Lees over DNS-cache-poisoning, wil weten of MKB-setup kwetsbaar is
DNS-cache-poisoning misleidt een resolver om een vals antwoord te cachen. Sinds Kaminsky-attack van 2008 zijn moderne resolvers grotendeels gehard met source-port-randomisatie, maar DNSSEC en moderne transport (DoT, DoH) blijven het echte slot.
Probeer dit eerst zelf
- 1Gebruik geen verouderde DNS-software op kantoor (oude BIND, oude Windows DNS). Patches sluiten Kaminsky-class kwetsbaarheden.
- 2Schakel DNSSEC in voor je eigen domein bij de registrar, dat beschermt clients met validerende resolvers tegen vervalste antwoorden van jouw zone.
- 3Laat clients een resolver gebruiken die DNSSEC valideert (1.1.1.1, 9.9.9.9, of je eigen Unbound), niet alleen forwardt.
- 4Overweeg DNS over HTTPS (DoH) of DNS over TLS (DoT) voor laptops buiten kantoor, zodat man-in-the-middle op WiFi geen DNS kan onderscheppen.
- 5Disable open recursive resolvers op je firewall/router, want die zijn niet alleen poisoning- maar ook DDoS-amplifier-target.
Wanneer ons inschakelen
Wil je een review van je DNS-keten van client tot autoritative, met DNSSEC en DoH waar het zin heeft, dan plannen we dat in.
Zie ook
- Domein vervalt morgen en niemand had de mail gezienEen vervallen domein gaat niet direct naar een ander. Er zit een redemption-window omheen, maar je betaalt extra.
- Twijfel of auto-renew aan moet of nietAuto-renew uitzetten is alleen zinvol bij domeinen die je echt loost. Voor alles wat live is, gewoon aan.
- Nieuwe registrar vraagt om auth-code, weet niet waar die staatEPP-code of transfer-code is het wachtwoord om een domein van registrar A naar B te verhuizen.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.