DNSSEC

Was ist DNSSEC?

Die Abk├╝rzung DNSSEC steht f├╝r Domain Name System Security Extensions. Dabei handelt es sich um unterschiedliche Internet-Standards, die das DNS um Angaben zur Authentifizierung von Quellen erg├Ąnzen. So soll die Integrit├Ąt und Echtheit der Daten gew├Ąhrleistet werden.

Die urspr├╝ngliche DNSSEC-Version wurde 1999 ver├Âffentlicht. Allerdings stellte sich schnell heraus, dass sie f├╝r gr├Â├čere Netze untauglich ist. Erst einige Jahre sp├Ąter, im Jahr 2005, wurden die Erweiterungen in drei Request for Comments (RFC) ver├Âffentlicht und zum Standard erhoben. Es handelt sich hier um RFC 4033, RFC 4034 und RFC 4035. Im Jahr 2010 wurde die Technik schlie├člich auf der Root-Ebene im Internet implementiert, und zwar auf den 13 Root-Nameservern, die f├╝r die DNS-Aufl├Âsung der Top-Level-Domains┬ásorgen.

Bedeutung

Jeder Internet-User und jede Website besitzt eine IP-Adresse. Diese Adresse ist jeweils einzigartig und setzt sich aus mehreren Ziffern zusammen. Niemand will beim Besuch einer Website oder beim E-Mail-Versand eine IP-Adresse eingeben. Aus diesem Grund existiert das Domain-Name-System (DNS): Es erm├Âglicht die Eingabe eines praktischen Domain-Namens. Das Domain-Name-System sorgt f├╝r die Namensaufl├Âsung und gilt damit als einer der wichtigsten Dienste innerhalb IP-basierter Netzwerke. Klartext-Namen werden in IP-Adressen umgewandelt und bieten damit eine M├Âglichkeit, den geforderten Kontakt herzustellen.

Bei der Kommunikation zwischen Client und DNS-Nameserver besteht ein Sicherheitsrisiko, das nicht untersch├Ątzt werden darf. Die Identit├Ąt des Absenders ist vom Empf├Ąnger nicht zu ├╝berpr├╝fen. Somit kann er nicht ermitteln, ob die DNS-Antwort tats├Ąchlich von dem Server stammt, von dem angeblich die Anfrage gesendet wurde. Ein Angreifer kann sich zwischen Client und Nameserver einschalten und dem Empf├Ąnger eine falsche IP-Adresse zuordnen. Um dieses Risiko zu kontrollieren, wurde DNSSEC (Domain Name System Security Extensions) entwickelt. Seit 2011 ist DNSSEC auch f├╝r Domains mit der Endung .de verf├╝gbar.

DNSSEC: die Funktionsweise der Verschl├╝sselung

Die DNSSEC verwendet ein Public-Key-Kryptosystem. Dabei handelt es sich um ein asymmetrisches Verfahren zur Verschl├╝sselung. Die beteiligten Parteien tauschen keinen geheimen gemeinsamen Schl├╝ssel aus, sondern greifen auf ein Schl├╝sselpaar zur├╝ck. Dieses Paar besteht aus einem Public Key (├Âffentlicher Schl├╝ssel) und einem Private Key (privater Schl├╝ssel). Der private Schl├╝ssel versieht s├Ąmtliche Resource Records (DNS-Informationseinheiten) mit einer digitalen Signatur. Der ├Âffentliche Schl├╝ssel des Clients pr├╝ft und verifiziert die Signatur und best├Ątigt so die Authentizit├Ąt der Quelle.

Im Domain-Name-System ist jeder Nameserver f├╝r eine festgelegte Zone zust├Ąndig. Der Nameserver beinhaltet eine Zonendatei, in der er alle Resource Records seiner Zone auff├╝hrt. Jeder Nameserver besitzt einen eigenen Zonenschl├╝ssel, der ihn allein dazu bef├Ąhigt, die jeweiligen Resource Records abzusichern.

Der ├Âffentliche Schl├╝ssel des Zonenschl├╝ssels ist als DNSKEY Resource Record in die Zonendatei implementiert. Mit seiner Hilfe wird jede einzelne Informationseinheit signiert. So entstehen RRSIG Resource Records, die mitsamt dem zu Grunde liegenden Resource Record ├╝bermittelt werden. Die Kombination ist von Dauer, und zwar unabh├Ąngig davon, ob sie an einen weiteren Nameserver ├╝bertragen oder im Cache gespeichert wird. Im letzten Schritt erreicht die Kombination den anfragenden Client. Dieser kann die Signatur anhand eines DNS-Resolvers und des Public Key validieren.

Zus├Ątzlich zum Zonenschl├╝ssel existiert ein syntaktisch gleichlautender Schl├╝sselunterzeichnungs-Key, der die Authentizit├Ąt des entsprechenden Zonenschl├╝ssels best├Ątigt. Damit wird das Schl├╝ssel-Management erleichtert und eine Chain of Trust (Vertrauenskette) generiert. F├╝r den Unterzeichnungsschl├╝ssel gibt es einen Hashwert, der als Trusted Key in einem DNS-Eintrag der vorgeordneten Zone abgelegt wird. Dem Resolver muss damit nur der ├Âffentliche Schl├╝ssel der Root-Ebene, also der obersten Zone, bekannt sein.

Die Auswertung der Daten durch den Resolver

Beim DNS-Resolver im DNSSEC-Prozess handelt es sich um Client-seitige Software-Module. Sie rufen die Informationen von den Nameservern ab, und zwar auf iterative oder rekursive Weise. Beim iterativen Verfahren wird dem Resolver die gew├╝nschte Information entweder direkt zur Verf├╝gung gestellt, oder er erh├Ąlt einen Verweis auf den folgenden Nameserver. Diesen Verweisen folgt der Resolver so lange, bis die Adresse aufgel├Âst ist. Beim rekursiven Verfahren sendet der Resolver eine Anfrage an den ihm zugewiesenen Nameserver im Netz des Providers oder im lokalen Netz. Findet der Resolver die ben├Âtigten Informationen nicht im Datenbestand, sorgt der Server f├╝r die vollst├Ąndige Adressaufl├Âsung, indem er wiederum iterative Anfragen auf den Weg schickt. Rekursiv arbeitende Resolver werden auch als Stub-Resolver bezeichnet und sind typischerweise f├╝r ├╝bliche Clients wie zum Beispiel Web-Browser im Einsatz.

Erst wenn ein validierender Resolver die generierten zus├Ątzlichen Informationen auswerten kann, bietet das DNSSEC die anvisierte Sicherheit. Der Resolver muss zwingend die Protokoll-Erweiterungen EDNS (Extension Mechanisms for DNS) unterst├╝tzen. Nur so l├Ąsst sich die Validierung im Header des DNS aktivieren.

DNSSEC: Verbreitung und Akzeptanz

Die Verbreitung von DNSSEC gestaltet sich z├Ąh – in erster Linie aufgrund der komplexen Voraussetzungen. Die Technologie muss auf beiden Seiten unterst├╝tzt werden – auf der des Hosters ebenso wie auf der des Website-Besuchers. Die Inhaber einer Domain sind darauf angewiesen, dass der Hoster die Verschl├╝sselungstechnik unterst├╝tzt und organisiert. Ob eine Webpr├Ąsenz durch DNSSEC-Signaturen gesch├╝tzt ist, k├Ânnen die Nutzer nicht beeinflussen. Dar├╝ber hinaus ben├Âtigen sie einen validierenden Resolver. Daf├╝r haben sie grunds├Ątzlich drei M├Âglichkeiten:

  • Sie w├Ąhlen einen Provider, der die ├ťberpr├╝fung von DNSSEC-Signaturen anbietet.
  • Sie betreiben einen eigenen Resolver.
  • Sie nutzen Browser-Erweiterungen wie zum Beispiel den “DNSSEC Validator”.

Dabei m├╝ssen die Nutzer in jedem Fall ber├╝cksichtigen, dass DNSSEC nur die Namensaufl├Âsung authentifiziert bzw. signiert. Die ├╝bermittelten Daten sind in keiner Weise gesch├╝tzt. Dementsprechend ist eine Kombination aus DNSSEC und verschl├╝sselnden ├ťbertragungsprogrammen – zum Beispiel TLS – nicht nur sinnvoll, sondern notwendig.

Es gibt zus├Ątzliche Probleme, die die schleppende Akzeptanz der DNS-Sicherheitstechnik verursachen. So sind die Nameserver st├Ąrker ausgelastet, was Denial-of-Service-Angriffe erleichtert. Der Chain of Trust birgt Risiken, weil die Public Keys via DNS mit verteilt werden.

Auf andere Schwachstellen wurde bereits reagiert. So benennen neuere Resolver-Versionen die unterschiedlichen Resource Records mit einem Hashwert statt mit einem Klartext-Label, um das so genannte DNSSEC-Walking zu unterbinden. So k├Ânnen Angreifer nicht l├Ąnger den Inhalt einer gesicherten Zone auslesen.

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte