Openminds Techtalk: DNS

download Openminds Techtalk: DNS

of 44

  • date post

    18-Jul-2015
  • Category

    Technology

  • view

    341
  • download

    0

Embed Size (px)

Transcript of Openminds Techtalk: DNS

  • Domeinen en DNSOpenminds Techtalk

    28 april 2015

  • Agenda

    Domeinnamen: generiek vs landgebonden transfers nieuwe regels

    DNS records DNS in Sock

  • Domeinenopenminds.be - google.com - hosting.gent

  • Domeinen

    .be, .com, .vlaanderen: Top Level Domains (TLD) Elke TLD wordt door een instantie beheerd Generieke - regels door ICANN bepaald

    .com, .net, .org maar ook alle nieuwe (.guru, .vlaanderen, .gent)

    Landgebonden - per land (eigen keuze)

  • ccTLD

    .be - DNS.be (Leuven, 25 man sterk) .nl - SIDN.nl .fr - AFNIC .eu - EURid ...

  • Generieke + nieuwe

    Onder toezicht van ICANN (USA)

    .com - Verisign .org - PIR (Public Internet Registry) .vlaanderen - DNS.be .gent - Combell .frl (Friesland) - mijndomein.nl

  • Regels generieke: algemene regels ICANN CCtld: Elke entiteit maakt eigen regels Regels heel divers: Local Presence Wie mag een naam registreren? Procedures voor het veranderen van eigenaar Technische eisen (bvb .dk, .de, .fr...)

  • tldinfo.openminds.be

  • Regels. regels. REGELS!

  • Transfers in .be Code wordt enkel (!!) naar domeinnaamhouder gestuurd door dns.be oude fax procedure bestaat niet meer

    met die code naar nieuwe registrar

    transfer quasi instant

  • Transfers in ICANN-wereld Code moet via huidige registrar bezorgd worden (niet

    via ICANN/Verisign/)

    Domein: > 60 dagen oud niet locked

    transfer alles tussen een uur en 5 dagen

  • Transfers in andere landen Hangt af van land tot land

    Bureaucratie en stempels

    Papierwerk ( dat verloren kan gaan)

    Kan heel lang duren!

  • ICANN mails

  • Nieuwe ICANN pestregels Nieuw emailadres: bevestiging dat het werkt, via email

    Als geen bevestiging na 15 dagen: domein oine! theorie vs praktijk: achterpoortje manuele controle extra werk mails massaal genegeerd: zien eruit als Phishing

    Oude domeinen: bij elke update (ook technische)

  • Nieuwe ICANN pestregels

    Enmaal per jaar is de contact info nog up to date mail

    Geen actie vereist als alles in orde is

  • Extra veiligheid voor .be domeinen

    Domain Lock (bestaat al langer), maar weinig gebruikt:

    regels voor .be domeinen veel strikter dan voor .com mag enkel aan- en afgezet worden op directe vraag van

    domeinnaamhouder (niet de klant)

    expliciete vraag (dus geen opt-out, geen bulk ) probleem: technisch op zelfde manier als aanpassingen

  • Extra veiligheid voor .be domeinenNieuw: Domain Guard:

    beschermt tegen social engineering, inbraak in uw mailbox, inbraak bij uw registrar

    absolute bescherming tegen alle aanpassingen aan domein (Tijdelijk) of permanent opheen: enkel via telefonische

    procedure op afgesproken nummers

    niet gratis: 120 euro per jaar per domein doel: high-profile namen, of grote impact als fout

  • Nut?

    teslamotors.com 25-03-2015

  • DNSDomain Name Service

    Domain Record Service zou beter zijn

  • Wat

    De hoeksteen van het internet Zegt wat waar te vinden is op het internet Menselijke naam naar IP-adres of andere info

  • Eenvoudig voorbeeld

    www.openminds.be 188.93.97.104 2a02:d08::

  • Ontleding

    domein: openminds.be record: www record-type: adres (A) en ipv6 adres (AAAA)

  • Welke record-types?

  • A / AAAA

    Adres Geeft het IPv4/6 adres weer voor een naam/waarde

    (bvb www)

    Meest gangbare record

  • CNAME

    Canonical Name Also-known-as webmail.uwdomein.be CNAME mail.openminds.be www.uwdomein.be CNAME webserver.openminds.be Veelgebruikt NOOIT op domein niveau

  • MX Mail eXchange(r) Geeft aan waar de mail voor ilse@uwdomein.be naartoe moet Prioriteiten (lager getal heeft prioriteit) Lege record - hoofddomein

  • MX

    NOOIT naar een IP adres

    Indien niet gedefinieerd - mail naar A-record

    Definieert NIET waar je webmail staat, of waar je calender zit, of...

  • TXT

    TeXT informatieve velden origineel weinig gebruikt

    vandaag meer gebruikt: SPF / Domain-key Verificatie (Gmail, Oce365, SSL certs, )

  • SPF Sender Policy Framework TXT record inhoud is tekstveld, volgens SPF regels bepaalt welke mailservers mail mogen sturen wordt opgevraagd door mailscanning-servers is geen globale bescherming

  • SRV Service / Server Geeft een bepaalde bestaande service weer

    Enkel gebruikt voor bvb SIP-telefooncentrales, Microsoft Lync, Jabber,

    Meestal automatisch gegenereerd

  • Caching

    in de recursive nameservers Access Provider / kantoor-server / Google (8.8.8.8)

    via TTL waarden (Time To Live)

    opgelet: geen manier om dit te forceren! fout gedurende 1 seconde, outage van uren

  • DNS records in Sock

  • Sneak Preview

  • binnenkort in Sock

  • slimme templates

  • Status?

    immens groot project! (meer dan 40000 domeinen) voorbije 2 maand dubbel gedraaid volgende week: live voor ons snel erna: select aantal test-klanten nog paar als je dns niet goed kent issues wegwerken

  • Vragen?

  • DNSSECDNS-Secure / Security

  • DNSSEC

    www.uwbank.be heeft A record 123.123.123.123 Hoe zeker ben je daarvan? Telenet/Skynet/8.8.8.8/... caching dns-servers - zijn die

    niet gehackt, zijn het wel die van Telenet/... etc...?

  • Signatures toevoegen

    Tekenen en handtekening naar boven doorgeven Signature wordt in zone gezet (DS records) bvb: .be (dns.be) zone bevat frank.be signature/bewijs

  • DNSSEC: nuttig?

    Ja! Nee! Nut in praktijk is relatief klein, kans op breken groter! Wat met transfers? Gevaarlijk wanneer n stap het niet/fout doet DNSSec vergeeft niet! Fout van 1 seconde kan outage van

    uren (of dagen) veroorzaken

  • DNSSEC

    Complexe oplossing Key-management Technische kennis moet aanwezig zijn in elke stap