Wie DNSSEC funktioniert

Warum und was DNSSEC tut.

Die Auflösung von Namen in Adressen ist eine der zentralen Grundfunktionen des Internets. Das Domain Name System  löst diese Aufgabe als verteilte hierarchische Datenbank. Verantwortungsbereiche werden zu denen delegiert, die aus erster Hand auskunftsfähig sind. Einmal erhaltene Auskünfte sind wiederverwertbar und werden dezentral zwischengespeichert. Dies führt zu einem sehr gut skalierbaren und robusten System. Auf der anderen Seite stellt die Delegationshierarchie sicher, dass nur derjenige auch wirklich die Auskunft erteilt, der dazu befugt ist.

Leider hat sich im Laufe der Jahrzehnte herausgestellt, dass diese Delegationen und verteilten Abfragen angreifbar sind. Beispielsweise wird beim Poisoning  einem Resolver  eine falsche Antwort vorgetäuscht. Da der Resolver diese Anfrage zwischenspeichert, wird er – darauf aufbauend – den Angreifer nach den Adressen fragen und nicht den real Zuständigen. Auf diese Weise kann der Name des Webservers der Bank zu einer Adresse auflösen, die beim Angreifer liegt und dieser so eine gefälschte Webseite präsentieren und Kontozugangsdaten ausspähen. Gegen diesen Angriff hilft auch kein Abruf der Bankwebseite aus den Favoriten. Besonders schlimm ist dieser Angriff, wenn er gegen den Resolver eines großen ISP durchgeführt wird und dann alle Kunden dieses Providers betroffen sind.

Ein anderes, immer mehr zunehmendes Problem besteht darin, dass einige ISPs und viele Hotels einen Zusatzgewinn aus der Namensauflösung generieren wollen. Sie verändern die Adressen während des Transports und leiten so die Webzugriffe auf ihre Werbeportale um. Besonders extrem ist dieses Vorgehen, wenn Tippfehler zu fremden Werbeseiten umgelenkt werden. Statt seiner Firmen- oder Bankwebseite wird man also von Werbung erschlagen.

DNSSEC  bietet durch digitale Signaturen im DNS Protokoll die Möglichkeit, viele derartige Angriffe abzuwehren. Bei DNSSEC geschützten Domains kann man sicher auch noch hinter mehreren Resolvern feststellen, dass

  • die Auskunft vom wirklich verantwortlichen Anbieter stammt
  • die erhaltenen Daten im Transport nicht verändert wurden
  • fehlerhafte Namen auch sicher nicht existieren

Aufgrund dieser Vorteile wird DNSSEC standardmäßig bei allen von uns gehosteten Domains der Kunden aktiviert. Wir bietet als Dienstleister auch die remote Signierung  Ihrer Zonen an. Die Zonendaten bleiben dabei auf Ihren Servern und sind weiterhin mit Ihren eingeführten Werkzeugen pflegbar. Ebenso bleiben Ihre Nameserver für Ihre Domains verantwortlich. Mittels TSIG-Authentisierung holen wir Ihre Zonendaten ab und stellen Sie Ihnen signiert wieder zur Verfügung. Sprechen Sie mit uns

Sie haben keinen Zugriff zu den Kommentaren.

Sie dürfen keine Kommentare veröffentlichen.