DNSSEC für Hardware-Anbieter

Finden Sie heraus, was DNSSEC für Sie bedeutet und was Sie tun können, um zum Erfolg von DNSSEC beizutragen.

Je schneller sich Domain Name System Security Extensions (DNSSEC) verbreiten, desto größer wird die Nachfrage nach DNSSEC-kompatiblen Internetgeräten und Hardware. Verisign ist darum bemüht, mit interessierten Hardware-Anbietern zusammenzuarbeiten, um Kompatibilitätsrisiken zu identifizieren und zu lösen.

Warum Sie jetzt handeln sollten Was Sie benötigen Wichtige Hinweise Erste Schritte

Da die Anzahl der DNSSEC-Implementierungen derzeit rasant steigt, benötigen Endbenutzer zunehmend Netzwerk- und andere Geräte, die eine DNSSEC-fähige Umgebung unterstützen und mit ihr kompatibel sind.

Dadurch ergibt sich eine bedeutende Marktchance für Hardware-Anbieter, die bemüht sind, diese Anforderungen schnell zu erfüllen. Diese Entwicklung weist auch auf das potenzielle Geschäftsrisiko hin, das Anbieter von Geräten eingehen, die nicht DNSSEC-kompatibel sind. Allgemeiner betrachtet betonen diese Möglichkeiten und Risiken die wichtige Rolle, die Hardware-Anbieter bei der erfolgreichen Implementierung und Anwendung von DNSSEC spielen.

DNSSEC kann bei Netzwerkgeräten, die DNS unterstützen, eine Reihe von Kompatibilitätsproblemen verursachen. Planungs-, Entwicklungs- und Herstellungsprozesse zur Behebung dieser Probleme können Monate oder sogar Jahre dauern. Hardware-Anbieter müssen schnell handeln, um ausreichend Zeit für die Planung, Entwicklung, den Test und die Weiterentwicklung ihrer Produkte zu haben.

Durch schnelles Anpassen an die neuen Entwicklungen können Hardware-Anbieter ihre Kompetenz und Innovationsbereitschaft in Bezug auf Internetsicherheit unter Beweis stellen, sich so von der Konkurrenz abheben und sich schon früh auf dem Markt für DNSSEC-kompatible Geräte behaupten.

DNSSEC – Vorteile für Hardware-Anbieter

Wenn Sie schnell handeln, um den weltweiten Erfolg von DNSSEC zu unterstützen, können Sie:

  • Upgrades und neue Produkte einführen, die mit DNSSEC kompatibel sind.
  • Ihre Marke und Ihren guten Ruf festigen.
  • Das Vertrauen und die Loyalität Ihrer Kunden stärken.
  • Kunden gewinnen und halten, denen Sicherheit wichtig ist.
  • Die Internetsicherheit Ihrer Kunden erhöhen.
  • Ihr Kerngeschäft schützen, indem Sie mehr Vertrauen ins Internet schaffen.
  • Ihre Führungsposition und Ihren Einfluss nutzen, um die Zukunft von DNSSEC mitzugestalten.

DNSSEC führt komplexe Änderungen im ganzen Internet-Ökosystem ein. Um sicherzugehen, dass Internetnutzer von diesem zusätzlichen Grad an Sicherheit profitieren, müssen Hersteller von Produkten für die Internetinfrastruktur wie Firewalls, Router und andere Netzwerkgeräte sicherstellen, dass ihre Geräte mit DNSSEC kompatibel sind. Der richtige Einsatz dieser Produkte betrifft praktisch jeden, der mit dem Internet verbunden ist, inklusive Unternehmen, ISPs, Heimanwender und andere Kunden.

DNSSEC betrifft potenziell jedes Gerät, das Internetverkehr auf den Schichten 3 bis 7 des Open Systems Interconnection(OSI)-Protokollstapels untersucht. Kompatibilitätsprobleme können von der Hardware selbst oder deren Konfiguration durch den Benutzer verursacht werden. Forschungen zufolge funktionieren offenbar die meisten Router für kleinere Büros/Heimbüros (SOHO-Router) (vor Stub-Resolvern) in einer DNSSEC-fähigen Umgebung einwandfrei. Firewalls für Unternehmen (vor rekursiven Servern) stellen die größte Herausforderung dar.

Verisign möchte Ihnen dabei helfen, Kompatibilitätsprobleme mit Ihren Produkten und Lösungen zu identifizieren. Die folgende Tabelle enthält Empfehlungen zur Lösung einiger der häufigsten DNSSEC-Kompatibilitätsprobleme.

Problem: Die DNSSEC-fähigen Pakete sind größer (> 512 Byte) als übliche DNS-Pakete.
Erklärung: Früher wurden DNS-Nachrichten über das User Datagram Protocol (UDP) gesendet und die ursprünglichen DNS-Standards begrenzten die Größe des DNS-Pakets auf 512 Byte. DNSSEC-Pakete können öffentliche Schlüssel und digitale Signaturen enthalten. Als Folge überschreiten DNSSEC-Pakete oft die ursprüngliche maximale Größe von 512 Byte. Viele ältere und einige aktuelle Netzwerkgeräte können die größeren DNSSEC-Pakete nicht übermitteln. Empfehlung: Beachten Sie Gerätebegrenzungen bezüglich der Verarbeitung von DNSSEC-Paketen.
Problem: Die Aktivierung von DNSSEC erhöht das TCP-Verkehrsaufkommen.
Erklärung: Aufgrund der Begrenzung der Maximum Transmission Unit (MTU) kann das UDP die größeren DNSSEC-Pakete nicht immer transportieren. Dies hat zur Folge, dass Abfragen und Antworten auf TCP zurückgreifen, was mehr Verkehr verursacht und Netzwerkgeräte stärker belastet. Zusätzlich sind einige Geräte nicht für den Transport von DNS-Paketen über TCP konfiguriert bzw. unterstützen DNS über TCP überhaupt nicht. Empfehlung: Vergewissern Sie sich, dass Ihre Geräte TCP unterstützen und entsprechend konfiguriert sind.
Problem: Die Aktivierung von DNSSEC erfordert die Unterstützung von EDNS0.
Erklärung: Erweiterungsmechanismen für DNS (EDNS) sind ein Satz von DNS-Erweiterungen, der 1999 erstmals veröffentlicht wurde. DNSSEC-Verkehr ist auf diese Erweiterungen für zusätzliche Signalisierung und für die Unterstützung von DNS-Paketen über UDP, die größer als 512 Byte sind, angewiesen. Einige Netzwerkgeräte können möglicherweise DNS-Pakete mit EDNS0 nicht verarbeiten. Empfehlung: Vergewissern Sie sich, dass Ihre Geräte DNS-Pakete mit EDNS0 unterstützen.

Verisign möchte Ihnen dabei helfen, die Kompatibilität Ihrer Geräte mit DNSSEC sicherzustellen. Führen Sie für den Anfang die folgenden Schritte aus.

Bewerten und Planen

  • Überprüfen Sie Ihre Produkte auf Einschränkungen in Bezug auf DNSSEC und finden Sie heraus, wie die Standardeinstellungen des Herstellers sind.
  • Überlegen Sie, wie DNSSEC in Ihre Produktentwicklungsstrategie passt.
  • Entwickeln Sie einen Plan für die Entwicklung von Produkten, Upgrades und Erweiterungen, die DNSSEC unterstützen.

Test

Testen Sie im Verisign DNSSEC Interoperability Lab die Kompatibilität Ihrer Netzwerkgeräte mit DNSSEC.

Entdecken und Lernen

  • Entdecken Sie die Vorteile und Herausforderungen für Ihre Kunden bei der Implementierung von DNSSEC.
  • Entwickeln Sie Strategien, um Ihre Kunden über die DNSSEC-Kompatibilität Ihrer Produkte zu informieren.
  • Vergewissern Sie sich, dass Ihre IT- und Kundensupportmitarbeiter Schulungen erhalten, um mit auf DNSSEC bezogenen Problemen umgehen zu können.
  • Arbeiten Sie mit Industriekonsortien, Normungsorganisationen und anderen Anbietern von Software und Hardware zusammen, um Lösungen und Herangehensweisen zu entwickeln, die den Bedürfnissen Ihres Unternehmens entsprechen.


Weitere InfosWeniger lesen

BENÖTIGEN SIE WEITERE INFORMATIONEN?

Rechtliche Hinweise// Datenschutz// Repository// Kontakt// Sitemap


© 2011-2013 VeriSign, Inc. Alle Rechte vorbehalten.
VERISIGN, das VERISIGN-Logo und andere Marken, Dienstleistungsmarken und Designs sind registrierte oder unregistrierte Marken von VeriSign, Inc. und seinen Tochtergesellschaften in den USA und anderen Staaten. Alle anderen Marken sind Eigentum der jeweiligen Inhaber.