Domeinnaam beveiliging
De domeinnaam is een belangrijk onderdeel van de identiteit van een onderneming, en de grondslag waarop de rest van de infrastructuur rust. Adequate beveiliging van de domeinnaam is van kritisch belang, maar wordt vaak vergeten.
In dit artikel leggen we uit wat de domeinnaam precies is, hoe deze kan worden aangevallen en hoe u dit kunt voorkomen.
Wat is een domein?
Alle computers aangesloten op het internet hebben een uniek identificatienummer, bekend als het IP-adres. Computers gebruiken dit IP-adres om met elkaar te kunnen communiceren over het internet. Deze nummers zijn lastig te onthouden, daarom is het Domain Name System (DNS) ontwikkeld. Het doel van het DNS is om computers verbonden aan het internet herkenbaar te maken met hun domeinnaam, in plaats van het IP-adres. Het DNS kan worden gezien als het telefoonboek van het internet. Zodra u in een browser een domeinnaam intypt (bijvoorbeeld securist.nl
) zoekt uw computer in het DNS het bijbehorende IP-adres op (in dit geval 167.99.137.12
) en zal het met dat adres verbinden om de website op te halen.
Behalve voor het bezoeken van een website wordt de domeinnaam ook gebruikt om te bepalen waar e-mail moet worden afgeleverd en is het mogelijk om beleid over het domein te publiceren in het DNS. Voor elk van deze instellingen spreekt men van een DNS regel, of DNS record.
Omdat er tientallen miljoenen domeinnamen zijn, en de DNS-regels constant kunnen veranderen is het DNS gedecentraliseerd. De DNS-regels worden gepubliceerd door computers welke als DNS nameserver functioneren. De meeste nameservers maken kopieën van de DNS-regels om de distributie te bevorderen. Ieder domein heeft ook 1 of meer autoritaire nameservers. Deze nameservers worden beschouwd als de bron van waarheid.
Als eigenaar van een domein beheert u de DNS-regels op de autoritaire nameservers, zo kunt u instellen welk IP-adres moet worden gekoppeld aan het domein, en waar de e-mail moet worden afgeleverd.
Welke partijen zijn er betrokken?
In het DNS systeem zijn tenminste 3 partijen betrokken:
De registry is de partij die het zogenoemde Top Level Domain (TLD) beheert. Het TLD is het deel vanaf de laatste punt in de domeinnaam. Het TLD voor www.securist.nl
is dus .nl
. Het .nl TLD wordt beheert door de Stichting Internet Domeinnamen (SIDN), de SIDN is dus een registry. De taak van de registry is bijhouden wie de eigenaar is van welk domein, en wat de autoritaire DNS nameservers zijn voor het domein.
De registry besteed het registreren van de domeinen vrijwel altijd uit aan registrars. De registrar beheert meestal ook de autoritaire nameservers voor het domein, maar dit hoeft niet. Een registrar kan ook een doorverkoper zijn, het is niet ongebruikelijk dat er meer dan een registrar tussen de registrant en registry zit.
De registrant is de rechtmatig gebruiker van de domeinnaam. De registrant betaalt een registrar om het domein en de eigenaar vast te laten leggen in het registry van het betreffende TLD.
Wat zijn de risico's?
De domeinnaam is vaak een groot deel van de identiteit van een bedrijf, voor zowel de website als het e-mailadres. Sommige bedrijven maken zelfs hun naam gelijk aan hun domein (denk bijvoorbeeld aan bol.com). De domeinnaam zelf, maar ook de onderliggende DNS-regels zijn daarom van groot belang voor de meeste ondernemingen.
Verlies van eigendom van de domeinnaam
Het verliezen van een domeinnaam kan op verschillende manieren gebeuren.
De registratie van een domein kan verlopen, waardoor een andere persoon deze domeinnaam kan registreren. Omdat de meeste registry het belang van een domeinnaam erkennen zetten zij zich in om dit risico te beperken, zo is er vaak sprake van een afkoelperiode na het verlopen van een registratie, en bemiddelt de registry bij een dispuut over domein eigendom.
Een gevaarlijkere situatie ontstaat wanneer een onbevoegd persoon zichzelf toegang weet te verschaffen tot de beheerpagina bij de registrar, de partij tussen de registry en de registrant. Zij kunnen dan door middel van de verhuiscode het domein verhuizen naar een andere eigenaar. Vaak wordt dit gebruikt voor afpersing, tegen betaling verhuist de afperser het domein weer terug.
Ongeautoriseerde wijzigingen aan de DNS-regels
Wanneer een onbevoegde zichzelf toegang verschaft tot de beheerpagina van de registrar, kunnen zij de DNS-regels wijzigen. Zo zou iemand al het online verkeer naar de website naar een andere website kunnen leiden. Ze kunnen ook het e-mail verkeer omleiden om zo de e-mail te kunnen lezen en e-mails te sturen vanuit de domeinnaam.
Omdat de onbevoegde persoon toegang heeft tot de DNS-regels, kan deze ook HTTPS certificaten aanschaffen voor het domein, en deze gebruiken op de nep website of om verkeer van en naar de website te kunnen lezen.
Het serveren van kwaadaardige DNS-regels
Ook zonder toegang tot de autoritaire DNS servers is het mogelijk om gewijzigde DNS-regels te publiceren. Zoals hierboven besproken is het DNS gedecentraliseerd, en zijn er vele DNS nameservers welke kopieën van het DNS serveren. Met toegang tot deze nameservers kan een aanvaller kwaadaardige DNS-regels injecteren in de kopie, hiermee kunnen bezoekers van de website of e-mail worden omgeleid.
Om deze kwetsbaarheid op te lossen is het DNSSEC systeem geïntroduceerd. Bij DNSSEC wordt op de autoritaire DNS server een handtekening toegevoegd aan elke DNS regel. De computer van de gebruiker kan deze handtekening controleren om zo te bepalen of de DNS regel daadwerkelijk van de autoritaire nameserver afkomstig is.
Kaping van oude domeinnamen
Vaak worden oude domeinen opgeheven wanneer deze niet meer worden gebruikt, bijvoorbeeld als een onderneming wordt opgeheven of van naam verandert. Na het verstrijken van de afkoelperiode zal het domein beschikbaar komen voor een nieuwe eigenaar. Hackers kunnen misbruik maken van deze situatie door het domein te registreren en de e-mail opnieuw te activeren. Vaak bestaan er nog accounts bij verschillende diensten die de oude domeineigenaar is vergeten om op te zeggen. Doordat de hacker toegang heeft tot de e-mail van het domein, kan deze de oude accounts activeren en een nieuw wachtwoord instellen via de wachtwoord reset e-mail procedure. Zo kan een hacker toegang krijgen tot diverse externe applicaties van de oude onderneming.
Hoe beveilig ik een domeinnaam?
Omdat de domeinnaam (en vaak ook de autoritaire nameserver) wordt beheerd door de registrar, heeft u niet altijd alles zelf in de hand. Toch kunt u als domein eigenaar (registrant) een aantal stappen nemen om het risico te minimaliseren.
1. Controleer de eigenaar
Is de eigenaar van de website ook daadwerkelijk de rechtmatig eigenaar van het domein? Klinkt logisch, maar niet altijd het geval. Veel hosting bedrijven en website bouwers registreren of beheren het domein voor hun klanten als extra service, maar deze situatie is niet wenselijk. U kunt bij de registry van het TLD deze gegevens opvragen (bijvoorbeeld: SIDN voor .nl domeinen, of Verisign voor .com domeinen). Controleer of de eigenaar van het domein correct is, en of de contactgegevens up-to-date zijn.
2. Kies een betrouwbare registrar
De kwaliteit van registrars varieert sterk. De focus ligt vaak op een zo laag mogelijke prijs, in plaats van kwaliteit en beveiliging. De domeinnaam is voor veel ondernemingen een waardevol bezit, kies daarom een betrouwbare partij om het domein bij onder te brengen.
Vraag voor het selecteren van een registrar welke veiligheidsaspecten deze registrar hanteert. Biedt de registrar een 2nd factor inlogmethode? Bieden ze DNSSEC ondersteuning? Bieden ze domein vergrendeling? Wat is hun beleid bij een dispuut over eigendom van een domein?
3. Gebruik van een sterk wachtwoord voor het domeinheheer
Vrijwel elke registrar biedt een selfservice portaal voor het beheren van het domein en de DNS-regels. Zorg dat u deze goed beveiligt, en ook zo houdt. Gebruik een lang wachtwoord welke nergens anders voor wordt gebruikt. Gebruik bij voorkeur een wachtwoordmanager om een lang willekeurig wachtwoord te genereren. Wijzig dit wachtwoord ook met enige regelmaat, bijvoorbeeld eens per jaar.
4. Gebruik een 2nd factor inlog beveiliging.
Schakel 2nd factor login (bijvoorbeeld via SMS of een authenticator) in voor het domeinbeheer. Biedt de registrar geen 2nd factor login? Overweeg dan het domein te verhuizen naar een registrar die dit wel aanbiedt.
5. Gebruik DNSSEC
Schakel DNSSEC ondertekening in bij de registrar. Meestal biedt de registrar een optie om dit in te schakelen, soms staat dit ook standaard ingeschakeld. Neem contact op met de registrar indien de status van DNSSEC voor het domein niet duidelijk is. Indien de registrar geen DNSSEC ondersteuning aanbiedt, overweeg dan het domein te verhuizen naar een registrar die dit wel aanbiedt.
6. Vergrendel het domein
Sommige registry (dus afhankelijk van het TLD) bieden de optie tot het vergrendelen van een domein, dit maakt verhuizen van het domein onmogelijk. De SIDN, de registry voor het .nl TLD, biedt helaas geen mogelijkheid tot het vergrendelen van domeinnamen. Het registry voor het .com TLD (Verisign) biedt dit bijvoorbeeld wel.
7. Bewaar oude domeinnamen
Wanneer een domeinnaam niet meer gebruikt wordt, bijvoorbeeld als een onderneming wordt opgeheven of verandert van naam, is het verstandig de domeinnaam nog voor een aantal jaar te bewaren. Zo kan het oude domein niet worden gebruikt om toegang te krijgen tot diensten bij derden.
Conclusie
De domeinnaam is een belangrijk onderdeel van de identiteit van een onderneming, en vormt de grondslag voor de rest van de infrastructuur. Adequate beveiliging van de domeinnaam is van kritisch belang, maar wordt vaak vergeten.
De Securist website veiligheidsinspectie geeft u direct inzicht in de status van uw domeinnaam, de DNS en meer.
Verder lezen
Zie ook onze andere relevante artikelen:
- Introductie cryptografie
- DNSSEC (DNS beveiliging)
- Certificaten (TLS / SSL)
Over de auteur:
Léon Melis is inspecteur bij Securist. Securist inspecteert websites, e-mail en domeinen op veiligheid en privacybescherming. Als onderdeel van de veiligheidsinspectie voor websites worden de domeinnaam en DNS instellingen gecontroleerd op veiligheidsrisico's.