DNSSEC für ISPs

Domain Name System Security Extension (DNSSEC) ermöglicht ISPs, tausenden von Kunden, die sich beim Arbeiten, Lernen, Spielen und Kommunizieren auf ein sicheres Internet verlassen, Mehrwert zu bieten.

Verisign arbeitet mit ISPs zusammen, um DNSSEC zu vereinfachen und zu standardisieren. Finden Sie heraus, was DNSSEC für Sie bedeutet, welche Schritte Sie unternehmen können, um sich auf DNSSEC vorzubereiten, und wie Tools, Informationen und andere Ressourcen von Verisign Sie bei der effektiven Planung, dem Test und der Aktivierung von DNSSEC unterstützen können.

Warum Sie jetzt handeln sollten Erforderliche Schritte Wichtige Hinweise Erste Schritte

Die zunehmende Kenntnis über DNS-Bedrohungen und die Entwicklung anderer Initiativen im Bereich Internetsicherheit wie Secure Sockets Layer lassen vermuten, dass DNSSSEC in Zukunft für Internetgeschäfte unerlässlich sein wird. Diese Entwicklung wird durch interne Anforderungen wie Risikomanagement und das Bedürfnis der Benutzer nach mehr Sicherheit im Internet vorangetrieben.

Durch schnelles Anpassen an die neuen Entwicklungen können ISPs ihre Kunden besser schützen, ihre Führungsposition im Bereich des Kundenschutzes und der Internetsicherheit festigen und sich von Wettbewerbern abheben. Außerdem können sie möglicherweise die Entwicklung von Produkten und Services – und anderen Initiativen der Branche – beeinflussen, die ihre Branche unterstützen und fördern.

DNSSEC – Vorteile für proaktive ISPs

Indem Sie dieses wichtige Element der Internetsicherheit hinzufügen, können Sie:

  • Das Risiko Ihrer Kunden mindern, Opfer von Internetkriminalität zu werden.
  • Ihre Marke und Ihren guten Ruf schützen und festigen.
  • Das Vertrauen und die Loyalität Ihrer Kunden stärken.
  • Mehr Internetsicherheit als Teil des Wertversprechens an Ihre Kunden bieten.
  • Kunden gewinnen und halten, denen Sicherheit wichtig ist.
  • Ihr Kerngeschäft schützen, indem Sie mehr Vertrauen ins Internet schaffen.
  • Ihre Führungsposition und Ihren Einfluss nutzen, um die Zukunft von DNSSEC mitzugestalten.

ISPs spielen eine entscheidende Rolle für eine einwandfreie Funktionsweise des Internets und den Erfolg von DNSSEC. Die von den ISPs verwalteten rekursiven Namenserver (Resolver) bieten eine schnelle Auflösung von Millionen von Domainnamen pro Tag. Rekursive Namenserver sind auch der Hauptvektor für Cache Poisoning.

DNSSEC-fähige rekursive Namenserver verhindern Cache Poisoning auf folgende Weise: Wenn ein rekursiver Namenserver DNS-Informationen von dem autoritativen Server einer Zone anfordert und die Zone signiert ist, fordert der rekursive Namenserver auch den DNSSEC-Schlüssel der Zone an, um zu verifizieren, dass die erhaltenen Informationen mit den Informationen auf dem autoritativen Server identisch sind.

Um die Verbreitung von DNSSEC im Internet-Ökosystem zu unterstützen, müssen Sie DNSSEC auf Ihren rekursiven Namenservern aktivieren und die Kompatibilität Ihrer Netzwerkinfrastruktur (z. B. Firewalls, Router, Schalter und Lastverteiler) mit den größeren DNS-Antworten, die DNSSEC generiert, gewährleisten. Langfristig können Sie DNSSEC in Ihre Entwicklungs- und Testprozesse integrieren. ISPs, die DNS-Hosting-Dienste anbieten, müssen DNSSEC auch für diese Funktionen aktivieren.

Die meisten im Handel verfügbaren rekursiven Namenserver unterstützen DNSSEC bereits und benötigen lediglich ein Update oder eine Parameteränderung. Sie müssen jedoch möglicherweise ältere Namenserver und vorhandene Netzwerkgeräte aktualisieren oder ersetzen.

Verisign hilft Ihnen dabei, die für Sie beste Strategie zur DNSSEC-Implementierung zu finden.

Die folgende Tabelle enthält Empfehlungen zur Lösung einiger der häufigsten Probleme bei der DNSSEC-Implementierung.

Problem: Ältere Versionen der Namenserver-Software unterstützen DNSSEC nicht.
Erklärung: DNS ist eine sehr stabile Plattform. Daher haben Administratoren die Namenserver-Software möglicherweise nicht besonders häufig aktualisiert. Es gibt Namenserver-Software (inklusive älterer Versionen von BIND), die DNSSEC nicht unterstützen. Empfehlung: Prüfen Sie Ihre Name-Server und aktualisieren Sie sie auf eine Version, die das DNSSEC-Protokoll und RSA-SHA256, NSEC und NSEC3 unterstützt.

Erwägen Sie die folgenden DNSSEC-kompatiblen Versionen: BIND 9,9.0, 9,81-p1, 9,7.4-p1 und Unbound 1,4.16
Problem: Die DNSSEC-fähigen Pakete sind größer (> 512 Byte) als die herkömmlichen Pakete.
Erklärung: DNSSEC-Pakete sind größer als übliche Pakete und enthalten andere Informationen. DNSSEC-kompatible Namenserver-Software kann den Ressourcenverbrauch eines Servers erhöhen. Größere Pakete belasten den Prozessor, den Serverarbeitsspeicher und die Bandbreite für ISP-Betrieb. Empfehlung: Überprüfen Sie die Hardware, die Ihr Namenserver verwendet, um sicherzustellen, dass die Server der höheren Belastung standhalten.
Problem: Rekursive Namensserver erfordern das "Aktivieren" der Validierung.
Erklärung: Um Ihren Kunden DNSSEC-Funktionen anzubieten, müssen Sie die DNSSEC-Validierung auf rekursiven Namenservern aktivieren. Empfehlung: Beurteilen und entscheiden Sie, ob Sie die Validierung "aktivieren" möchten. Richten Sie dann einen DNSSEC-fähigen validierenden rekursiven Namenserver ein und warten Sie ihn.
Problem: DNSSEC erhöht den Arbeitsaufwand der Systemadministratoren für die DNS-Verwaltung.
Erklärung: Für DNS-Vorgänge verantwortliche Systemadministratoren müssen eine regelmäßige Vertrauensverwaltung durchführen und den für die DNSSEC-Authentifizierung verwendeten öffentlichen Schlüssel aktualisieren, wenn die Betreiber der Root-Zone neue öffentliche/private Schlüsselpaare für digitale Signaturen bereitstellen. Empfehlung: Gehen Sie sicher, dass die Systemadministratoren, die Ihre DNS-Vorgänge verwalten, sich mit dem Prinzip von DNSSEC und der Verwaltung von Vertrauensankern auskennen. Bieten Sie technische Schulungen an und machen Sie Ihre Mitarbeiter mit den verfügbaren Tools vertraut.
Problem: Die DNSSEC-Validierung schlägt bei Endbenutzern fehl.
Erklärung: Ein wichtiges Anliegen für ISPs und die Internet-Community ist die Endbenutzererfahrung beim Entdecken betrügerischer DNS-Daten oder Fehlschlagen der Namenauflösung, weil die für die Authentifizierung von DNS verwendeten digitalen Signaturen abgelaufen sind. Empfehlung: Schulen Sie Ihr Kundensupport-Team entsprechend, damit solche Ausfälle identifiziert und den Benutzern erklärt werden können. Arbeiten Sie mit Verisign, anderen ISPs und anderen Mitgliedern des Internet-Ökosystems zusammen, um eine standardisierte Lösung für dieses Problem zu finden.

Registrare können ihr Ziel eines DNSSEC-fähigen Systems, das das Vertrauen der Registranten und Endbenutzer aufrechterhält, neue Ertragsmöglichkeiten bietet und ihnen einen Vorteil vor Wettbewerbern schafft, nach und nach in wohlüberlegten Schritten erreichen. Basierend auf den Erfahrungen bei der Arbeit mit Registraren und ISPs und der Implementierung von DNSSEC in der Root-Zone, .edu, .net und .com schlagen wir Ihnen folgende erste Schritte vor.

Entdecken und Lernen

  • Überlegen Sie, wie DNSSEC in Ihre Internetsicherheitsstrategie passt.
  • Entdecken Sie die Vorteile und Herausforderungen bei der Implementierung von DNSSEC.
  • Informieren Sie sich über öffentliche Schlüsselkryptografie, Verschlüsselungsstandards und das Zusammenspiel digitaler Signaturen mit öffentlichen/privaten Schlüsseln.
  • Vergewissern Sie sich, dass Ihre IT- und Kundensupportmitarbeiter Schulungen erhalten, um mit auf DNSSEC bezogenen Problemen umgehen zu können.
  • Nutzen Sie Verisign-Ressourcen und planen Sie Strategien, um Ihre Kunden über DNSSEC zu informieren.

Planen

  • Setzen Sie einen Zeitrahmen für die Implementierung von DNSSEC fest.
  • Legen Sie fest, wie Sie DNSSEC in Ihre vorhandene DNS-Architektur integrieren möchten.
  • Entwerfen Sie Richtlinien und Prozesse für eine systematische Integration aktualisierter öffentlicher Schlüssel von Registraren oder anderen Vertrauensankern.

Bewerten und Aktualisieren

  • Machen Sie eine Bestandsaufnahme und prüfen Sie Ihre Infrastruktur. Finden Sie zum Beispiel heraus, welche Version von BIND oder Unbound DNS Sie ausführen und ob die Namenserver NSEC3 und SHA-256 unterstützen.
  • Bestimmen Sie, ob DNSSEC Auswirkungen auf die Netzwerkbandbreite hat und wie genau diese Auswirkungen aussehen (größere DNSSEC-Pakete erhöhen den Netzwerkverkehr).
  • Überlegen Sie, wie sich DNSSEC auf die Verwaltung Ihrer rekursiven Namenserver auswirkt.
  • Erkundigen Sie sich bei Ihren Hardware-Anbietern, ob diese DNSSEC in ihre Roadmap integrieren können und ob Upgrades für Ihre vorhandenen Netzwerkgeräte vorhanden sind.
  • Bewerten Sie Produkte und Services, die Ihre Implementierung unterstützen.
  • Aktualisieren Sie Ihre DNS-Hardware und Namenserver-Software bei Bedarf, sodass sie mit DNSSEC kompatibel ist.

Zusammenarbeiten

  • Arbeiten Sie mit Industriekonsortien, Normungsorganisationen und Anbietern von Software und Hardware zusammen, um Lösungen und Herangehensweisen zu entwickeln, die den Bedürfnissen Ihres Unternehmens entsprechen.
  • Kollaborieren Sie und entwickeln Sie Strategien für die Endbenutzererfahrung, wenn DNSSEC "schlechte" Daten entdeckt.

Weitere InfosWeniger lesen

BENÖTIGEN SIE WEITERE INFORMATIONEN?

Rechtliche Hinweise// Datenschutz// Repository// Kontakt// Sitemap


© 2011-2013 VeriSign, Inc. Alle Rechte vorbehalten.
VERISIGN, das VERISIGN-Logo und andere Marken, Dienstleistungsmarken und Designs sind registrierte oder unregistrierte Marken von VeriSign, Inc. und seinen Tochtergesellschaften in den USA und anderen Staaten. Alle anderen Marken sind Eigentum der jeweiligen Inhaber.