main

DNSSEC til bry

mai 22, 2015 — by Øyvind Frøland0

Nettsiden kan ikke vises, men virker fint fra mobiltelefonen. Høres det kjent ut? Dette er noe stadig flere opplever i det siste. Vi forklarer deg hvorfor og hva du kan gjøre med det! :-)

 

admin-ajax

DNSSEC implementeres for .no

Nesten halvparten av alle norske domenenavn er nå sikret med DNSSEC, og Norge ligger helt på topp i Europa når det gjelder bruk av denne sikkerhetsmekanismen. De siste månedene har andelen økt med nesten 30%. Den viktigste hensikten med DNSSEC er å hindre falske svar på domeneoppslag som sender en bruker til et nettsted som svindleren kontrollerer. Implementeringen medfører at .no blir enda tryggere og velrennomert, et kjempebra initiativ!

figur: utbredelse dnssec
Antall domenenavn som er sikret med DNSSEC

Ok, vel og bra, men hvorfor vises ikke lenger hjemmesiden du forsøker å besøke på datamaskinen, når den fungerer fint f.eks. på mobilen?

Har jeg fått virus?

Du har ikke fått virus og det er ikke noe galt med datamaskinen din. DNSSEC gir økt sikkerhet, men krever samtidig økt kompetanse og stiller krav til nettverksutstyret. Når du slår opp et domenenavn med DNSSEC i nettleseren din er svaret som returneres fra DNS-serveren, eller navnetjeneren, større enn før fordi det inneholder informasjonen som gjør oppslaget sikrere i tillegg til de andre dataene. Dette er implementert med noe som heter EDNS:

http://en.wikipedia.org/wiki/Extension_mechanisms_for_DNS

Dette kan i sin tur skape problemer når trafikken skal gjennom f.eks. brannvegger:

“In practice, difficulties can arise when using EDNS traversing firewalls, since some firewalls assume a maximum DNS message length of 512 bytes and block longer DNS packets.”

Kravet til økt kompetanse tar vi hånd om, nettverksutstyret skal vi nå hjelpe deg med 🙂 De aller fleste brukere har ikke noe forhold til brannvegger, muligens med unntak av programvaren som er installert på datamaskinen din. Brannvegger er noe IT-avdelingen på jobb får ta hånd om, men du vet den dingsen som står i stua di, på hjemmekontoret eller i hjørnet på kontoret? Den som gir deg (trådløst) Internett? Den får i mange tilfeller akkurat de samme problemene.

Den dingsen, eller routeren, opptrer svært ofte som en DNS-proxy i hjemmenettverket eller på kontoret. Det betyr at den videresender DNS-oppslag mellom deg og DNS-servere. Hvis du sjekker datamaskinen din når du er koplet til nettverket vil du se at DNS-server er satt til den lokale routeren, og ikke DNS-serverne til din ISP:

image0101221732838159
Slik sjekker du DNS-serverne din i Windows

Hvis routeren din er gammel, har utdatert programvare eller de som har produsert den ikke har tenkt på problemstillingen klarer du altså ikke å slå opp de aller fleste domenenavn med DNSSEC. Tatt i betraktning at nesten halvparten av .no nå benytter DNSSEC har du fått et problem som dessuten blir stadig større.

Ok, så jeg må kjøpe ny router?

Neida, men det kan hende du vil ha en ny router hvis den er gammel. Disse produktene har blitt vesentlig bedre de siste årene, og en ny router kan gi bedre dekning på det trådløse nettverket på møterom 1 😉 Det kan også gi økt hastighet og bedre muligheter for trafikkstyring m.m..

Hvis du ikke vil ha en ny router har vi følgende løsningsforslag – så langt:

  1. Sjekk at du har siste firmware-versjon installert på routeren og oppdater den om nødvendig. Husk å lagre konfigurasjonen på en datamaskin, siden en oppdatering av firmware ofte medfører at routeren tilbakestilles til  fabrikkinnstillinger.
  2. Konfigurer routeren din til å dele ut navnetjenere istedenfor at den skal opptre som et mellomledd (proxy). Du kan benytte navnetjenere fra din ISP (f.eks. Telenor, Canal Digital, Viken Fiber/Lyse/Altibox) eller åpne navnetjenere fra f.eks. Google (f.eks. 8.8.8.8). Ikke alle routere støtter dette.
  3. Konfigurer maskinen din til å benytte navnetjenere fra din ISP, eller åpne navnetjenere. Du finner instruksjoner her:
    1. http://windows.microsoft.com/nb-no/windows/change-tcp-ip-settings#1TC=windows-7
    2. https://support.apple.com/kb/PH14159?locale=en_US&viewlocale=no_NO

Alternativet 3 er siste utvei, siden det medfører at du må kanskje endre navnetjenere for nye maskiner som kopler seg til nettverket.

Noen routere jeg bør ligge unna?

Jepp. Så langt har vi identifisert problemer med ASUS RT-AC66U, Firmware: 3.0.0.4.376_3861. Til alt overmål er denne helt ny, og firmware er siste versjon. Hvis du vet om flere setter vi, våre kunder og alle som leser denne artikkelen, pris på om du benytter kommentarfeltet til å utvide listen. Takk 🙂

ASUS RT-AC66U
ASUS RT-AC66U