RAPPORT OVER DE DNS- BESCHIKBAARHEID



Vergelijkbare documenten
Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag. Datum 22 mei 2013 Beantwoording Kamervragen 2013Z08874

Sim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie

Performance Scan UWV.nl en Werk.nl in opdracht van FNV

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van

Cookie-beleid. Inleiding Over cookies

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

Partners in Information Security. Partners in Information Security. Peter Rietveld. DDoS in perspectief

Herleid uw downtime tot het minimum met een multidatacenter. Uniitt

Kaspersky DDoS Beveiliging. Ontdek hoe Kaspersky Lab bedrijven verdedigt tegen DDoS-aanvallen

Symantec Protection Suite Small Business Edition Een eenvoudige, doelmatige en betaalbare oplossing, speciaal voor kleine bedrijven

OpenX Hosting. Opties en Alternatieven

Van Small Business Server naar Cloud Small Business Services. Uw vertrouwde Small Business Server in de cloud

Website Performance Rapport 2013: E-COMMERCE

Asset 1 van 4. Data Recovery as a Service. Gepubliceerd op 9 november 2015

Cookie-beleid. Inleiding Over cookies

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Genkgo Hosting. A. Wat is hosting?...2. B. Welke hostingscenario's zijn er mogelijk?...3. Scenario 1: Verhuizen domeinnaam, verhuizen ...

authenticatie

Sr. Security Specialist bij SecureLabs

5W Security Improvement

Optimaliseer de performance van uw dienst

Behoud de controle over uw eigen data

Hoe kunt u profiteren van de cloud? Whitepaper

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

5 CLOUD MYTHES ONTKRACHT

PRODUCT SHEET WHAT WE DO

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

SAMENVATTEND VERSLAG OVER IER- INBREUKEN Samenvatting

Onderzoeksverslag Beveiliging

PRIVATE CLOUD. Ervaar het gemak van de private cloud: minder gedoe, meer waarde

Factsheet BEHEER CONSULTANCY Managed Services

MEER CONTROLE, MEER BEVEILIGING. Business Suite

Zonder deze tool blijft je netwerk onbeheersbaar

Hoe zorgt u voor maximale uptime met minimale inspanning?

DETECTIE EN RISICOCLASSIFICATIE VAN TYPOSQUATTING

ROC ID College vergroot kracht van virtuele desktops

hoogwaardige IaaS Cloudoplossingen

CLOUDCOMPUTING (G)EEN W LKJE AAN DE LUCHT!

Snel start gids. Alle informatie om uw website snel te kunnen publiceren.

WHITEPAPER DEEPBLUE HONEYPOT

Office 365. Overstappen of niet?

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

Factsheet E COMMERCE BEHEER Managed Services

Uw virtuele systemen in drie stappen beschermen. Bedrijven die advies willen over een back-upoplossing voor virtuele omgevingen

IC Mail Gateway Gebruikershandleiding

Factsheet COOKIE COMPLIANT Managed Services

RACKBOOST Hosted Exchange. Mobiel, veilig en eenvoudig. hosting support consulting

IP Services. De grenzeloze mogelijkheden van een All IP -netwerk

DE 5 VERBETERPUNTEN VAN UW SECURITY

Security bij de European Registry for Internet Domain Names

NEXT LEVEL DATA SECURITY DRIE VOORDELEN VAN WERKEN IN DE CLOUD

Wat houdt Symantec pcanywhere 12.0 in? Belangrijkste voordelen Gemakkelijke en veilige externe verbindingen Waarde Vertrouwen

Axoft managed router rapportage Toelichting week rapportage

BIJZONDERE VOORWAARDEN VOOR CDN DEDICATED Versie

Garandeer de continuïteit van uw dienstverlening

Setup van uw Norman Online Protection account

Google Site Search De websitezoekfunctie van Google voor uw organisatie

Factsheet CMS & DIGITAL MARKETING BEHEER Managed Services

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

1. Proloog webtechno, rauwkost

Abuse & acceptable use policy

Clair: heldere Europese oplossing voor online kantoorautomatisering

Kaspersky DDoS Protection. Uw bedrijf beschermen tegen financiële schade en reputatieschade met

Blackboard. Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE

ALLIANDER. Neemt de wind in de zeilen en transformeert het inkoopproces

VOOR DE SCHERMEN. Betrokken en betrouwbaar in ICT-oplossingen

Kiezen voor een eigen Dark Fiber. 10 Redenen waarom eigen Dark Fiber verstandig is

Privacy Statement Mulders Motoren

SchoolNet. In samenwerking met de Vlaamse overheid. De complete internetoplossing voor uw school Ultraveilig. Ultrasnel. Ultrabetrouwbaar.

Klaar voor de cloud! Stap voor stap naar cloudtransformatie

SchoolNet. De complete internetoplossing voor uw school Ultraveilig. Ultrasnel. Ultrabetrouwbaar.

Reference case Atlas Copco. Atlas Copco gebruikt Vodafone M2M om wereldwijd de klantondersteuning te verbeteren. Vodafone Power to you

Symantec Endpoint Protection Small Business Edition 2013

STORAGE AUTOMATION IT MANAGEMENT & OPTIMIZATION DATAGROEI DE BAAS MET EXTREEM BEHEERGEMAK DOOR AUTOMATISERING EN VIRTUALISATIE

Factsheet SECURITY CONSULTANCY Managed Services

HOUD UW BEDRIJFSVOERING ALTIJD EN OVERAL VEILIG. Protection Service for Business

The digital transformation executive study

Technieken voor sterke wachtwoorden

Profiteer van veranderende technologieën

CBizz Dienstbeschrijving Cogas Footprint

Veelgestelde vragen van Partners WorkloadIQ Veelgestelde vragen 17 augustus 2010

Forecast XL Technology

Medical Firewall. Wel zo veilig!

SECURITY UITDAGINGEN 2015

Marlin Family. Marlin

Welkom bij Interconnect. Maartje van Alem Marketing Manager

Breng uw socialmedia-prestaties naar een hoger niveau met krachtige socialmedia-analyses

90 minutes of Fiber & Lunch

Kostenverlaging voor IT-beveiliging

Informatie Sandtronic IT Resellerprogramma

Whitepaper: Online merkbeveiliging. Stationsplein EX Hilversum +31 (0)

DNSSEC voor.nl. 1 Inleiding

Productiviteit voor de onderneming

Hostbasket. Het hosting en cloud computing aanbod van Telenet

!! Het!nieuwe!digitale!zakkenrollen!!!

Factsheet SECURITY DESIGN Managed Services

Case 4 Consultancy. 28 April F.J.H. Bastiaansen. D.A.J. van Boeckholtz. Minor Online Marketing

Transcriptie:

RAPPORT OVER DE DNS- BESCHIKBAARHEID VOLUME 1 NUMMER 1 APRIL 2011 WEBSITES EN ANDERE ONLINE SERVICES BEHOREN TOT DE BELANGRIJKSTE OPERATIONELE EN OMZETGENERERENDE TOOLS VOOR BEDRIJVEN VAN ELKE OMVANG EN IN ELKE SECTOR. DE AANDACHT VOOR NETWERKPRESTATIES IS DAN OOK ONGEKEND GROOT. MAAR BIJ DE PERFORMANCE-MONITORING WORDT EEN VAN DE MEEST BEDRIJFSKRITISCHE ONDERDELEN VAN EEN BETROUWBARE INTERNETINFRASTRUCTUUR, HET DNS (DOMAIN NAME SYSTEM), VAAK OVER HET HOOFD GEZIEN. ALS EEN TOONAANGEVENDE AUTORITEIT OP HET GEBIED VAN NETWORK INTELLIGENCE EN BESCHIKBAARHEID VAN NETWERKEN HEEFT VERISIGN DIT RAPPORT SAMENGESTELD OM EEN BETER KWALITATIEF EN KWANTITATIEF INZICHT TE BIEDEN IN DE BESCHIKBAARHEID VAN DNS EN DE MOGELIJKE GEVOLGEN VAN DOWNTIME. VerisignInc.com

RAPPORT OVER DE DNS-BESCHIKBAARHEID SAMENVATTING In een recent namens Verisign uitgevoerd marktonderzoek(i) gaf 60% van de ondervraagden aan dat minimaal een kwart van de omzet van hun bedrijf rechtstreeks wordt behaald via de bedrijfswebsite. Dit cijfer was zelfs nog hoger bij kleine en middelgrote ondernemingen, die sterk van hun websites afhankelijk zijn om omzet te genereren en marketing te bedrijven. Een onderneming kan alleen goed functioneren als het bedrijfsnetwerk goed functioneert. En een netwerk functioneert alleen optimaal als het DNS altijd beschikbaar is. Jennifer Pigg, Analyst en Vice-president bij Yankee Group, zegt(ii): Organisaties zijn steeds meer afhankelijk van e-commerce als een belangrijke of de belangrijkste inkomstenstroom en van hun externe netwerk voor bedrijfskritische functies zoals klantenservice, verkoop en support. Ze realiseren zich dat ze zich geen DNS-uitval of inbreuk op de beveiliging kunnen permitteren. Desalniettemin zien we in deze eerste uitgave van het Verisign rapport over de DNS-beschikbaarheid dat zelfs de meest prominente e-commerce-sites in het eerste kwartaal van 2011 problemen hadden met de beschikbaarheid van DNS. Ons onderzoek onder een wereldwijde steekproef van websites liet zien dat problemen met de beschikbaarheid veel grotere gevolgen hadden voor sites waarop een eigen DNS is gehuisvest (zoals momenteel voor websites van de meeste grote ondernemingen geldt) dan voor sites die gebruikmaken van beheerde DNS-services van externe providers. Dit geldt met name als we kijken naar de minimale beschikbaarheid. In dit rapport onderzoeken en kwantificeren we wereldwijd de omvang van problemen met de beschikbaarheid van DNS. We illustreren de risico s en gevolgen van downtime voor de gegenereerde omzet, de bedrijfscontinuïteit, klantentrouw en andere aspecten. DNS: SINGLE POINT OF FAILURE Vrijwel elke activiteit op het internet vereist een domeinnaam: van het opzetten van een website of een online winkel tot en met het versturen en ontvangen van e-mail. Er zijn momenteel meer dan 200 miljoen domeinnamen geregistreerd(iii). DNS ondersteunt deze domeinen en maakt het internet gebruiksvriendelijk en toegankelijk voor gebruikers over de hele wereld. DNS maakt websites, e-mailservers en internetsystemen toegankelijk door domeinnamen om te zetten in IP(Internet Protocol)-adressen. Elke server op het internet heeft een uniek IP-adres, dat bestaat uit een reeks cijfers en letters, bijvoorbeeld 123.45.67.254 (IPv4) of 2001:503:A83:0:0:2:30 (IPv6). Net zoals bijvoorbeeld telefoonnummers zijn deze lange cijferreeksen moeilijk te onthouden. Dankzij DNS kunnen mensen in een webbrowser in plaats van IP-adressen namen invoeren (bijvoorbeeld van bedrijven of merken) om een website te bezoeken of een e-mailbericht te versturen. DNS fungeert voor elke website als de toegangspoort die gebruikers en klanten binnenlaat om internettransacties uit te voeren. De DNS-omzetting van namen in IP-adressen duurt meestal maar enkele tienden van seconden en de gebruiker merkt er niets van. Maar tijdens een DNS-uitval krijgt de gebruiker een foutbericht te zien en is de website niet bereikbaar. Door dergelijke storingen raken bezoekers snel geïrriteerd en kiezen ze voor een andere website. Dit leidt tot schade aan de merkreputatie en de klantentrouw en tot onmiddellijke en uitgestelde effecten op de verkoop en de personeelsproductiviteit. Gezien het toenemende gebruik van webservices zijn bovendien steeds meer websites afhankelijk van externe providers van webfunctionaliteit en content, zoals sociale netwerksites en/of verkoopportalen. Als DNS op deze externe sites niet functioneert, kan dit de bedrijfsprocessen ontregelen. 2

Voor vrijwel alle ondernemingen zijn internetservices steeds essentiëler geworden en veel ondernemingen vergeten dat de beschikbaarheid en veiligheid van hun aanwezigheid op het internet volledig afhangt van de beschikbaarheid en veiligheid van hun DNSinfrastructuur, aldus Lydia Leong, Analyst bij Gartner(iv). OVERZICHT VAN HET ONDERZOEK Methode ThousandEyes, een provider van oplossingen voor netwerkanalyse en -planning, kreeg opdracht om de DNS-beschikbaarheid van een heterogene steekproef van domeinnamen (de top-1000 websites volgens Alexa) te meten. Via een zelf ontwikkeld model heeft de firma gedurende de laatste 7 dagen van januari, februari en maart 2011 elke site eenmaal per uur geanalyseerd. Op elk van de geanalyseerde DNS-servers werden uitgebreide tests uitgevoerd om er zeker van te zijn dat de standaarden op het gebied van DNS-omzetting werden nageleefd en de servers geen bekende abnormale of onbetrouwbare respons gaven. Van de 1.000 Alexasites werden er 8 van het onderzoek uitgesloten omdat ze tijdens het testen niet langer reageerden, zodat er gegevens van in totaal 992 sites zijn verzameld. Voor 142 van deze 992 sites (14%) werd de DNS-omzetting verzorgd door bekende hosted DNS-providers, terwijl bekende CDN-providers de DNS-omzetting voor nog eens 47 sites (5%) voor hun rekening namen. DNS werd alleen als niet-beschikbaar beschouwd indien de server reageerde met een van de volgende bekende DNSfoutcodes: Servfail, Nxdomain, No Mapping of Truncated. Ten behoeve van de gegevensanalyse werden de onderzochte domeinen ingedeeld in twee categorieën: 1) domeinen met eigen DNS, en 2) domeinen die gebruikmaken van externe DNS-providers. Vervolgens werden de gemiddelde, minimale en maximale beschikbaarheid over alle domeinen in beide categorieën berekend. Het is een feit dat de prestaties van DNS vaak moeilijk te testen zijn vanwege het grote aantal variabelen. De resultaten hangen er bijvoorbeeld vanaf of de server over gegevens in de cache beschikt, hoe ver iemand van de DNS-server verwijderd is en wat de afstand tussen de DNS-server en de andere servers is. Om het effect van dergelijke variabelen te minimaliseren, zijn er doorlopende tests uitgevoerd en op regelmatige tijdstippen gegevens verzameld. Resultaten Hoewel de over de domeinen en de tijd gemiddelde beschikbaarheid voor websites met een eigen DNS maar weinig lijkt te verschillen van die van websites met een extern beheerde DNS, kan elke storing een reëel en blijvend effect hebben op de winstgevendheid van een onderneming. Verderop geven we voorbeelden van de mogelijke impact van dit ogenschijnlijk onbeduidende verschil. Er is echter een enorm verschil te constateren wanneer we kijken naar de minimale beschikbaarheid (figuur 1). Op dit punt presteren de websites met hun eigen DNS veel slechter dan websites met een beheerde DNS-service. Om dit feit nader te belichten, hebben we de distributie van de minimale beschikbaarheid voor alle websites met interne DNS (figuur 2) en extern beheerde DNS (figuur 3) weergegeven. Figuur 1: Vergelijking van DNSbeschikbaarheid Minimale beschikbaarheid (gemiddeld over domeinen) Maximale beschikbaarheid (gemiddeld over domeinen) Beschikbaarheid (gemiddeld over domeinen en tijd) Figuur 2: Minimale DNS-beschikbaarheid van websites met eigen DNS Min. beschikbaarheid (0-100%) 120 100 80 60 40 20 0 Intern beheerde DNS DNS van externe provider Wereldwijd Verenigde Staten Wereldwijd Verenigde Staten 90.13 89.17 98.04 97.71 99.98 99.99 99.99 100 99.7 99.85 99.85 99.94 1 101 201 301 401 501 601 701 801 Domeincode 3

Figuur 3: Minimale DNS-beschikbaarheid van websites met externe DNS-provider Min. beschikbaarheid (0-100%) 120 100 80 60 40 20 0 1 21 41 61 81 101 121 141 Domeincode De bovenstaande twee figuren laten zien dat de DNSbeschikbaarheid helemaal tot 0 kan terugvallen bij websites die hun eigen DNS huisvesten, terwijl de beschikbaarheid bij websites met externe DNS-providers nooit lager werd dan 50%. Dit wordt waarschijnlijk veroorzaakt doordat de externe DNS-providers gebruikmaken van een anycast-systeem, zodat er altijd wel ergens een server beschikbaar is om de DNS-queries te beantwoorden. Dankzij dit systeem ondervindt de gebruiker weinig hinder, zelfs niet als enkele fysieke anycast-instanties uitvallen of onbereikbaar zijn. Een van de providers gebruikt een hybride model met een combinatie van anycast en unicast, hetgeen een optimale combinatie van prestaties en betrouwbaarheid oplevert voor DNS-queries en de beantwoording hiervan. De meeste ondernemingen beschikken niet over de middelen en de expertise om dergelijke kostbare systemen te implementeren voor hun intern beheerde DNS. Dit zou de reden voor de grote discrepanties kunnen zijn. WAT BETEKENT DIT IN DE PRAKTIJK? Doordat de marketing, de klantenservice, het genereren van omzet en andere belangrijke bedrijfsfuncties steeds sterker afhankelijk worden van de online aanwezigheid van de onderneming, heeft zelfs een korte systeemuitval een reëel en blijvend effect op de winstgevendheid van een onderneming. In het onderstaande voorbeeld wordt gebruikgemaakt van gegevens die voor dit rapport zijn verzameld om te illustreren wat de gevolgen van een ogenschijnlijk geringe hoeveelheid downtime voor een onderneming kunnen zijn. Onder de aanname dat het dataverkeer over een periode van 24 uur gelijkmatig is, volgt hieronder een voorbeeld op basis van de verzamelde gegevens over de gemiddelde beschikbaarheid. Voorbeeld: Mega Online Advertising Het fictieve bedrijf Mega Online Advertising heeft in het eerste kwartaal van 2011 een omzet uit reclame behaald van 796 miljoen dollar. Het kwartaal telt 90 dagen, zodat de gemiddelde reclameomzet 8.840.000 dollar per dag oftewel circa 100 dollar per seconde bedraagt. Een DNS-uitval van één uur kost het bedrijf 368.519 dollar. Een uptime van 99,70%, blijkens dit onderzoek de gemiddelde DNS-beschikbaarheid voor internationale domeinen met een intern beheerde DNS, zou leiden tot een omzetverlies van 26.534 dollar per dag oftewel 2.388.033 dollar in het hele kwartaal. Deze bedragen zouden maar half zo hoog zijn geweest als de onderneming gebruik had gemaakt van een externe DNS-provider, zoals blijkt uit de gemeten gemiddelde beschikbaarheid voor dergelijke websites (99,85%). Op basis van deze resultaten zou Mega Online Advertising er goed aan doen een DNS-serviceprovider te zoeken met een goede staat van dienst op het gebied van hoge beschikbaarheid, zodat ze het risico van DNS-uitval kunnen beperken. Hoewel dit een sterk vereenvoudigd en fictief voorbeeld is, zijn de gebruikte cijfers heel realistisch voor echte bedrijven in deze sector. Gelet op het feit dat meerdere onderzochte ondernemingen met eigen DNS tijdens de looptijd van het onderzoek te kampen hadden met volledige DNS-downtime van uiteenlopende lengte, is het eenvoudig in te zien dat de gevolgen van omzetderving, ontevreden klanten en productiviteitsverlies al snel rampzalige vormen kunnen aannemen voor ondernemingen die voor hun bedrijfsprocessen vertrouwen op hun web- en netwerksystemen. Het is slechts een kwestie van tijd voordat er een PRnachtmerrie ontstaat, tenzij de juiste maatregelen worden getroffen met behulp van goede planning en ondersteuning. 4

CONCLUSIE Ondernemingen kunnen voor het DNS-beheer kiezen uit drie opties: Alles intern oplossen Vertrouwen op hun internet service provider (ISP) Samenwerken met een provider van beheerde DNSservices. Volgens Yankee Group beheren de meeste grote ondernemingen hun DNS intern of via hun ISP(v). Veel ondernemingen maken zelfs gebruik van beide opties: ze verzorgen zelf het DNS-beheer voor hun interne netwerk en gebruiken hun ISP voor het beheer van hun externe internet-ecosysteem van klanten, partners, websites, portalen en e-commerce-sites. Deze stelling wordt ondersteund door de in dit rapport gepresenteerde gegevens, die laten zien dat bijna drie kwart van de ondernemingen in de steekproef hun eigen DNS beheert. Volgens een schatting van Yankee Group beschikt 85% van de ondernemingen met intern DNS-beheer niet over een speciaal DNS-team, maar beheren ze DNS op een ad hoc-basis met beperkte deskundigheid en zonder voldoende goed gedefinieerde operationele processen. Bovendien stelt Yankee Group dat ondernemingen die het DNS-beheer overlaten aan hun ISP, waarschijnlijk geen optimale DNS-prestaties mogen verwachten, omdat DNS-beheer nu eenmaal niet de kernactiviteit van een ISP is. De voor dit rapport verzamelde gegevens ondersteunen deze stelling, doordat er significante verschillen aan het licht komen tussen de DNSbeschikbaarheid van websites met intern respectievelijk extern beheerde DNS. Trends zoals cloud-computing, mobiel werken en intensief gebruik van uiteenlopende mobiele apparaten verhogen de druk op de IT-infrastructuur en het DNSbeheer, aldus Ben Petro, Senior Vice-president van de Network Intelligence and Availability Group van VeriSign. Daardoor hebben veel ondernemingen moeite om een hoge beschikbaarheid van deze systemen te waarborgen. Naarmate ondernemingen meer en meer overstappen op cloud-based alternatieven voor applicaties, gegevensopslag en services, wordt het DNS-beheer gecompliceerder en staat de deur open voor nieuwe veiligheidslekken en uitdagingen voor de beveiliging. Providers van beheerde DNS-services beschikken over de nodige tools en expertise om het netwerk beter te beveiligen, de beschikbaarheid te vergroten en de prestaties te maximaliseren. In de meeste gevallen kunnen ondernemingen het zich niet permitteren om deze tools en expertise zelf in huis te halen. Ondernemingen moeten een afweging maken tussen de mate van controle die ze over hun DNS willen hebben en de kosten en de beschikbaarheid van DNS-resources. Een uitgebreid DNS-beheer vereist zorgvuldige planning en een aanzienlijke hoeveelheid expertise en resources. Helaas onderkennen de meeste ondernemingen de zwakke plekken in hun DNS-infrastructuur pas als het te laat is en ze te maken krijgen met omzetderving, of productiviteitsverlies. VERISIGN MANAGED DNS De oplossing voor effectief DNS-beheer is het kiezen voor een wereldwijd gedistribueerde, veilig beheerde cloud-service, zoals Verisign Managed DNS, die de beschikbaarheid verbetert en ondernemingen de kapitaalinvesteringen en operationele kosten voor het implementeren en beheren van een DNS-infrastructuur uit handen neemt. Verisign Managed DNS gebruikt een uniek, hybride model van DNS-omzetting via anycast en unicast, dat een optimale combinatie van prestaties en betrouwbaarheid garandeert voor DNS-queries en -antwoorden, zodat DNS-omgevingen eenvoudiger en flexibeler kunnen worden beheerd. Verisign bekleedt al sinds jaar en dag een toonaangevende positie op het gebied van DNS. De onderneming beheert DNS voor prominente topleveldomeinen (TLD s) zoals.com,.net,.gov,.edu,.tv,.cc,.jobs en.name met de hoogste uptimecijfers van alle registries. Dagelijks worden gemiddeld 60 miljard DNS-queries afgehandeld met een betrouwbaarheid van 100%. Om aan de uitzonderlijke vereisten voor het beheren van.com en.net te kunnen voldoen, heeft Verisign een eigen naamserver ontwikkeld met de naam ATLAS (Advanced Transaction Lookup and Signaling System), die DNSverkeer sneller en efficiënter afhandelt dan welke commercieel verkrijgbare server dan ook. 5

Voor maximale redundantie en snelheid beschikt Verisign wereldwijd over 17 grote sites voor DNS-omzetting op belangrijke internetknooppunten in Noord-Amerika, Europa en Azië. Naast deze grote omzettingssites beschikt Verisign bovendien over tientallen kleinere Regional Internet Resolution Sites (RIRS) verspreid over de hele wereld, die snelle DNS-omzetting mogelijk maken in landen waar de capaciteit traditioneel ontoereikend is. Deze constellatie van naamservers wordt onderhouden, bewaakt en beheerd door een Verisign-team van vooraanstaande experts op het gebied van DNS, security intelligence en het afweren van DDoS-aanvallen. Elke site in deze constellatie heeft een uitstekende connectiviteit met ruime bandbreedte en strikte beveiligingssystemen. Dezelfde infrastructuur en expertise die s werelds grootste TLD s ondersteunt, is ook beschikbaar voor klanten van de services van Verisign, waaronder Managed DNS, DDoS Protection en idefense Security Intelligence. Bezoek www.verisigninc.com voor meer informatie over de Verisign services. VERISIGN Verisign is de vertrouwde provider van infrastructuurservices voor het internet. Elke dag maken ondernemingen en consumenten miljarden keren gebruik van onze internetinfrastructuur om veilig te communiceren en zaken te doen. i Verisign whitepaper. Distributed Denial of Service: eindelijk de aandacht die het verdient. Mei 2011. ii Yankee Group. DNS: Risk, Reward and Managed Services. Februari 2011. iii Verisign Domain Name Industry Brief. Februari 2011. iv Verisign persbericht. Verisign Launches Managed DNS to Help Companies Reduce Costly Downtime and Simplify DNS Management. 11 augustus 2010. v Yankee Group. DNS: Risk, Reward and Managed Services. Februari 2011. VerisignInc.com 2011 VeriSign, Inc. Alle rechten voorbehouden. VERISIGN en andere handelsmerken, servicemerken en ontwerpen zijn geregistreerde of niet geregistreerd handelsmerken van VeriSign, Inc. en haar dochter- en zusterondernemingen in de Verenigde Staten en andere landen. Alle overige handelsmerken zijn eigendom van de respectievelijke eigenaars. 6

PROFIEL VAN DNS-AANVALLEN DNS werd jaren geleden ontwikkeld, toen efficiëntie meer aandacht kreeg dan beveiliging. Hierdoor is DNS een belangrijk doelwit geworden voor hackers die websites willen kapen en uiteenlopende vormen van malware creëren om gevoelige informatie in handen te krijgen. Organisaties die op het web aanwezig zijn, zijn in principe kwetsbaar voor DNSaanvallen en moeten daarom weten hoe een dergelijke aanval in zijn werk gaat en wat ertegen te doen is. DNS cache poisoning : DNS cache poisoning vindt plaats wanneer iemand met oneerlijke bedoelingen het IP-adres van een bepaalde record op een recursieve DNS-server verandert door zich voor te doen als een gezaghebbende server en een groot aantal namaakantwoorden te sturen terwijl de recursieve server wacht op antwoord van de échte gezaghebbende server. Door deze truc wordt de recursieve server misleid om het namaakantwoord te accepteren en in de cache op te nemen, zodat dit antwoord voortaan wordt geretourneerd op queries van eindgebruikers. Een volledige implementatie van DNS Security Extensions (DNSSEC) biedt bescherming tegen dit type aanvallen. Registrars, ISP s en ondernemingen moeten nog veel werk verzetten om een volledige implementatie van DNSSEC te realiseren, maar de recente invoering van veiligheidshandtekeningen voor de.com-zone door Verisign is een zeer grote stap voorwaarts op weg naar een oplossing voor dit DNS-veiligheidslek. DNS reflective amplification attack: DNS reflective amplification attacks zijn in wezen DDoS-aanvallen gericht op DNS-servers. Een normale DNS-query bevat circa 100 bytes en het antwoord meestal 200 tot 400 bytes, oplopend tot maximaal 4.000 bytes. De aanval bestaat uit vervalsing ( spoofing ) van het afzenderadres van een groot aantal DNSqueries die aan legitieme DNS-servers worden verzonden. Het opgegeven valse adres is het IP-adres van het doelwit van de aanval. De legitieme DNS-servers nemen onbewust deel aan de aanval door een groot aantal lange DNS-antwoorden naar het doelwit te zenden. Resource starvation / directe aanval : Het eenvoudigste type aanval bestaat uit het vinden van een groot botnet van gekaapte computers om een enorme stroom recursieve DNS-queries te sturen naar de gezaghebbende DNS-server die het doelwit van de aanval is. De hacker gebruikt als vervalst afzenderadres voor de query-pakketten het adres van een populaire, legitieme recursieve DNS-server (een server met veel eindgebruikers). Het doelwit van de aanval kan de pakketten niet zomaar uitsluiten met behulp van een firewall, omdat sommige pakketten legitieme queries van de populaire server bevatten. Data modification attack : Cache poisoning is niet de enige manier om DNS-gegevens te wijzigen. Verschillende malen zijn hackers erin geslaagd legitiem dataverkeer om te leiden naar schadelijke sites door de registrar-account van de belaagde organisatie te manipuleren en de DNS-records te wijzigen. Het is ook mogelijk om DNS-gegevens rechtstreeks te modificeren op de gezaghebbende DNS-server die de DNS-queries beantwoordt. Er zijn enkele met veel publiciteit omgeven aanvallen op DNS-providers geweest, waarbij een hacker erin is geslaagd in te loggen op het beheersysteem van de DNS-provider om de DNS-gegevens van het doelwit te manipuleren. Bescherming van uw DNS : Door digitale handtekeningen aan DNS-data toe te voegen om de herkomst te authenticeren en de integriteit te verifiëren op alle nodes langs het datapad, kan DNSSEC (DNS Security Extensions) de DNS-infrastructuur beschermen. Dit is een eerste, belangrijke stap om de integriteit van het DNS te waarborgen, maar voordat DNSSEC de wereldwijde DNS-infrastructuur daadwerkelijk kan beveiligen is het essentieel dat ISP s, websites en registrars DNSSEC implementeren op alle domeinen en recursieve servers onder hun verantwoordelijkheid. Verisign ziet actief toe op de voortgang van de DNSSEC-implementatie op alle TLD s onder haar beheer en stelt tools beschikbaar aan iedereen die bijvoorbeeld de DNSSEC-informatie op de eigen website of op andere websites wil opvragen of die wil controleren of een DNS-omzetter is geconfigureerd voor DNSSEC-validatie. Er is tevens informatie beschikbaar over het aantal DNSSEC-compatibele websites in de zones.com,.net en.edu. Zie http://labs.verisigninc. com/tools voor meer informatie. 7

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback