DNSSEC in der Praxis
Getrieben vom Bekanntwerden der Kaminsky-Attacke und US-Regularien hat das Thema DNSSEC während der letzten Monate an Bedeutung gewonnen wie wohl keine andere Technologie im Internet.
DNSSEC stellt die einzige verfügbare Möglichkeit dar, die Manipulation von DNS-Daten auf dem Transportweg zu verhindern. Einige Toplevel-Domains sind bereits mit Hilfe von DNSSEC signiert, zahlreiche weitere werden während der nächsten ein bis zwei Jahre folgen. In naher Zukunft wird kein DNS-Administrator darum herumkommen, sich intensiv mit dieser Thematik auseinanderzusetzen, insbesondere wenn es um den Betrieb des Internet-DNS geht.
Auf dem gemeinsamen Seminar von n3k und Infoblox zum Thema DNSSEC wurden die folgende Fragen beantwortet:
DNSSEC-Hintergrund
Obwohl das grundsätzliche Design von DNSSEC bereits vor mehr als zehn Jahren (und damit im vergangenen Jahrhundert) entwickelt wurde, gab es über lange Zeit aufgrund des hohen Aufwandes und dem Fehlen entsprechender Hilfsmittel kaum Interesse an einer praktischen Umsetzung im Internet oder in Firmennetzwerken.
Das hat sich seit Bekanntwerden der sogenannten Kaminsky-Attacke im Sommer 2008 entscheidend geändert. Eine wichtige Folge des Bekanntwerdens dieser Sicherheitslücke war die Einführung von DNSSEC für die „.gov“-Zone im Januar 2009 verbunden mit der Anweisung an sämtliche US-Regierungsorganisationen, DNSSEC für die .gov-Domains bis Ende 2009 zu implementieren.
Hintergrund ist, dass die Kaminsky-Attacke auf einer Schwäche des DNS-Protokolls selbst basiert. Auch wenn die Ausnutzung der Sicherheitslücke durch aktuelle DNS-Server-Versionen erschwert wird, sind entsprechende Spoofing-Attacken auf rekursive Nameserver weiterhin möglich. DNSSEC ist die einzige existierende Möglichkeit, derartige Manipulationen der DNS-Daten auf dem weg vom Betreiber einer DNS-Domain hin zum abfragenden Anwender sicher erkennen und damit verhindern zu können.
Ausgelöst durch die Kaminsky-Attacke und die Initiative der US-Regierung ist mittlerweile sehr viel Bewegung in die Einführung von DNSSEC gekommen. Alle Betreiber wichtiger Top-Level-Domains arbeiten mittlerweile aktiv an einer Umsetzung. So hat das DENIC für die deutsche „.de“-Zone vor kurzem ein Testbed gestartet, in dem praktische Erfahrungen für eine zügige Umsetzung gesammelt werden sollen. Zahlreiche Hersteller von DNS-Lösungen liefern mittlerweile erweiterte Funktionalität, um den Betrieb von DNSSEC zu erleichtern. Auch die Referenz-Implementierung ISC-Bind wird stetig mit dieser Zielsetzung weiterentwickelt. In naher Zukunft wird damit kein DNS-Administrator darum herumkommen, sich intensiv mit dieser Thematik auseinanderzusetzen, insbesondere wenn es um den Betrieb des Internet-DNS geht.
DNSSEC stellt die einzige verfügbare Möglichkeit dar, die Manipulation von DNS-Daten auf dem Transportweg zu verhindern. Einige Toplevel-Domains sind bereits mit Hilfe von DNSSEC signiert, zahlreiche weitere werden während der nächsten ein bis zwei Jahre folgen. In naher Zukunft wird kein DNS-Administrator darum herumkommen, sich intensiv mit dieser Thematik auseinanderzusetzen, insbesondere wenn es um den Betrieb des Internet-DNS geht.
Auf dem gemeinsamen Seminar von n3k und Infoblox zum Thema DNSSEC wurden die folgende Fragen beantwortet:
- Warum ist DNSSEC wichtig?
- Wann kommt DNSSEC für die „.de“-Domain?
- Was ist beim praktischen Einsatz zu beachten?
- Welche Möglichkeiten bietet Infoblox heute und morgen?
DNSSEC-Hintergrund
Obwohl das grundsätzliche Design von DNSSEC bereits vor mehr als zehn Jahren (und damit im vergangenen Jahrhundert) entwickelt wurde, gab es über lange Zeit aufgrund des hohen Aufwandes und dem Fehlen entsprechender Hilfsmittel kaum Interesse an einer praktischen Umsetzung im Internet oder in Firmennetzwerken.
Das hat sich seit Bekanntwerden der sogenannten Kaminsky-Attacke im Sommer 2008 entscheidend geändert. Eine wichtige Folge des Bekanntwerdens dieser Sicherheitslücke war die Einführung von DNSSEC für die „.gov“-Zone im Januar 2009 verbunden mit der Anweisung an sämtliche US-Regierungsorganisationen, DNSSEC für die .gov-Domains bis Ende 2009 zu implementieren.
Hintergrund ist, dass die Kaminsky-Attacke auf einer Schwäche des DNS-Protokolls selbst basiert. Auch wenn die Ausnutzung der Sicherheitslücke durch aktuelle DNS-Server-Versionen erschwert wird, sind entsprechende Spoofing-Attacken auf rekursive Nameserver weiterhin möglich. DNSSEC ist die einzige existierende Möglichkeit, derartige Manipulationen der DNS-Daten auf dem weg vom Betreiber einer DNS-Domain hin zum abfragenden Anwender sicher erkennen und damit verhindern zu können.
Ausgelöst durch die Kaminsky-Attacke und die Initiative der US-Regierung ist mittlerweile sehr viel Bewegung in die Einführung von DNSSEC gekommen. Alle Betreiber wichtiger Top-Level-Domains arbeiten mittlerweile aktiv an einer Umsetzung. So hat das DENIC für die deutsche „.de“-Zone vor kurzem ein Testbed gestartet, in dem praktische Erfahrungen für eine zügige Umsetzung gesammelt werden sollen. Zahlreiche Hersteller von DNS-Lösungen liefern mittlerweile erweiterte Funktionalität, um den Betrieb von DNSSEC zu erleichtern. Auch die Referenz-Implementierung ISC-Bind wird stetig mit dieser Zielsetzung weiterentwickelt. In naher Zukunft wird damit kein DNS-Administrator darum herumkommen, sich intensiv mit dieser Thematik auseinanderzusetzen, insbesondere wenn es um den Betrieb des Internet-DNS geht.