Openminds Techtalk over domeinnamen en DNS - 20150428

1. Domeinen en DNS
Openminds Techtalk
28 april 2015

2. Agenda
• Domeinnamen:
• generiek vs landgebonden
• transfers
• nieuwe regels
• DNS records
• DNS in Sock

3. Domeinen
openminds.be - google.com - hosting.gent

4. Domeinen
• .be, .com, .vlaanderen: Top Level Domains (TLD)
• Elke TLD wordt door een instantie beheerd
• Generieke - regels door ICANN bepaald
• .com, .net, .org
• maar ook alle nieuwe (.guru, .vlaanderen, .gent)
• Landgebonden - per land (eigen keuze)

5. ccTLD
• .be - DNS.be (Leuven, 25 man sterk)
• .nl - SIDN.nl
• .fr - AFNIC
• .eu - EURid
• ...

6. Generieke + nieuwe
• Onder toezicht van ICANN (USA)
• .com - Verisign
• .org - PIR (Public Internet Registry)
• .vlaanderen - DNS.be
• .gent - Combell
• .frl (Friesland) - mijndomein.nl

7. Regels
• generieke: algemene regels ICANN
• CCtld: Elke entiteit maakt eigen regels
• Regels heel divers:
• Local Presence
• Wie mag een naam registreren?
• Procedures voor het veranderen van eigenaar
• Technische eisen (bvb .dk, .de, .fr...)

8. tldinfo.openminds.be

9. Regels. regels. REGELS!

10. Transfers in .be
• Code wordt enkel (!!) naar domeinnaamhouder gestuurd
• door dns.be
• oude “fax” procedure bestaat niet meer
• met die code naar nieuwe registrar
• transfer quasi instant

11. Transfers in ICANN-wereld
• Code moet via huidige registrar bezorgd worden (niet
via ICANN/Verisign/…)
• Domein:
• > 60 dagen oud
• niet “locked”
• transfer alles tussen een uur en 5 dagen

12. Transfers in andere landen
• Hangt af van land tot land
• Bureaucratie en stempels
• Papierwerk (… dat verloren kan gaan)
• Kan heel lang duren!

13. ICANN mails

15. Nieuwe ICANN pestregels
• Nieuw emailadres: bevestiging dat het werkt, via email
• Als geen bevestiging na 15 dagen: domein offline!
• theorie vs praktijk: achterpoortje “manuele controle”
• extra werk
• mails massaal genegeerd: zien eruit als Phishing
• Oude domeinen: bij elke “update” (ook technische)

17. Nieuwe ICANN pestregels
• Eénmaal per jaar “is de contact info nog up to date” mail
• Geen actie vereist als alles in orde is

18. Extra veiligheid voor .be domeinen
Domain Lock (bestaat al langer), maar weinig gebruikt:
• regels voor .be domeinen veel strikter dan voor .com
• mag enkel aan- en afgezet worden op directe vraag van
domeinnaamhouder (niet de klant)
• expliciete vraag (dus geen opt-out, geen “bulk” …)
• probleem: technisch op zelfde manier als aanpassingen

19. Extra veiligheid voor .be domeinen
Nieuw: “Domain Guard”:
• beschermt tegen social engineering, inbraak in uw mailbox,
inbraak bij uw registrar
• absolute bescherming tegen alle aanpassingen aan domein
• (Tijdelijk) of permanent opheffen: enkel via telefonische
procedure op afgesproken nummers
• niet gratis: 120 euro per jaar per domein
• doel: high-profile namen, of grote impact als fout

20. Nut?
teslamotors.com
25-03-2015

21. DNS
Domain Name Service
Domain Record Service zou beter zijn

22. Wat
• De hoeksteen van het internet
• Zegt wat waar te vinden is op het internet
• Menselijke naam naar IP-adres of andere info

23. Eenvoudig voorbeeld
• www.openminds.be
• 188.93.97.104
• 2a02:d08::

24. Ontleding
• domein: openminds.be
• record: “www”
• record-type: adres (A) en ipv6 adres (AAAA)

25. Welke record-types?

26. A / AAAA
• Adres
• Geeft het IPv4/6 adres weer voor een naam/waarde
(bvb “www”)
• Meest gangbare record

27. CNAME
• Canonical Name
• Also-known-as
• webmail.uwdomein.be CNAME mail.openminds.be
• www.uwdomein.be CNAME webserver.openminds.be
• Veelgebruikt
• NOOIT op domein niveau

28. MX
• Mail eXchange(r)
• Geeft aan waar de mail voor ilse@uwdomein.be naartoe moet
• Prioriteiten (lager getal heeft prioriteit)
• Lege record - hoofddomein

29. MX
• NOOIT naar een IP adres
• Indien niet gedefinieerd - mail naar A-record
• Definieert NIET waar je webmail staat, of waar je
calender zit, of...

30. TXT
• TeXT
• informatieve velden
• origineel weinig gebruikt
• vandaag meer gebruikt:
• SPF / Domain-key
• “Verificatie” (Gmail, Office365, SSL certs, …)

31. SPF
• Sender Policy Framework
• TXT record
• inhoud is tekstveld, volgens SPF regels
• bepaalt welke mailservers mail mogen sturen
• wordt opgevraagd door mailscanning-servers
• is geen globale bescherming

32. SRV
• Service / Server
• Geeft een bepaalde bestaande service weer
• Enkel gebruikt voor bvb SIP-telefooncentrales,
Microsoft Lync, Jabber,…
• Meestal automatisch gegenereerd

33. Caching
• in de “recursive” nameservers
• Access Provider / kantoor-server / Google (8.8.8.8)
• via TTL waarden (Time To Live)
• opgelet: geen manier om dit te “forceren!”
• fout gedurende 1 seconde, outage van uren

34. DNS records in Sock

35. Sneak Preview

36. binnenkort in Sock

37. slimme templates

38. Status?
• immens groot project! (meer dan 40000 domeinen)
• voorbije 2 maand “dubbel” gedraaid
• volgende week: live voor ons
• snel erna: select aantal test-klanten
• nog paar “als je dns niet goed kent” issues wegwerken

39. Vragen?

40. DNSSEC
DNS-Secure / Security

41. DNSSEC
• www.uwbank.be heeft A record 123.123.123.123
• Hoe zeker ben je daarvan?
• Telenet/Skynet/8.8.8.8/... caching dns-servers - zijn die
niet gehackt, zijn het wel die van Telenet/... etc...?

42. Signatures toevoegen
• Tekenen en handtekening naar boven doorgeven
• Signature wordt in zone gezet (DS records)
• bvb: .be (dns.be) zone bevat frank.be signature/bewijs

43. DNSSEC: nuttig?
• Ja!
• Nee! Nut in praktijk is relatief klein, kans op breken groter!
• Wat met transfers?
• Gevaarlijk wanneer één stap het niet/fout doet
• DNSSec vergeeft niet! Fout van 1 seconde kan outage van
uren (of dagen) veroorzaken

44. DNSSEC
• Complexe oplossing
• Key-management
• Technische kennis moet aanwezig zijn in elke stap