DNS Service - Technical FAQ

Wat is de DNS-dienst?
Hoe vraag ik deze dienst aan?
Wat zijn de namen van de Belnet-naamservers?
Wat zijn de primaire, secundaire naamservers?
Waarvoor dient een recursieve naamserver?
Hoe biedt Belnet redundantie bij de DNS-dienst?
Waarvoor dient DNSSEC?

Belnet Intelligent DNS

Hoeveel kost het?
Hoe werkt Belnet Intelligent DNS?
Kan ik de CCB-feed gebruiken als ik de Belnet DNS Service niet gebruik?
Wat is BAPS?

DNS over HTTPS (DoH)

Wat is DNS over HTTPS?
Hoe DNS over HTTPS inschakelen in Firefox?
Werkt 'split horizon' DNS met DNS over HTTPS?
Werkt gefilterde DNS?
Hoe zit het met privacy?

Wat is de DNS-dienst?

Domeinnaamservers (DNS) zijn het equivalent van een telefoonboek op het internet. Zij houden een lijst van domeinnamen bij en vertalen deze naar IP-adressen. Uw browser of internetprovider bekijkt de DNS die aan de domeinnaam is gekoppeld, vertaalt deze naar een IP-adres en leidt uw internetverbinding naar de juiste website.

Met de DNS-dienst biedt Belnet u veilige domeinnaamservers, aangepast aan uw infrastructuurprojecten voor optimale prestaties. De toegang van uw organisatie tot de internetdomeinnaamservers is essentieel.

Hoe vraag ik deze dienst aan?

U moet geen administratieve procedure volgen en geen overeenkomst ondertekenen. De DNS-dienst is gratis. U hoeft alleen maar een organisatie te zijn die aangesloten is op ons netwerk.

Wat zijn de namen van de Belnet-naamservers?

Belnet heeft 3 naamservers:

  • ns1.belnet.be: 193.190.198.14 / 2001:6a8:3c80::14
  • ns2.belnet.be: 193.190.182.40 / 2001:6a8:3c80:c000::40
  • ns3.belnet.be: 145.0.7.163 / 2001:610:188:441:145:0:7:163 (gehost door SurfNet in Nederland)

De naamservers functioneren autonoom op verschillende netwerken in verschillende datacenters. Zo kunnen we garanderen dat uw domeinnamen continu actief zijn.

Wat zijn de primaire, secundaire naamservers?

Elke domeinnaam heeft ten minste twee autoritatieve naamservers (primaire en secundaire naamservers) nodig om domeinnamen te vertalen naar IP-adressen. Per computer zijn een of meer recursieve naamservers nodig. Belnet beheert primaire, secundaire en recursieve naamservers. De recursieve naamservers hebben alleen betrekking op onze DNS-dienst.

Waarvoor dient een recursieve naamserver?

Elke computer die een domeinnaam opzoekt, maakt gebruik van een recursieve naamserver. De recursieve server bevraagt een aantal naamservers totdat hij een naamserver vindt die de betrokken domeinnaam naar een IP-adres kan vertalen.

Hoe biedt Belnet redundantie bij de DNS-dienst?

Om redundantie te garanderen, biedt Belnet drie recursieve servers. Deze recursieve DNS-servers zijn beschikbaar voor alle organisaties die op het netwerk zijn aangesloten:

- 193.190.198.10
- 193.190.198.2
- 193.190.67.53

- 2001:6a8:3c80::10
- 2001:6a8:3c80::20
- 2001:6a8:a40::53

Waarvoor dient DNSSEC?

DNSSEC verhoogt de veiligheid van het DNS-systeem. DNSSEC is een uitbreiding van het DNS-systeem die het internet helpt beschermen tegen verschillende aanvallen (zoals het besmetten van de DNS-cache met het oog op het phishing). DNSSEC zorgt ervoor dat de gegevens van domeinnamen volledig zijn.

Dit protocol is beschikbaar voor verschillende domeinnamen zoals '.be', '.org' en '.se'. Voor Belnet is deze beveiliging belangrijk en daarom worden zijn eigen domeinnamen beschermd met DNSSEC.

Hoeveel kost het?

Belnet Intelligent DNS is gratis.

Hoe werkt Belnet Intelligent DNS?

  1. Het CCB ontvangt informatie over mogelijke kwaadaardige websites (zoals malware en phishing sites)
  2. Het CCB analyseert de mogelijk kwaadaardige websites en op basis van verschillende criteria beslissen zij om deze al dan niet op de “threatlist” te zetten.
  3. Belnet downloadt dagelijks deze threatlists en voegt deze toe aan z’n DNS servers.
  4. Als één van uw eindgebruikers probeert om een dergelijke website te openen, wordt de DNS-query niet omgezet en wordt de gebruiker doorgestuurd naar een waarschuwingspagina van het CCB. 

Kan ik de CCB-feed gebruiken als ik de Belnet DNS Service niet gebruik?

In een eerste fase van BAPS wil het CCB (Centre For Cyber Security Belgium) zich richten op de onboarding van alle grote ISP's en zal het de lijst nog niet delen met andere organisaties. Het is zeker mogelijk dat de lijst later met een breder publiek zal worden gedeeld, maar dat zal voor de zomer nog niet het geval zijn. In de tussentijd kunnen internetgebruikers verdachte websites melden via “verdacht@safeonweb.be”.

Wat is BAPS?

Het Belgium Anti-Phishing Shield (BAPS) is een initiatief van het Centrum voor Cybersecurity van België. Het is ... te waarschuwen voor onveilige websites. BAPS maakt het mogelijk om een waarschuwing te geven voor kwaadaardige websites ... naar de Internet Service Provider (ISP) gestuurd. Dankzij BAPS vergelijkt de DNS-server van de ISP de gevraagde website met een lijst met ...

Wat is DNS over HTTPS?

De DNS-queries die uw computer naar de DNS-omzetter verstuurt, worden normaal via een onversleutelde verbinding verzonden. Iedereen die toegang heeft tot uw netwerk kan deze queries bekijken. Tegenwoordig wordt het meeste internetverkeer versleuteld verzonden. Dit is bijvoorbeeld het geval bij websites die gebruikmaken van https in plaats van http. Om een dergelijke verzending mogelijk te maken, is DNS over HTTPS (DoH) ontwikkeld.

Sommige browsers, zoals Firefox en Chrome, ondersteunen al DNS over HTTPS. Binnenkort gaan ze DoH standaard inschakelen. Voor wie liever geen gebruik maakt van de standaard DoH-dienst van Cloudflare in Firefox, heeft Belnet een eigen DoH-dienst gecreëerd. Deze dienst is beschikbaar voor iedereen, niet alleen voor onze klanten. U kunt de dienst zelf configureren.

Hoe DNS over HTTPS inschakelen in Firefox?

Bekijk deze webpagina van Firefox: https://support.mozilla.org/en-US/kb/firefox-dns-over-https

Ga via Preferences Network Settings en vink het vakje "Enable DNS over HTTPS" aan. Open de keuzelijst 'Costumer providers' en kies 'Aangepast', In het vak 'Aangepast' voert u 'https://dns.belnet.be/dns-query' in. Als u in de adresbalk 'about:config' invoert en op Enter drukt, krijgt u toegang tot meer opties (filter op 'trr'). Interessante opties:

  • network.trr.mode: schakel DNS over HTTPS in met failover (2) of zonder failover (3)
  • network.trr.excluded-domains: domeinen die niet worden omgezet via DNS over HTTPS

Werkt 'split horizon' DNS met DNS over HTTPS?

'Split horizon' DNS wordt gebruikt wanneer een domeinnaam anders wordt omgezet afhankelijk van het netwerk waarop u zich bevindt: bijvoorbeeld fw.belnet.be zet alleen om wanneer u zich binnen Belnet-office bevindt en gebruik maakt van interne DNS-servers.

Wanneer u DoH gebruikt, is het mogelijk dat split-horizon DNS niet werkt (afhankelijk van uw 'trr.mode' in Firefox). U kunt dit probleem omzeilen door domeinen toe te voegen aan 'network.trr.excluded-domains', zodat ze de standaard DNS-omzetter gebruiken.

Werkt gefilterde DNS?

U kunt een andere URI implementeren die DNS-filtering heeft.

Hoe zit het met privacy?

Omdat DoH is ontwikkeld om uw privacy te beschermen, hebben we besloten om uw individuele queries niet te bewaren.

Met het oog op prestatiemonitoring en voor statistische doeleinden houden we de volgende gegevens bij:

  • uw IP-adres, de responscode, het protocol en de responstijd (niet de DNS-query).
  • Queries worden in geanonimiseerde vorm bewaard door onze recursieve DNS-servers.
Vond u deze FAQ nuttig?

Copyright © 2021 Belnet.