4. Domeinen
• .be, .com, .vlaanderen: Top Level Domains (TLD)
• Elke TLD wordt door een instantie beheerd
• Generieke - regels door ICANN bepaald
• .com, .net, .org
• maar ook alle nieuwe (.guru, .vlaanderen, .gent)
• Landgebonden - per land (eigen keuze)
6. Generieke + nieuwe
• Onder toezicht van ICANN (USA)
• .com - Verisign
• .org - PIR (Public Internet Registry)
• .vlaanderen - DNS.be
• .gent - Combell
• .frl (Friesland) - mijndomein.nl
7. Regels
• generieke: algemene regels ICANN
• CCtld: Elke entiteit maakt eigen regels
• Regels heel divers:
• Local Presence
• Wie mag een naam registreren?
• Procedures voor het veranderen van eigenaar
• Technische eisen (bvb .dk, .de, .fr...)
10. Transfers in .be
• Code wordt enkel (!!) naar domeinnaamhouder gestuurd
• door dns.be
• oude “fax” procedure bestaat niet meer
• met die code naar nieuwe registrar
• transfer quasi instant
11. Transfers in ICANN-wereld
• Code moet via huidige registrar bezorgd worden (niet
via ICANN/Verisign/…)
• Domein:
• > 60 dagen oud
• niet “locked”
• transfer alles tussen een uur en 5 dagen
12. Transfers in andere landen
• Hangt af van land tot land
• Bureaucratie en stempels
• Papierwerk (… dat verloren kan gaan)
• Kan heel lang duren!
15. Nieuwe ICANN pestregels
• Nieuw emailadres: bevestiging dat het werkt, via email
• Als geen bevestiging na 15 dagen: domein offline!
• theorie vs praktijk: achterpoortje “manuele controle”
• extra werk
• mails massaal genegeerd: zien eruit als Phishing
• Oude domeinen: bij elke “update” (ook technische)
16.
17. Nieuwe ICANN pestregels
• Eénmaal per jaar “is de contact info nog up to date” mail
• Geen actie vereist als alles in orde is
18. Extra veiligheid voor .be domeinen
Domain Lock (bestaat al langer), maar weinig gebruikt:
• regels voor .be domeinen veel strikter dan voor .com
• mag enkel aan- en afgezet worden op directe vraag van
domeinnaamhouder (niet de klant)
• expliciete vraag (dus geen opt-out, geen “bulk” …)
• probleem: technisch op zelfde manier als aanpassingen
19. Extra veiligheid voor .be domeinen
Nieuw: “Domain Guard”:
• beschermt tegen social engineering, inbraak in uw mailbox,
inbraak bij uw registrar
• absolute bescherming tegen alle aanpassingen aan domein
• (Tijdelijk) of permanent opheffen: enkel via telefonische
procedure op afgesproken nummers
• niet gratis: 120 euro per jaar per domein
• doel: high-profile namen, of grote impact als fout
26. A / AAAA
• Adres
• Geeft het IPv4/6 adres weer voor een naam/waarde
(bvb “www”)
• Meest gangbare record
27. CNAME
• Canonical Name
• Also-known-as
• webmail.uwdomein.be CNAME mail.openminds.be
• www.uwdomein.be CNAME webserver.openminds.be
• Veelgebruikt
• NOOIT op domein niveau
28. MX
• Mail eXchange(r)
• Geeft aan waar de mail voor ilse@uwdomein.be naartoe moet
• Prioriteiten (lager getal heeft prioriteit)
• Lege record - hoofddomein
29. MX
• NOOIT naar een IP adres
• Indien niet gedefinieerd - mail naar A-record
• Definieert NIET waar je webmail staat, of waar je
calender zit, of...
30. TXT
• TeXT
• informatieve velden
• origineel weinig gebruikt
• vandaag meer gebruikt:
• SPF / Domain-key
• “Verificatie” (Gmail, Office365, SSL certs, …)
31. SPF
• Sender Policy Framework
• TXT record
• inhoud is tekstveld, volgens SPF regels
• bepaalt welke mailservers mail mogen sturen
• wordt opgevraagd door mailscanning-servers
• is geen globale bescherming
32. SRV
• Service / Server
• Geeft een bepaalde bestaande service weer
• Enkel gebruikt voor bvb SIP-telefooncentrales,
Microsoft Lync, Jabber,…
• Meestal automatisch gegenereerd
33. Caching
• in de “recursive” nameservers
• Access Provider / kantoor-server / Google (8.8.8.8)
• via TTL waarden (Time To Live)
• opgelet: geen manier om dit te “forceren!”
• fout gedurende 1 seconde, outage van uren
38. Status?
• immens groot project! (meer dan 40000 domeinen)
• voorbije 2 maand “dubbel” gedraaid
• volgende week: live voor ons
• snel erna: select aantal test-klanten
• nog paar “als je dns niet goed kent” issues wegwerken
41. DNSSEC
• www.uwbank.be heeft A record 123.123.123.123
• Hoe zeker ben je daarvan?
• Telenet/Skynet/8.8.8.8/... caching dns-servers - zijn die
niet gehackt, zijn het wel die van Telenet/... etc...?
42. Signatures toevoegen
• Tekenen en handtekening naar boven doorgeven
• Signature wordt in zone gezet (DS records)
• bvb: .be (dns.be) zone bevat frank.be signature/bewijs
43. DNSSEC: nuttig?
• Ja!
• Nee! Nut in praktijk is relatief klein, kans op breken groter!
• Wat met transfers?
• Gevaarlijk wanneer één stap het niet/fout doet
• DNSSec vergeeft niet! Fout van 1 seconde kan outage van
uren (of dagen) veroorzaken