Inloggen
Weblog Vereniging van Registrars
Waarom afschaffing ACL geen goed idee is
15 mei 2017 om 14:11:00

Door Wido Potters (lid TechCom VvR):

 

 

 

SIDN heeft tijd geleden een 'access control list (ACL)' geplaatst voor DRS, het domein registratie systeem voor .nl.

De laatste maanden hebben diverse registrars bij de VVR gemeld dat zij last hebben van de ACL en hebben zij gepleit voor afschaffing ervan. Deze registrars behoeven vanaf wisselende IP adressen toegang tot DRS.

 

De commissie techniek van de VVR is geen voorstander van afschaffing van de ACL, maar geeft in deze blog graag tips hoe er met instandhouding van de ACL toch vanaf wisselende IP adressen toegang gekregen kan worden tot DRS.

 

De ACL beperkt de IP adressen waarvandaan verbinding gemaakt kan worden met DRS. Dat geldt voor zowel de web als de EPP variant van DRS. Het gebruik van een ACL is een bekende en beproefde maatregel om het risico van ongeautoriseerde toegang te beperken.

SIDN heeft deze maatregel genomen nadat met gestolen toegangsgegevens van een grote registrar misbruik is gemaakt van DRS. Bijzonder vervelend voor die registrar in kwestie, voor SIDN, voor de getroffen registranten en ook voor de branche als geheel want wij zijn er allemaal bij gebaat dat (potentiële) registranten volop vertrouwen hebben in de beveiliging van .nl.

 

De introductie van een ACL voor DRS is dan ook gesteund door de commissie techniek van de VVR.

Vooral registrars die vanaf een laptop, telefoon of consumenten internet verbinding gebruik maken van de webinterface tot DRS zullen last hebben de ACL. Bij wisseling van het IP adres van hun internet verbinding of als ze onderweg gebruik maken van een 4G of wifi netwerk komen ze van een IP adres dat niet opgenomen is in de ACL.

Wij adviseren die registrars om een VPN server te configureren op een host met een vast IP adres. Als het IP adres van die host opgenomen wordt in de ACL en er VPN clients op de devices van de registrar geconfigureerd worden is toegang tot DRS altijd mogelijk.

 

Veel registrars zullen één of meer servers met vaste IP adressen in een datacenter hebben. Zo'n server kan gebruikt worden als VPN server of er kan een dedicated VPN oplossing geplaatst worden. Als er geen hosts met een vast IP adres beschikbaar zijn voor de VPN server zijn er volop providers die voor een paar euro per maand virtuele servers met een vast IP adres aanbieden.
Er zijn diverse VPN oplossingen in de markt verkrijgbaar, commerciële en open source oplossingen. OpenVPN  is een voorbeeld van een (gratis) open source oplossing met ondersteuning voor allerlei operating systems.
Een OpenVPN server kan op BSD, Linux, Windows, OSX, OpenWRT en vele andere operating systems/devices geconfigureerd worden. De OpenVPN server service is lichtgewicht en in de praktijk hoeft er voor die service ten aanzien van de systeemeisen geen rekening mee gehouden te worden. OpenVPN clients zijn er voor Linux, Windows, OSX, IOS en Android.


Op internet zijn vele howto's te vinden hoe OpenVPN geconfigureerd kan worden. Als de (Open)VPN server geconfigureerd wordt met protocol TCP, luisterend op poort 443, zal er vanuit vrijwel alle netwerken verbinding opgezet kunnen worden naar de VPN server. Mocht er op dezelfde server ook al een https service draaienen je wilt 443 gebruiken, zal OpenVPN op een apart IP-adres geconfigureerd moeten worden. Verder kan OpenVPN zo geconfigureerd dat alleen voor bepaalde bestemmingen de VPN tunnel gebruikt wordt. De mogelijke configuraties zijn vrijwel eindeloos en voldoen voor vrijwel elke user case. Er is ondersteuning voor zowel IPv4 als IPv6 beschikbaar.

 

De IP adressen die op de ACL van SIDN staan, gelden voor alle met DRS verbindende users. Dat betekent dat een gewhitelist IP adres van de ene registrar ook een whitelist oplevert voor alle andere registrars. Dit beperkt de beveiligingsfunctionaliteit van de ACL. Liever ziet de commissie techniek een ACL die uniek is voor elke registrar. Dat zorgt er bovendien voor dat een individuele registrar er voor zou kunnen kiezen om geen gebruik te maken van de ACL. Er wordt door de VVR tijdens gesprekken met SIDN ingezet op deze individuele en daarmee optionele ACL.

Reacties
Plaats uw reactie

Er zijn op dit moment geen lopende weblog reacties.
Terug naar de blog van Vereniging van Registrars