NIST publiceert nieuwe 'Secure Domain Name System (DNS) Deployment Guide'
Aanwijzingen voor de organisatie en beveiliging van je DNS-infrastructuur
Aanwijzingen voor de organisatie en beveiliging van je DNS-infrastructuur
Het Amerikaanse standaardisatie- en technologie-instituut NIST heeft de eerste publieke draft van zijn 'Secure Domain Name System (DNS) Deployment Guide' online gezet. De gids bevat een heleboel aanwijzingen voor de organisatie en beveiliging van je DNS-dienst. DNSSEC is vanzelfsprekend onderdeel van deze aanbevelingen, maar het document behandelt ook legio andere DNS-gerelateerde onderwerpen.
Met de publicatie van deze draft biedt NIST het publiek ook de mogelijkheid om feedback op het document te geven. Dat kan nog tot 25 mei.
De 'Secure Domain Name System (DNS) Deployment Guide' bespreekt een hele reeks aanbevelingen voor de organisatie en beveiliging van je DNS-infrastructuur. Vanzelfsprekend komen zowel de autoritatieve DNS-dienst als de recursieve resolver aan bod, maar ook de relatie van de DNS-beveiliging met de informatiebeveiliging in bredere zin.
Hieronder hebben we een aantal belangrijke onderwerpen, aandachtspunten en inzichten die je in de gids vindt op een rij gezet.
DNS behoort tot de kritieke infrastructuur, en moet dus onderdeel zijn van de organisatiebrede informatiebeveiligingsstrategie
het DNS-systeem is vanwege zijn schaalbaarheid en efficiëntie een goede plek om beveiligingsmaatregelen te implementeren; denk maar aan alle beveiligingsprotocollen die op DNSSEC ontwikkeld zijn (e.g. SPF/DKIM/DMARC, DANE en ZONEMD), maar ook aan DNSBL (voor het blokkeren van spam)
het gebruik van de DNS-resolver om toegang tot malwaredomeinen te blokkeren ("Protective DNS")
bescherming van de authenticiteit van de DNS-data door middel van DNSSEC
afscherming van het transport van DNS-informatie door middel van DoT/DoH/DoQ
beheer van domeinnamen en DNS-systemen
bescherming tegen DoS-aanvallen
administratie en ondertekening van zones op een aparte hidden primary nameserver
bescherming van zonetransfers, e.g. door middel van TSIG en access-control lists (ACL's)
afscherming van Dynamic DNS (DDNS)-updates, e.g. door middel van TSIG
aandacht voor look-alikes en typosquating
TTL-instellingen
DNSSEC is een (belangrijk) onderdeel van de DNS-beveiliging
recursieve resolvers, forwarders en stub resolvers
versleutelde DNS-diensten door middel van DoT/DoH/DoQ (Encrypted DNS)
blokkeren van DNS-query’s buiten de resolvers van de organisatie om
beheer en updates van de DNSSEC trust anchors
Deze onderwerpen en meer vind je in NIST's nieuwe Deployment Guide. Wij raden DNS-beheerders aan om dit document door te lezen om te zien wat zij nog aan hun infrastructuur kunnen verbeteren.