Geschreven door: Stefanie Weber

Met het installeren van een SSL certificaat op de server bent u al een heel eind op weg naar online veiligheid voor u en uw klanten. Maar denkt u dat het beter kan, dan helpen wij u een eindje verder op weg met enkele veelgebruikte online scans voor uw servers en instellingen. Zo maken we samen het internet nog een stukje veiliger.

Hoofdstuk 3: DNS scanners
DNS staat voor Domain Name System en werkt als het telefoonboek van het internet. De DNS-configuratie van een website is daarom zeer belangrijk: zonder correcte contactgegevens kan er ten slotte ook niet gebeld worden. In een DNS configuratie staan onder andere de juiste nameservers die een domein gebruikt en de protocollen die gebruikt worden. Ook bevat het glue records van de nameservers. Wanneer een domein gebruik maakt van een nameserver op subdomein-niveau, zoals ns1.voorbeeld.nl voor www.voorbeeld.nl, zou bij het controleren van de DNS gegevens deze check in een oneindige loop vallen. Een glue record dient dan als validatie: deze wordt aangemaakt door de registrar als bevestiging dat de opgegeven nameserver correct is, zodat de check zonder problemen afgewerkt kan worden.

DNS als handige en kortere methode om adressen uit te wisselen tussen computers in een netwerk bestaat al sinds ARPANET. Voor security was toen nog geen aandacht. Met het openbaar stellen van het internet aan het begin van de jaren ’90 kwam daar verandering in. Al snel werden er beveiligingsproblemen opgemerkt, waar natuurlijk meteen misbruik van werd gemaakt. Zo werd de DNS cache poisoning methode ontwikkeld, waarbij caching resolvers om de tuin worden geleid met foutieve data, zoals IP adressen van andere servers. Zo kunnen bezoekers van een adres doorgestuurd worden naar malafide websites. Ook worden DNS requests niet versleuteld, waardoor de data gewoon uitgelezen kan worden. Om deze beveiligingsproblemen op te lossen werd DNSSEC ontwikkeld.

Aan de slag met de toolbox
DNS zelf zorgt dus niet voor een veilige website, maar er zijn tegenwoordig wel veel beveiligingstechnieken die er afhankelijk van zijn. Daarom is het zeer belangrijk dat de DNS servers en de zone van een domein goed zijn ingericht.

Er zijn talloze tools te vinden op het internet die kunnen helpen met het configureren van de DNS.

Zonemaster.se
zonemaster
Zonemaster.se
is een domeinchecker die alle aspecten van de nameserver controleert, en duidelijk uitlegt wat een fout inhoudt. De meest voorkomende fouten zijn connectiviteitsfouten en verkeerd ingestelde PRT records. Hoewel dit geen problemen zijn die onoverkomelijk zijn, zouden deze instellingen wel voor vervelende situaties kunnen gaan zorgen in de toekomst.

zonemaster-resultaten
Zonemaster.se biedt een zeer groot en uitgebreid overzicht dat gelukkig door uitklapbare tabjes overzichtelijk is gemaakt. Het biedt een doorgewinterde systeembeheerder een goede houvast om de configuratie te verbeteren.

DNSinspect.com
dnsinspect
DNSinspect
werkt met een inmiddels welbekende scorekaart die zeer overzichtelijk aangeeft waar de problemen kunnen liggen. Het kijkt daarvoor net wat verder dan de standaard scanner en biedt meer inzicht per probleemgebied dan Zonemaster.se dat doet. Zo vindt DNSinspect dat het beter is om niet te veel informatie te delen over de software die op een nameserver draait, waarschuwt het wanneer de waardes van de SOA verbeterd kunnen worden, en kijken ze naar de configuratie van de MX records.

dnsinspect-soa
Ook controleert DNSinspect op de aanwezigheid van postmaster- en abuse mailadressen, en checkt het de SPF records.

dnsinspect-spf
IntoDNS.com

IntoDNS is een relatief nieuwe DNS scanner, en is ook nog in beta. Hoewel IntoDNS sneller is dan Zonemaster.se en DNSinspect, controleert het op veel minder punten. De uitleg die gegeven wordt is ook wat versimpeld in vergelijking met de voorgaande scanners.

intodns
Dnssec-debugger.verisignlabs.com

De DNSSEC-debugger van VerisignLabs is dé scanner voor DNSSEC en heeft daarom een streepje voor op de voorgaande drie scanners. Alleen zonemaster.se heeft ook een DNSSEC scan, maar deze is niet zo uitgebreid als de DNSSEC-debugger.

dnssecverisign
De DNSSEC-debugger biedt een zeer uitgebreide scan die opgesplitst is in een aantal onderwerpen. Wanneer ze groen zijn afgevinkt, is de configuratie goed. Staat er een uitroeptekentje of zelfs een kruisje, dan is er werk aan de winkel. De scanner biedt naast bovenstaande samenvatting ook de optie om meer, of minder, informatie over de scanresultaten weer te geven.

Scanners in overvloed
Naast deze bovenstaande scanners zijn er nog veel meer aanbieders te vinden op het internet. Zo is er dnsviz.net, die de resultaten in een grafisch overzicht weergeeft. Een andere scanner die het noemen waard is, is Pingdom. Deze scanner is wel trager dan de eerdergenoemde scanners, maar controleert ook op DNSSEC en biedt de toegevoegde waarde van een scan-historie.

Met het huidige aanbod DNS scanners is er dus altijd wel eentje bij die u de informatie kan bieden waar u naar op zoek bent, zodat u uw configuratie kunt aanpassen naar de best mogelijke instellingen.

Volgende keer kijken we naar totaalpakketten.


Deel artikel via: