Wie DNSSEC funktioniert

Artikelübersicht

  1. DNSSec
  2. Hintergrund
  3. Remote Signing

Die Auflösung von Namen in Adressen ist eine der zentralen Grundfunktionen des Internets. Das Domain Name System  löst diese Aufgabe als verteilte hierarchische Datenbank. Verantwortungsbereiche werden zu denen delegiert, die aus erster Hand auskunftsfähig sind. Einmal erhaltene Auskünfte sind wiederverwertbar und werden dezentral zwischengespeichert. Dies führt zu einem sehr gut skalierbaren und robusten System. Auf der anderen Seite stellt die Delegationshierarchie sicher, dass nur derjenige auch wirklich die Auskunft erteilt, der dazu befugt ist.

Leider hat sich im Laufe der Jahrzehnte herausgestellt, dass diese Delegationen und verteilten Abfragen angreifbar sind. Beispielsweise wird beim Poisoning  einem Resolver  eine falsche Antwort vorgetäuscht. Da der Resolver diese Anfrage zwischenspeichert, wird er – darauf aufbauend – den Angreifer nach den Adressen fragen und nicht den real Zuständigen. Auf diese Weise kann der Name des Webservers der Bank zu einer Adresse auflösen, die beim Angreifer liegt und dieser so eine gefälschte Webseite präsentieren und Kontozugangsdaten ausspähen. Gegen diesen Angriff hilft auch kein Abruf der Bankwebseite aus den Favoriten. Besonders schlimm ist dieser Angriff, wenn er gegen den Resolver eines großen ISP durchgeführt wird und dann alle Kunden dieses Providers betroffen sind.

Ein anderes, immer mehr zunehmendes Problem besteht darin, dass einige ISPs und viele Hotels einen Zusatzgewinn aus der Namensauflösung generieren wollen. Sie verändern die Adressen während des Transports und leiten so die Webzugriffe auf ihre Werbeportale um. Besonders extrem ist dieses Vorgehen, wenn Tippfehler zu fremden Werbeseiten umgelenkt werden. Statt seiner Firmen- oder Bankwebseite wird man also von Werbung erschlagen.

DNSSEC  bietet durch digitale Signaturen im DNS Protokoll die Möglichkeit, viele derartige Angriffe abzuwehren. Bei DNSSEC geschützten Domains kann man sicher auch noch hinter mehreren Resolvern feststellen, dass

  • die Auskunft vom wirklich verantwortlichen Anbieter stammt
  • die erhaltenen Daten im Transport nicht verändert wurden
  • fehlerhafte Namen auch sicher nicht existieren 

Aufgrund dieser Vorteile wird DNSSEC standardmäßig bei allen von IKS gehosteten Domains der Kunden aktiviert. Die IKS bietet als Dienstleister auch die remote Signierung  Ihrer Zonen an. Die Zonendaten bleiben dabei auf Ihren Servern und sind weiterhin mit Ihren eingeführten Werkzeugen pflegbar. Ebenso bleiben Ihre Nameserver für Ihre Domains verantwortlich. Mittels TSIG-Authentisierung holen wir Ihre Zonendaten ab und stellen Sie Ihnen signiert wieder zur Verfügung. Sprechen Sie mit uns!  

Trotz allem hat DNSSEC auch noch Probleme, die aber weitgehend als gelöst angesehen werden können. Die IKS GmbH ist zentral in die Lösung einiger dieser Probleme involviert.

Problem

Lösung

Fehlende Signaturen der Zwischenhierarchien Wenn Lücken in der Signierung der Delegationshierarchie auftreten, wären Angriffe weiterhin denkbar. Aus diesem Grunde kann ein Resolver auf externe Verzeichnisse zugreifen und dort nach dem Stand der DNSSEC Anwendung einer Zone schauen. Die Methode nennt sich DLV oder Look-Aside-Zone. Die IKS betreibt die umfangreichste und aktuellste derartige Schlüsselsammlung . Diese DLV ist für jedermann frei benutzbar .
Auflistung der Zoneninformation Durch das Hashen der Namen für Nichtexistenznachweise wird ein Durchmustern ausgeschlossen. Darüber hinaus gestattet NSEC3 auch die partielle Signierung, so dass nur Teile der Zone wirklich geschützt sind. Kunden der IKS erhalten diese Signaturen nur auf explizite Nachfrage.

Kommentare

Bitte melden Sie sich an oder registrieren Sie sich um kommentieren zu können.

Powered by eZ Publish™ CMS Open Source Web Content Management. Copyright © 1999-2010 eZ Systems AS (except where otherwise noted). All rights reserved.