Basisbeveiliging van je domein – Domeinbeheer
| Joost Krapels |
Security
Een online domein is je eigen plek op het internet, en verdient daarom goede bescherming. Domeinen worden gebruikt om websites te hosten en om mee te mailen, waardoor ze voor organisaties een essentieel bedrijfsmiddel zijn. Met het aanschaffen van een domein en koppelen aan je website ben je er echter nog niet. Hackers misbruiken de goede naam van legitieme organisaties graag door mee te luisteren bij websitebezoeken en zich als de legitieme organisatie voor te doen met phishing en spam. In dit artikel leggen we uit welke acties nodig zijn voor goed domeinbeheer.
Achtergrond domeinen
Een domein op het internet is te vergelijken met het hebben van een stuk grond. Je kan het aanschaffen, verkopen en er iets op bouwen. Ook heeft het een adres en kan je het een beschrijvende naam geven. Tot slot komen mensen die iets van je willen uitgenodigd of onuitgenodigd op bezoek. Je domein is dus een plek op het internet die je eigen kunt maken, vaak door middel van een website.
Domeinen worden wereldwijd beheerd en uitgegeven door een paar instanties. In Nederland is deze instantie de Stichting Internet Domeinregistratie Nederland, ook wel bekend onder haar afkorting SIDN. De SIDN is verantwoordelijk voor alle domeinen die eindigen op “.nl”, wat er op het moment van schrijven (maart 2021) ongeveer 6.2 miljoen zijn. De SIDN is echter niet de enige plek waar .nl domeinen te koop zijn. Verkoop en inhoudelijk beheer van domeinen mag namelijk gedaan worden door zogeheten registrars.
Registrars zijn partijen waar consumenten en bedrijven domeinen kunnen kopen en laten beheren. Zij regelen de officiële registratie van een domein bij de SIDN, en bieden klanten vaak een overzichtelijk portal voor inhoudelijk domeinbeheer. Het SIDN heeft een overzicht van alle Nederlandse registrars, waar je kunt kijken of een aanbieder van domeinen legitiem is en of deze bepaalde functionaliteiten biedt. Bij het kiezen van een registrar uit deze lijst raden wij aan in ieder geval de filters IPv6 en DNSSEC aan te zetten.
Of je website- en e-mailinstellingen van je domein voldoen aan best-practices zoals IPv6 en DNSSEC is eenvoudig te controleren met de gratis online tool van internet.nl Deze tool, die mede mogelijk gemaakt is door de Nederlandse overheid, laat zien welke punten nog aandacht verdienen. In artikelen 2 en 3 van de serie, over websitebeveiliging en e-mailbeveiliging respectievelijk, leggen wij meer uit over de bijbehorende best-practices. Ook hebben wij een kort Engels artikel geschreven met een stappenplan om je internet.nl score te verbeteren.
Wat kan je met een domein
Met een domein aangeschaft bij een erkende registrar heb je dus een stukje grond op het internet in bezit. Op deze grond kan je een website bouwen, bezoekers automatisch doorverwijzen naar een andere website of portal voor een file sharing dienst neerzetten. Een domein is daarnaast ook de manier waarop je herkenbaar bent op het internet. Het overgrote deel van alle organisaties stuurt emails vanuit het domein. Hiermee is voor een ontvanger te herkennen van welk bedrijf een mail afkomstig is, en is een werknemer (bijv. jan@bedrijf.nl) of afdeling (sales@bedrijf.nl) van de organisatie makkelijk te maken. Ook consumenten kunnen vanuit een custom domein mailen; in plaats van jan@gmail.com is iemand te bereiken op jan@jansen.nl. Helaas worden domeinen die heel erg op een andere lijken, bijvoorbeeld g00gle.com i.p.v. google.com, wel eens gebruikt voor phishing. Wij hebben een artikel geschreven met basistips tegen phishing.
In organisaties is zowel intern als extern de behoefte om onderscheid te maken tussen verschillende afdelingen, groepen of diensten. Om dit te faciliteren kan gebruik gemaakt worden van subdomeinen, ook wel een domein dat onderdeel is van een domein. Google, bijvoorbeeld, maakt breed gebruik van subdomeinen om onderscheid te maken in haar diensten. Zo heb je maps.google.com, mail.google.com en apps.google.com. Subdomeinen zijn dus toe te voegen door een term te reserveren, en deze met een punt voor het domein te plaatsen. Het is ook mogelijk om meerdere lagen diep te gaan met subdomeinen.
Het hoogste niveau mogelijk is het Top level domein (TLD), wat vaak een landcode is. Voorbeelden zijn .nl, .com, .be en .gov. TLD’s worden altijd beheerd door instanties als de SIDN. Sinds een paar jaar zijn ook leukere TLD’s beschikbaar, zoals , .shop, .app en .amsterdam. Deze zijn in het gebruik soms verwarrend, omdat mensen gewend zijn een .com of .nl aan het eind van een domein te zien. In de afbeelding hieronder een schematische weergave van TLD’s, domeinen en subdomeinen.
10 acties voor goed domeinbeheer
De meeste domeinen worden gebruikt om een website op te plaatsen en vanuit te mailen. Verreweg het meeste werk zit hem in de initiële configuratie in het DNS-beheer portal en de link met je website. Het beheren van je domein(en) is niet erg arbeidsintensief, maar er zijn toch een paar punten die aandacht verdienen. Met de volgende acties houd je je domein veilig en up to date:
Wachtwoord. Gebruik een lang en ingewikkeld wachtwoord voor je beheerportal, bij voorkeur random gegenereerd en bewaard in een password manager. Vervang dit wachtwoord minimaal elk half jaar.
2FA. Zet 2-Factor Authenticatie op de beheerportal als slechts één persoon toegang hoeft te hebben tot het registrar account. Zorg er ook voor dat logging aanstaat, zeker als er meerdere personen toegang nodig hebben.
Toegang. Geef niet meer dan twee vertrouwde medewerkers toegang tot het domein. Hoe meer personen toegang hebben toegang hebben tot het domein, hoe groter de kans op onopzettelijke en opzettelijke schade.
Verhuiscode. Geef nooit zomaar de verhuiscode weg aan iemand die het vraagt, tenzij je zelf gevraagd hebt je domein te verhuizen. Kwaadwillenden kunnen alleen je domein legaal overnemen met die code.
Domeinscheiding. Bewaar niet alle domeinen in één account bij één registrar. Een aanvaller heeft meteen toegang tot alle domeinen als hij het account hackt.
Back-ups. Maak van je website of andere content op een domein regelmatig handmatig een back-up, of doe dit softwarematig automatisch.
DNS-beheer. Maak altijd een back-up van je DNS records voor je grote wijzigingen aanbrengt. Fouten in je DNS-beheer portal kunnen je website offline halen en mailstroom stopzetten.
Termijn check. Controleer elk half jaar of het TLS/SSL certificaat op je domein al bijna verlengd moet worden en of de automatische incasso voor je domein nog goed werkt.
Inventarisatie. Controleer jaarlijks welke domeinen en subdomeinen de organisatie in beheer heeft, en of deze allemaal aan de eigen veiligheidseisen voldoen. Overbodige domeinen kunnen op non-actief gezet worden.
Extern beheer. Als je je domein laat beheren door een derde partij, zorg voor duidelijke afspraken in de vorm van een SLA. Hiermee zijn zaken als uptime, verantwoordelijkheid en response tijd voor acties geregeld.
Discussie
Ook dit artikel bediscussiëren wij graag in de open Linkedin Groep ‘Information Security NL’. Information Security NL is een (gratis) discussiegroep voor kennisdeling over informatiebeveiliging, en daarmee een goede plek om meer te weten te komen over informatiebeveiliging. Voor meer artikelen over information-security, kijk dan op onze pagina met alle security-artikelen.
Image credit: @franckinjapan via Unsplash, Icons via Flaticon
Joost Krapels heeft gewerkt bij ICT Institute van 2018 tot oktober 2024. Hij is een ervaring privacy en security professional. Tijdens zijn werk bij ICT Institute is hij Security+ en CISSP-gecertificeerd.