Kop van het artikel met daarop een foto van Huis ten Bosch. Naast dit pand is een parkeerplaats aangewezen waarop alle parkeerdomeinen van het Rijk staan.

De helpdesk #9: hoe om te gaan met doorstuur- en parkeerdomeinen

Onlangs voegden we meer dan 25.000 nieuwe domeinen toe aan basisbeveiliging. Veel organisaties die groen stonden zijn hierdoor weer rood geworden. Zo kleurde de hele kaart van Nederlandse gemeenten, behalve de gemeente Harlingen, rood of oranje.

Al deze nieuwe domeinen leidde ook tot extra vragen aan de helpdesk. Zoals: Wat moeten we nu?, Wat zijn de verwachtingen?, Waarop worden deze domeinen gemeten?, enzovoort. In dit helpdeskartikel leggen we uit hoe om te gaan met dit soort domeinen en welke metingen zijn te verwachten.

Veel organisaties leggen extra domeinen vast waar niets op staat of die doorverwijzen naar een andere site. Het vastleggen van een extra domein is goedkoop en vaak blijven die kosten laag. Basisbeveiliging maakt voor haar metingen geen uitzondering voor dit soort domeinen. Dat is ook niet nodig, omdat de eigenaar zelf kan bepalen wat er op deze domeinen staat en dus welke beveiligingseisen van toepassing zijn.

Waarom doorstuur- en parkeerdomeinen?

Het hebben van doorstuur- en parkeerdomeinen is erg gebruikelijk. Op al deze domeinen staat niets of alleen een doorverwijzing. Het merendeel van de geregistreerde domeinen vallen binnen dit type domeinen. Een aantal voorname redenen om extra domeinen vast te leggen zijn:

  1. Fraudebescherming zoals typosquatting, denk aan www-rijksoverheid.nl.
  2. Veel voorkomende verkeerde spelling van een organisatie, zoals gooisemeeren.nl met dubbel e.
  3. Verkorten van de naam van een project of organisatie.
  4. Doorsturen van een projectnaam, concept, persoon en et cetera naar de echte site.
  5. Beschermen van oude namen en merknamen.
  6. Reserveren van toekomstige domeinen om kaping te voorkomen.

Omdat deze domeinen onderdeel zijn van een organisatie vereisen ze ook beveiligingsmaatregelen. Er zijn zelfs maatregelen nodig op domeinen waar geen website staat.

Parkeerdomeinen

Op een parkeerdomein staat niets, is de gedachte. Helaas hebben fraudeurs en spammers ervoor gezorgd dat er toch beveiligingsmaatregelen noodzakelijk zijn. Deze maatregelen gelden ten minste voor e-mail en zij voorkomen dat fraudeurs mail kunnen versturen die lijkt alsof het afkomstig is van dat domein. Het niet toepassen van deze maatregelen wekt de indruk dat het domein gehackt is. Dat komt omdat de administratieve eigenaar van het domein wordt geassocieerd met de inhoud van de mails. Een fraudeur vindt dat zeer wenselijk omdat meer mensen de e-mail dan serieus nemen.

Laten we een voorbeeld nemen aan de website wwi.nl. Dit domein is geregistreerd door de Rijksoverheid. Er staat geen website op en het leidt ook nergens naartoe. Maar de rijksoverheid wil natuurlijk niet dat er phishing plaatsvindt onder hun naam. Om dat te voorkomen zijn er een aantal beschermingseisen voor e-mail noodzakelijk.

Deze kenmerken zijn gedocumenteerd door internet.nl. Op de internet.nl toolbox-wiki staat precies hoe een leeg parkeerdomein moet worden beschermd. Samengevat moet het bericht “dit domein verstuurd geen e-mail” worden ingericht. Een bijkomend voordeel is dat deze maatregelen is dat eventueel misbruik ook opgemerkt kan worden.

Parkeerdomeinen hebben doorgaans geen website. Dat wil zeggen dat ze niet in het ‘internet adresboek’ staan, ofwel geen A en AAAA records. Omdat er geen website staat zijn aanverwante beveiligingseisen ook niet nodig. Er zijn geen bezoekers en basisbeveiliging kan ook niets meten. Dit scheelt dus het instellen van allerlei maatregelen zoals een versleutelingscertificaat, de juiste website-instellingen en het security.txt bestand. Wanneer een domein geen website heeft maar wel andere diensten aanbiedt raden wij aan om alsnog een security.txt bestand te plaatsen.

Soms wordt een parkeerdomein door een leverancier of eigenaar ingericht met een ‘in aanbouw’ of ‘gereserveerd voor’ webpagina. Dat lijkt handig, maar brengt wel met zich mee dat nu wél een website staat. Deze website moet net als andere websites aan de gangbare veiligheidsnormen voldoen.

Doorstuurdomeinen

Een doorstuurdomein stuurt een bezoeker door van het ene adres naar het andere. Zo stuurt ministerschoof.nl de bezoeker door naar een biografische pagina over de minister-president op de website rijksoverheid.nl. Met deze registratie wordt voorkomen dat iemand aan de haal gaat met dit domein, bijvoorbeeld om verwarring te veroorzaken. Een meer tijdloze doorverwijzing is ingesteld voor minister-president.nl, eveneens van de Rijksoverheid.

Het doorsturen van een domein vereist het aanbieden van een website. Deze website wijst op een of andere manier door naar de juiste site. Dat doorverwijzen kan op allerlei manieren, maar de beste en meest gangbare is het gebruiken van een HTTP Redirect.

Omdat doorsturen gebeurt met een website en webserver zijn alle gebruikelijke beveiligingseisen voor websites van toepassing, deze zijn terug te vinden in het meetbeleid. Dit zijn o.a. het gebruik van DNSSEC, versleuteling en het instellen van de HSTS-header. Voor de overheid zijn die laatste twee zelfs wettelijke verplicht.

Een andere verwachte maatregel is een security.txt bestand. Ook dit bestand kan worden doorgestuurd naar een centraal document zodat er niet voor elk domein een nieuw bestand hoeft worden opgemaakt. In dat geval ziet een bezoeker het volgende gebeuren:

  1. Een bezoeker gaat naar: https://ministerschoof.nl/.well-known/security.txt
  2. De browser ontvangt een HTTP Redirect code en volgt deze op
  3. De bezoeker komt uit op https://www.ncsc.nl/.well-known/security.txt
  4. De bezoeker trekt conclusie is dat kwetsbaarheidsmeldingen op het domein ministerschoof.nl naar het NCSC mogen

Wat gaat er vaak fout?

Wij krijgen regelmatig vragen via de helpdesk over doorstuur- en parkeerdomeinen. Doorsturen geeft de meeste uitdagingen. De volgende vijf punten komen daarin vaker dan gemiddeld langs:

  1. Niets inrichten. Op dit soort domeinen staat soms reclame van het hostingsbedrijf of een standaardpagina van een webserver.
  2. Niet juist doorsturen: Er wordt wel doorgestuurd, maar direct naar een subdomein. Daardoor kan de HSTS-header niet correct ingesteld worden op het nieuw-bezochte domein. Een doorstuurdomein hoort eerst een https upgrade uit te voeren en eventueel daarna pas door te sturen naar een subdomein. Dus: http://example.nl naar https://example.nl en dan naar https://www.example.nl. Dus niet direct van http://example.nl naar https://www.example.nl, omdat er dan geen HSTS header wordt geplaatst op het hoofddomein.
  3. Geen HSTS-instellen: men denk dat dit niet nodig is bij een HTTP Redirect
  4. Niet instellen van DNSSEC, Security.txt of andere zaken bij doorstuurdomeinen.
  5. Niet alle HSTS metingen bij alle partijen zijn volledig, waardoor een false negative ontstaat. Die van internet.nl is dat wel.

Samengevat

Bekijk voor exacte inrichting van doorstuur- en parkeerdomeinen de toolbox-wiki van internet.nl. Bekijk voor een overzicht van alle metingen van basisbeveiliging het meetbeleid.

Parkeerdomeinen

  • Bevatten geen webpagina (dus ook geen ‘gereserveerd voor’, o.i.d.)
  • Hebben geen website, dus A/AAAA records in de DNS
  • Zonder website is er geen meting mogelijk op verbindingsveiligheid
  • Kunnen wel misbruikt worden voor email spoofing/phishing
  • Worden daarom wel gecontroleerd op DNS- en Emailveiligheid

Doorstuurdomeinen

  • Bevatten een webpagina (met een HTTP Redirect of ander doorstuurmechanisme)
  • Moeten daarom voldoen aan verbindingsveiligheid, omdat bezoeken via https gebruikelijk is
  • Omdat er een website staat gelden de gebruikelijke beveiligingseisen voor sites
  • Net als parkeerdomeinen kunnen ook deze domeinen misbruikt worden voor email spoofing/phishing
  • Deze domeinen worden daarom ook gecontroleerd op DNS- en Emailveiligheid

Related Posts