DNSSEC komt ook bij KPN

  • 8 December 2019
  • 52 reacties
  • 712 keer bekeken

  • Anonymous
  • 0 reacties

Telfort heeft gisteren ook DNSSEC geactiveerd, KPN komt daarna aan de beurt, zie onderstaand:

https://forum.telfort.nl/nieuws-251/vanaf-nu-heeft-telfort-extra-veilig-internet-met-dnssec-85090

 

Admin: afgesplitst en eigen topic voor je aangemaakt


Dit topic is gesloten. Staat je antwoord hier niet bij, gebruik dan de zoekfunctie van het forum of stel je vraag in een nieuw topic.

52 reacties

Reputatie 2

Telfort heeft gisteren ook DNSSEC geactiveerd, KPN komt daarna aan de beurt, zie onderstaand:

https://forum.telfort.nl/nieuws-251/vanaf-nu-heeft-telfort-extra-veilig-internet-met-dnssec-85090

 

dat artikel lijkt te gaan over de nameservers, dat heeft niet zoveel te maken met onze reverse-DNS records die verwijderd waren (waar dit topic over gaat).

 

Ze konden ook prima DNSSEC activeren zonder deze rDNS records te verwijderen.

Reputatie 7

dat artikel lijkt te gaan over de nameservers, dat heeft niet zoveel te maken met onze reverse-DNS records die verwijderd waren (waar dit topic over gaat).

Klopt, die twee staan volledig los van elkaar.

Hallo @wjb  en @xorinzor , ik zocht binnen dit forum op DNSSEC en toen kwam ook dit topic naar boven, vandaar mijn reactie binnen dit topic.

 

Reputatie 4
Badge +1

Toch niet geheel onbelangrijk, want mijn dyndns service voldoet op een aantal punten kennelijk niet aan de opgelegde eisen. Dit (b)lijkt dus een nieuwe stap van KPN om de betrouwbaarheid van mijn internetconnectie te ondermijnen.

Reputatie 2

Toch niet geheel onbelangrijk, want mijn dyndns service voldoet op een aantal punten kennelijk niet aan de opgelegde eisen. Dit (b)lijkt dus een nieuwe stap van KPN om de betrouwbaarheid van mijn internetconnectie te ondermijnen.

zoals gezegd staan deze 2 zaken compleet los van elkaar.

Ik deel je mening dat het verwijderen van de rDNS records een domme actie van KPN is geweest (en gelukkig voor sommigen inclusief mijzelf ook alweer is opgelost), maar je moet nu niet alles gaan aangrijpen om te denken dat het met elkaar te maken heeft.

Reputatie 7

Dit (b)lijkt dus een nieuwe stap van KPN om de betrouwbaarheid van mijn internetconnectie te ondermijnen.

Wat lijkt een nieuwe stap van KPN om de betrouwbaarheid van mijn internetconnectie te ondermijnen?

Reputatie 4
Badge +1

Dit (b)lijkt dus een nieuwe stap van KPN om de betrouwbaarheid van mijn internetconnectie te ondermijnen.

Wat lijkt een nieuwe stap van KPN om de betrouwbaarheid van mijn internetconnectie te ondermijnen?


Om te beginnen waren niet de rDNS records verwijderd maar de bijbehorende A records. Ten tweede is dat rDNS record voor mij uitsluitend nuttig wanneer deze eenduidig naar mijn aansluiting verwijst en dat doet deze niet. Er is mij namelijk medegedeeld dat het mij toegezegde vaste IP adres geen vast IP adres is en dat dit rDNS record dus niet specifiek naar mij verwijst maar naar mijn huidige IP adres dat door KPN op ieder door haar gewenst moment naar een andere abonnee kan verwijzen of zelfs opgezegd worden en dan ontvangt vervolgens een of andere Chinees alle aan mijn domein gerichte email.

 

KPN maakt mij derhalve zonder mij daar op een behoorlijke wijze van in kennis te stellen, voor zover überhaupt mogelijk bij een eenzijdige onttrekking aan toezeggingen, afhankelijk van een externe dienst welke zij bij deze dus eveneens ondermijnt. Leuk verder dat wanneer ik thuis ben ik YouTube en dit forum kan bezoeken, maar indien ik van buitenaf mijn huis niet kan bezoeken is minstens 90% van de waarde weg.

Reputatie 2

Een reverseDNS is altijd gebonden aan het IP-adres, dat is hoe het werkt. Als jij een dynamisch IP-adres hebt en deze veranderd, is het niet meer dan logisch dat het rDNS record meeveranderd.

 

Jij hebt het over dyndns, dat is een aparte service die je in je router kan configureren. Je router doet vervolgens niks anders dan elke x aantal minuten de bijbehorende A-record updaten naar je huidige IP-adres. Dat kan je ook prima zelf instellen, maar dat moet je zeker niet verwarren met rDNS.

 

KPN hoeft je hier niet over op de hoogte te stellen, en het lijkt me ook zeer sterk dat ze dit doen. Dit zijn geen zaken waar de “normale” consument gebruik van maakt, noch waar KPN zich op richt. Als jij deze dingen gaat gebruiken uit hobbymatig oogpunt oid zou je je er beter in moeten verdiepen hoe het werkt voordat je zomaar beschuldigingen maakt over zaken die niet zouden werken.

 

Reputatie 7

Er is mij namelijk medegedeeld dat het mij toegezegde vaste IP adres geen vast IP adres is en dat dit rDNS record dus niet specifiek naar mij verwijst maar naar mijn huidige IP adres 

Jouw publieke IP adres is formeel een dynamisch IP adres maar in de praktijk en conform de policy van KPN is deze zo vast als dat deze maar zijn kan. De kans dat jouw publieke IP adres wijzigt is zo goed als nihil.

 

KPN maakt mij derhalve zonder mij daar op een behoorlijke wijze van in kennis te stellen, voor zover überhaupt mogelijk bij een eenzijdige onttrekking aan toezeggingen, afhankelijk van een externe dienst welke zij bij deze dus eveneens ondermijnt.

Welke onttrekking aan toezeggingen?

 

Leuk verder dat wanneer ik thuis ben ik YouTube en dit forum kan bezoeken, maar indien ik van buitenaf mijn huis niet kan bezoeken is minstens 90% van de waarde weg.

Maar je kan van buitenaf jouw huis toch ook gewoon bezoeken of ervaar je daar problemen bij?

 

Reputatie 4
Badge +1

Jij hebt het over dyndns, dat is een aparte service die je in je router kan configureren. Je router doet vervolgens niks anders dan elke x aantal minuten de bijbehorende A-record updaten naar je huidige IP-adres. Dat kan je ook prima zelf instellen, maar dat moet je zeker niet verwarren met rDNS.

Eh… nee dus. Een dynamische DNS is een DNS die mij via een of andere API toestaat bepaalde DNS gerelateerde records aan te passen. Reverse DNS records vallen daar logischerwijs niet onder en dat heb ik ook helemaal niet gesteld. Dat zijn inderdaad twee compleet verschillende dingen. Waar het om gaat is dat het als vast veronderstelde IP adres dat niet is en dus onbetrouwbaar, en dat de backup mogelijkheid om via DynDNS alsnog van buitenaf het juiste IP adres te achterhalen wordt onderworpen aan een beveiligingsmaatregel welke per de definitie een DynDNS als ongeldige bron beschouwt.

Reputatie 2

Waar het om gaat is dat het als vast veronderstelde IP adres dat niet is

Een consumenten abonnement heeft altijd al dynamische IP-adressen gehad, ik snap niet zo goed wat je bedoelt.

 

de backup mogelijkheid om via DynDNS alsnog van buitenaf het juiste IP adres te achterhalen wordt onderworpen aan een beveiligingsmaatregel welke per de definitie een DynDNS als ongeldige bron beschouwt.

Wat bedoel je hiermee? Welke beveiligingsmaatregel zou jou voorkomen om het IP-adres van een A-record in te zien? Als jij via een computer op je netwerk het A-record up-to-date houdt is er in theorie niks wat je er van weerhoudt om vanaf een externe locatie te kunnen verbinden naar je thuisnetwerk. Dit heb ik zelf ook ingesteld voor mijn netwerk/domein.

Reputatie 4
Badge +1

Maar je kan van buitenaf jouw huis toch ook gewoon bezoeken of ervaar je daar problemen bij?

Ik ga er zondermeer vanuit dat jij er niet minder om zal lachen dat ik deze opmerking totaal niet als grappig ervaar.

Reputatie 7

Waar het om gaat is dat het als vast veronderstelde IP adres dat niet is en dus onbetrouwbaar, ...

Wow en dat terwijl dat IP adres gewoonweg niet zal wijzigen. Je moet van hele goede huize komen om jouw publieke IP adres gewijzigd te krijgen, dat gaat je gewoon niet lukken.

Zelfs als je KPN smeekt om een nieuw IP adres omdat je een DDoS aanval ondergaat zal je die niet gaan krijgen.

 

... en dat de backup mogelijkheid om via DynDNS alsnog van buitenaf het juiste IP adres te achterhalen wordt onderworpen aan een beveiligingsmaatregel welke per de definitie een DynDNS als ongeldige bron beschouwt.

Welke beveiligingsmaatregel?

Reputatie 7

Maar je kan van buitenaf jouw huis toch ook gewoon bezoeken of ervaar je daar problemen bij?

Ik ga er zondermeer vanuit dat jij er niet minder om zal lachen dat ik deze opmerking totaal niet als grappig ervaar.

Maar wat is het probleem dan toch wat je daarbij ervaart want, met alle respect, ik kan je echt niet volgen. Ook ik kan mijn thuisnetwerk van overal ter wereld benaderen, dus ik zou niet weten waarom jij dat dan niet zou kunnen ... of bedoel je soms iets anders?

Reputatie 4
Badge +1

Waar het om gaat is dat het als vast veronderstelde IP adres dat niet is

Een consumenten abonnement heeft altijd al dynamische IP-adressen gehad, ik snap niet zo goed wat je bedoelt.

In mijn aanbod stond dat ik een vast IP adres zou krijgen. Ik vind het in dit opzicht niet zo heel interessant wat jij denkt te weten of als vanzelfsprekend beschouwt. Er is een toezegging gedaan en ik constateer dat KPN medewerkers dit buitengewoon gemakzuchtig verwerpen en ook op geen enkele wijze tegemoet willen komen om de daaruit voortkomende problemen op te lossen.

 

 

de backup mogelijkheid om via DynDNS alsnog van buitenaf het juiste IP adres te achterhalen wordt onderworpen aan een beveiligingsmaatregel welke per de definitie een DynDNS als ongeldige bron beschouwt.

Wat bedoel je hiermee? Welke beveiligingsmaatregel zou jou voorkomen om het IP-adres van een A-record in te zien? Als jij via een computer op je netwerk het A-record up-to-date houdt is er in theorie niks wat je er van weerhoudt om vanaf een externe locatie te kunnen verbinden naar je thuisnetwerk. Dit heb ik zelf ook ingesteld voor mijn netwerk/domein.

Eh? Daar hebben we het nu net over. DNSSEC dus. Die “dienst” die controleert of dat A record wel echt klopt.

Reputatie 4
Badge +1

Waar het om gaat is dat het als vast veronderstelde IP adres dat niet is en dus onbetrouwbaar, ...

Wow en dat terwijl dat IP adres gewoonweg niet zal wijzigen. Je moet van hele goede huize komen om jouw publieke IP adres gewijzigd te krijgen, dat gaat je gewoon niet lukken.

Zelfs als je KPN smeekt om een nieuw IP adres omdat je een DDoS aanval ondergaat zal je die niet gaan krijgen.

 

 

Waarom dan hameren op de stelling dat mijn IP adres dynamisch is?

Reputatie 7

Waar het om gaat is dat het als vast veronderstelde IP adres dat niet is en dus onbetrouwbaar, ...

Wow en dat terwijl dat IP adres gewoonweg niet zal wijzigen. Je moet van hele goede huize komen om jouw publieke IP adres gewijzigd te krijgen, dat gaat je gewoon niet lukken.

Zelfs als je KPN smeekt om een nieuw IP adres omdat je een DDoS aanval ondergaat zal je die niet gaan krijgen.

Waarom dan hameren op de stelling dat mijn IP adres dynamisch is?

Ik hamer daar niet op. :innocent: Ja, formeel is het een dynamisch IP adres want KPN wil zich het recht voorbehouden om jouw IP adres te kunnen wijzigen. In de praktijk en conform de policy van KPN zal jouw IP adres echter nooit wijzigen.

Reputatie 7

In mijn aanbod stond dat ik een vast IP adres zou krijgen. 

Dat zal KPN je nooit aangeboden hebben al is het in de praktijk wel zo.

Heb je daar een screenshot van?

Reputatie 7

Eh? Daar hebben we het nu net over. DNSSEC dus. Die “dienst” die controleert of dat A record wel echt klopt.

Maar dat is toch ook met dyndns geen enkel probleem.

 

Reputatie 4
Badge +1

Ik hamer daar niet op. :innocent: Ja, formeel is het een dynamisch IP adres want KPN wil zich het recht voorbehouden om jouw IP adres te kunnen wijzigen. In de praktijk en conform de policy van KPN zal jouw IP adres echter nooit wijzigen.

Ik zeg toch ook niet dat jij dat doet? Of werk jij voor KPN?

 

Dat zal KPN je nooit aangeboden hebben al is het in de praktijk wel zo.

Heb je daar een screenshot van?

Van een glossy folder die hier ruim acht jaar geleden in de bus viel? Nee, daar heb ik geen screenshot van.

 

Maar dat is toch ook met dyndns geen enkel probleem.

De relevantie van het plaatje dat je bij deze opmerking plaatste ontgaat me. De Telfort link biedt een controle tool waar DNSSEC problemen identificeert. Mijn vaste DNS (op niet gegarandeerd IP adres) toont geen problemen, de dynamische DNS waar ik gebruik van kan maken geeft mij een serie rode vlaggen.

Reputatie 7

 

Maar dat is toch ook met dyndns geen enkel probleem.

De relevantie van het plaatje dat je bij deze opmerking plaatste ontgaat me. De Telfort link biedt een controle tool waar DNSSEC problemen identificeert. Mijn vaste DNS (op niet gegarandeerd IP adres) toont geen problemen, de dynamische DNS waar ik gebruik van kan maken geeft mij een serie rode vlaggen.

Maar wat heeft dat nu toch met dyndns te maken.

Overigens mijn dynamic dns entry by synology.me scoort even goed (of slecht) als de domeinen van bijvoorbeeld anwb en abnamro.

 

Reputatie 4
Badge +1

De DNS van mijn privédomein heeft alles op groen.

Reputatie 7

De DNS van mijn privédomein heeft alles op groen.

Er zijn relatief weinig domeinen die volledig DNSSEC zijn dus als jouw privédomein dat wel is, heel goed.

Kan je eens eens screenshot plaatsen van die Verisign DNSSEC controle voor jouw privédomein.

 

Reputatie 7
Badge +30

@Jan-D, @xorinzor, @wjb en @gordonb3 ik heb jullie berichten verplaatst! Het ging niet over reverse DNS, dus daarom afgesplitst van dat topic :-).

Reputatie 2

In mijn aanbod stond dat ik een vast IP adres zou krijgen. Ik vind het in dit opzicht niet zo heel interessant wat jij denkt te weten of als vanzelfsprekend beschouwt. Er is een toezegging gedaan en ik constateer dat KPN medewerkers dit buitengewoon gemakzuchtig verwerpen en ook op geen enkele wijze tegemoet willen komen om de daaruit voortkomende problemen op te lossen.

Dus jij hebt nogsteeds hetzelfde abonnement van 8 jaar geleden met dezelfde snelheid? Als je namelijk ooit eens voor een snellere verbinding gekozen hebt heb je daarmee ook een nieuw abonnement gekregen en daarmee je eventuele recht op een vast IP-adres waar je destijds misschien recht op had verloren. Ik snap overigens ook totaal niet waarom je hier de hele tijd zo'n groot probleem van maakt, gezien je dit zelf zoals ik al zei makkelijk in 10 minuten kan regelen.

 

 

 

Wat bedoel je hiermee? Welke beveiligingsmaatregel zou jou voorkomen om het IP-adres van een A-record in te zien? Als jij via een computer op je netwerk het A-record up-to-date houdt is er in theorie niks wat je er van weerhoudt om vanaf een externe locatie te kunnen verbinden naar je thuisnetwerk. Dit heb ik zelf ook ingesteld voor mijn netwerk/domein.

Eh? Daar hebben we het nu net over. DNSSEC dus. Die “dienst” die controleert of dat A record wel echt klopt.

 

DNSSEC zou hier geen enkele impact op moeten hebben, ik heb zelf ook DNSSEC op mijn domein en het werkt allemaal prima. Klinkt alsof je iets niet goed geconfigureerd hebt.