet voor een grote speler als KPN op de markt toch niet zo moeilijk zijn om ergens een paar (redundant?) servertjes in te zetten om DNSSEC te ondersteunen...?
KPN, maak je sterk voor je klanten en biedt ze de veiligheid die tegenwoordig broodnodig is op internet, ze betalen er genoeg voor...
Reputatie 8
....ook Google DNS geeft een negatief resultaat.
Mijn eerdere reactie moet ik daarbij toch wat beter nuanceren. Dat ik wel een positief resultaat heb, komt wellicht omdat ik de Google DNS-server in mijn 2e router als zodanig heb ingesteld?

Test ik met een PC rechtstreeks aangesloten op de EB V10, heb ik ook een negatief resultaat.

Nog een test met mijn 2e router aangesloten op de EB V10, zodat die automatisch de in de V10 ingestelde DNS-server krijgt toegewezen, blijft het echter nog steeds een positief resultaat. Dus die 2e router heeft kennelijk toch een bepaald effect, met wat bij een aangesloten PC niet werkt?
Reputatie 8
Badge +11

En da's jammer... 🙄
Het moet voor een grote speler als KPN op de markt toch niet zo moeilijk zijn om ergens een paar (redundant?) servertjes in te zetten om DNSSEC te ondersteunen...?
KPN, maak je sterk voor je klanten en biedt ze de veiligheid die tegenwoordig broodnodig is op internet, ze betalen er genoeg voor...


Wellicht wordt er over nagedacht, dat kan ik nu niet zeggen. Ik ga eens op zoek of hier iets over bekend is. Zo ja, dan laat ik het weten.
Reputatie 1
Bedankt voor alle reacties. Ik ben geen beveiligingsexpert, maar probeer gewoon met gezond verstand te begrijpen wat er gebeurt.

Dus een DNS server vertaalt website benamingen naar een IP adres. Stel je komt via een omweg op een foute DNS server. Hoeveel last heb je hier nou echt van, nou best wel een serieus probleem:
  1. Je kan nooit zeker weten of je op de echte website zit, zit je op een foute website, dan is alles wat je intikt bekend bij de hacker. Alstublieft.
  2. zolang je je bankzaken, belasting aangifte, verzekeringen e.d. doet met een 2nd factor authenticatie (code intypen via je mobiel o.i.d.) is het niet zo'n probleem. Hoewel, totdat je je 2nd factor in tikt op een foute website staat dus eigenlijk alles open!
Hierbij mijn conclusies:
  1. De veiligste oplossing is natuurlijk gewoon alle ip adressen intikken, maar ja, wie doet dat nou.
  2. De DNS servers van Xs4All gaven mij geen toegang tot internet. Jammer voor mij, maar op zich toppie beveiligd. Alleen hun eigen klanten kunnen erop.
  3. Voor nu ben ik overgestapt op de DNS adressen van Google: 8.8.8.8 en 8.8.4.4. DNSSEC staat aan! En nou maar hopen dat zij een goede DNS tabel hebben.
Ik zou toch graag zien dat er een structurele oplossing komt. Aangezien XS4all toch al is overgenomen door KPN/Telfort, wellicht dat een paar van deze wizzkids een handje kunnen helpen?
Reputatie 8
Badge +10
Bedankt voor alle reacties. Ik ben geen beveiligingsexpert, maar probeer gewoon met gezond verstand te begrijpen wat er gebeurt.
En terecht..!
Als je op zo'n testsite terecht komt en je krijgt zo'n waarschuwing dan krab je je wel even achter je oren...

Dus een DNS server vertaalt website benamingen naar een IP adres. Stel je komt via een omweg op een foute DNS server. Hoeveel last heb je hier nou echt van, nou best wel een serieus probleem:
  1. Je kan nooit zeker weten of je op de echte website zit, zit je op een foute website, dan is alles wat je intikt bekend bij de hacker. Alstublieft.
  2. zolang je je bankzaken, belasting aangifte, verzekeringen e.d. doet met een 2nd factor authenticatie (code intypen via je mobiel o.i.d.) is het niet zo'n probleem. Hoewel, totdat je je 2nd factor in tikt op een foute website staat dus eigenlijk alles open!

Zo is het...

3. Voor nu ben ik overgestapt op de DNS adressen van Google: 8.8.8.8 en 8.8.4.4. DNSSEC staat aan! En nou maar hopen dat zij een goede DNS tabel hebben.

Twijfel daar maar niet aan... ik denk dat ze de meest uitgebreide DNS-resolvers ter wereld hebben... 😆

Ik zou toch graag zien dat er een structurele oplossing komt. Aangezien XS4all toch al is overgenomen door KPN/Telfort, wellicht dat een paar van deze wizzkids een handje kunnen helpen?

Dat zou inderdaad mooi zijn...
Reputatie 8
...zolang je je bankzaken, belasting aangifte, verzekeringen e.d. doet met een 2nd factor authenticatie (code intypen via je mobiel o.i.d.) is het niet zo'n probleem.
Hoewel, totdat je je 2nd factor in tikt op een foute website staat dus eigenlijk alles open!

Dat vraag ik me af?

Twee 2 factor autorisatie is een unieke koppeling tussen die van een server tot op account gebruikersniveau en de gegenereerde code. Een "foute website" kan dan wel een code ontvangen die een gebruiker intikt. Maar hoeft daarmee nog geen koppeling te hebben met een gebruikte versleuteling. Omdat die koppeling niet bekend is vanuit server-zijde.

Bijv. bij de Rabobank genereert de Rabobank website een gekleurd blokjespatroon.
Dat moet dan door een Rabo scanner eerst worden gescand, waarbij een algoritme wordt gebruikt precies wat bij die gebruiker hoort. Dus de Rabobank website is de eerst "aangevende" partij.

Een foute website heeft niet standaard "van tevoren" reeds die juiste koppeling bij de hand, die past bij de Rabo scanner en gebruiksgegevens.

Voor een organisatie waar ik het ICT beheer doe met o.a. een centrale server, gebruiken we ook twee factor autorisatie. Voor de eerste keer voor ingebruikname moet daarbij een QR-code worden gefotografeerd om die koppeling met het systeem te maken.

Je kunt de oude code weer laten vervallen in het systeem, maar bijv. in het appje op je telefoon laten staan. Maak je een nieuwe koppeling aan, is dat een andere code dan die eerste keer. Dus een nieuwe koppeling geeft weer een nieuwe code die anders is als via de oude koppeling.
En dat allemaal verder wel met dezelfde account / gebruiksgegevens.
Reputatie 1
Ja, maar ik zit bij een andere bank. En daar tik ik eerst userid en wachtwoord in. Dan gaat de website open...... Naam, adres, email adres, deel van mijn geboortedatum, deel van mijn 2nd factor apparaat. Au.

De hacker weet nu mijn userid, wachtwoord en kan nu alle info zien die ik ook zie.
Reputatie 8
Die kan die gegevens dan wel zien en om "erna" daarmee bij jou bank te proberen in te loggen en geld over te maken naar duistere rekeningen. Maar vanuit zijn deel met een niet kloppende twee factor autorisatie zal hij bij jou echte bank daarmee niet verder komen.
Reputatie 8
Badge +11
Even een update van mijn kant. KPN zal in de loop van 2019 en 2020 het KPN-merk aanvullen met de sterke eigenschappen van de merken van Telfort, Telfort Zakelijk, XS4ALL en Yes Telecom. Hoe die aanvulling er precies uitziet, wordt in de loop van 2019 en 2020 bepaald. Ik verwacht hier op de korte termijn dus geen updates over, maar zal de wens delen met de organisatie!
Reputatie 1
Iedereen bedankt voor zijn/haar reactie.

Met vriendelijke groet,
Harry
Reputatie 8
Badge +11
Graag gedaan @HarryHorrible. Mocht je zo nog meer vragen hebben, dan zien wij graag weer een topic verschijnen.
Reputatie 8
Badge +7

DNSSEC staat nu standaard aan bij Telfort, zie:

https://forum.telfort.nl/nieuws-251/vanaf-nu-heeft-telfort-extra-veilig-internet-met-dnssec-85090

Reageer