20 dec Whalebone DNS Security
In de afgelopen jaren hebben we een significante toename gezien in DNS-beveiligingsproducten. Sommige daarvan zijn geïntegreerd in een ander product, terwijl andere zelfstandige, puur op DNS gerichte leveranciers zijn.
Het belangrijkste wat we van een dergelijk beveiligingsproduct verwachten, is het blokkeren van kwaadaardige URL’s. Natuurlijk is het kunnen categoriseren en toestaan of blokkeren op basis van gebruiker of locatie een zeer welkom extraatje, maar belangrijker is hoe we ze op kwaliteit kunnen rangschikken. Precies dat willen we hier doen: de verschillende leveranciers vergelijken en ze in een grafiek plaatsen.
Hoe zijn we te werk gegaan?
We zijn begonnen met het verzamelen van verschillende databases met kwaadaardige domeinen uit verschillende delen van de wereld. Elk afzonderlijk domein werd eerst gecontroleerd via Google DNS om te zien of het nog steeds werd opgelost en niet al door Google was geblokkeerd. Dit resulteerde in een lijst van 33.022 domeinnamen.
Beveiliging
Deze lijst werd vervolgens getest tegen een lijst van bekende DNS-beveiligingssystemen. De 9 geteste leveranciers zijn een combinatie van publieke DNS, agent-gebaseerde systemen of beide.
De resultaten zijn duidelijk. Drie van de negen geteste producten zijn bijna nutteloos. Drie andere zijn duidelijk zeer veilig. Stel dat een gebruiker op een kwaadaardige URL klikt: met een van de drie beste producten weet u met meer dan 99% zekerheid dat deze wordt geblokkeerd. Zonder enige beveiliging bent u theoretisch 100% zeker dat de link doorgaat.
Wilt u de namen van de leveranciers weten? Neem dan contact met ons op via [email protected] of via uw vertrouwde contactpersoon.
Prestaties
De tweede test die we uitvoerden, was een snelheidstest. Wat is de responstijd voor een DNS-opzoekopdracht? Om de vertragingen veroorzaakt door het script zelf (overhead) te elimineren, keken we alleen naar de verschillen tussen de verschillende DNS-providers en niet naar de exacte cijfers. Met andere woorden, we kijken niet naar hoe lang het duurt voor een antwoord, maar alleen naar de relatieve tijden in vergelijking met de snelste.
Snelheidstests werden uitgevoerd met “goede” domeinen, omdat dit de snelheid is die u in een normale situatie zult opmerken.
In de onderstaande grafieken ziet u zowel de mediaan- als de gemiddelde vergelijking tussen de snelste (=0) en de rest vergeleken daarmee. Leverancier nummer 8 is de snelste en wordt daarom als baseline (0) gebruikt.
Het beste product is degene die hoog scoort in de eerste grafiek en zeer laag in de andere twee grafieken.
Als u een specifieke leverancier wilt testen die nog niet is getest, kunnen we dat samen bekijken. Het is echter het beste om dit vanaf dezelfde computer en locatie te doen, zodat we vergelijkbare prestatiecijfers krijgen.
Conclusie
Prijs is niet meegenomen in de beoordeling. Aangezien sommige leveranciers DNS-beveiliging in hun pakketten hebben opgenomen of slechts een bepaald type lookup gebruiken, is het moeilijk te zeggen welke de beste koop is. Meer beveiliging is altijd beter, maar de vraag is of er budget is om de beveiliging te verhogen van bijna 70% naar bijna 100%, aangenomen dat beveiliging al in de basisprijs was inbegrepen.
De namen van de leveranciers zijn niet gepubliceerd om kortzichtige conclusies te voorkomen, maar zijn op aanvraag beschikbaar.
Aangezien het rapport van tijd tot tijd wordt bijgewerkt, kunnen de exacte cijfers in dat rapport enigszins variëren.
Heb je nog vragen over DNS beveiliging? Aarzel niet om contact op te nemen met [email protected].
No Comments