DNSSEC OVERVIEW

Domain Name System Security Extensions (DNSSEC) erhöhen die DNS-Sicherheit. DNSSEC ist dafür konzipiert, MITM-Angriffe und Cache Poisoning zu erkennen, indem es die Quelle der DNS-Daten authentifiziert und ihre Integrität verifiziert, während der Benutzer sich im Internet bewegt.

Warum DNSSEC? Funktionsweise Säulen des Erfolgs Entwicklung von DNSSEC

Das Domain Name System (DNS), das Adresssystem für das Internet, ist die wichtigste Komponente der Internet-Infrastruktur. Ohne das DNS würde das Internet nicht funktionieren. Bei seiner Entwicklung wurde Sicherheit jedoch nicht berücksichtigt. In der Folge ist es angreifbar für Man-in-the-Middle (MITM)-Angriffe und Cache Poisoning Diese Bedrohungen verwenden gefälschte Daten, um den Internetdatenverkehr auf betrügerische Seiten und ungewollte Adressen zu leiten. Weitere Informationen zu DNS

Sobald der ahnungslose Benutzer oder das Gerät die betrügerische Seite erreicht, können Internetkriminelle Kreditkartendaten extrahieren, Benutzerkennwörter stehlen, sich in VoIP-Kommunikationen einschalten, bösartige Software installieren oder Bilder und Text anzeigen, die die legitime Marke diffamieren oder falsche Informationen übermitteln. Angesichts der Tatsache, dass ein einzelner DNS-Namenserver als Resolver (für die Auflösung des Namens in die Adresse) für Tausende Benutzer fungieren kann, sind die potenziellen Folgen eines MITM-Angriffs oder Cache Poisoning fatal.

DNSSEC – Vorteile für Endbenutzer

DNSSEC bietet allen Mitgliedern des Internet-Ökosystems neue Möglichkeiten. Die Wirkung auf Endbenutzer ist dabei am direktesten und weitreichendsten.

  • Vertrauenswürdige Aktivitäten: DNSSEC bietet mehr Sicherheit im DNS und erhöht damit die Vertrauenswürdigkeit zahlreicher Internetaktivitäten wie E-Commerce, Online-Banking, E-Mail, VoIP und Online-Vertrieb von Software.
  • Kunden- und Markenschutz: DNSSEC vermindert das Risiko für Kunden, unwissentlich Opfer von Internetkriminalität zu werden, wenn sie auf eine Ressource zugreifen möchten.
  • Neue Möglichkeiten für sichere Transaktionen: DNSSEC ermöglicht die Nutzung von DNS für neue Arten sicherer Datentransaktionen (z. B. die Authentifizierung von E-Mail-Absendern) durch das Abwehren von Angriffen, über die Daten in die falschen Hände geraten.

Die Internet Engineering Task Force (IETF) arbeitet schon seit über 15 Jahren an einem praktikablen Standard für Domain Name System Security Extensions (DNSSEC). DNSSEC schützt die Internet-Community vor gefälschten DNS-Daten durch den Einsatz öffentlicher Schlüsselkryptografie zum digitalen Signieren der Daten autoritativer Zonen, wenn diese ins System gelangen. Anschließend wird das System als Ziel validiert. Weitere Informationen über öffentliche Schlüsselkryptografie

Die digitale Signierung garantiert Benutzern, dass die Daten von der angegebenen Quelle stammen und während der Übertragung nicht modifiziert wurden. DNSSEC kann auch nachweisen, dass ein Domainname nicht existiert. Diese Funktionen sind entscheidend, um das Vertrauen ins Internet aufrechtzuerhalten.

Bei DNSSEC hat jede Zone ein öffentliches/privates Schlüsselpaar. Der öffentliche Schlüssel der Zone wird über DNS veröffentlicht, während der private Schlüssel sicher aufbewahrt und idealerweise offline gespeichert wird. Der private Schlüssel einer Zone signiert individuelle DNS-Daten in dieser Zone und erstellt so digitale Signaturen, die auch über DNS veröffentlicht werden.

DNSSEC verwendet ein strenges Vertrauensmodell und diese Kette des Vertrauens verläuft von den übergeordneten bis zu den untergeordneten Zonen. Die Zonen der höheren Ebenen (übergeordnete Zonen) signieren – oder bürgen für – die öffentlichen Schlüssel der Zonen der unteren Ebenen (untergeordnete Zonen). Die autoritativen Namenserver für diese Zonen können von Registraren, ISPs, Webhosting-Unternehmen oder Websitebetreibern (Registranten) selbst verwaltet werden.

Wenn ein Endbenutzer auf eine Website zugreifen will, fordert ein Stub-Resolver innerhalb des Betriebssystems des Benutzers von einem rekursiven Namenserver die IP-Adresse der Website an. Nachdem der Server diesen Eintrag anfordert, fordert er auch den mit der Zone verknüpften DNSSEC-Schlüssel an. Anhand dieses Schlüssels kann der Server verifizieren, dass der IP-Adresseneintrag, den er empfängt, mit dem Eintrag des autoritativen Namenservers identisch ist.

Wenn der rekursive Namenserver bestimmt, dass der Adresseintrag vom autoritativen Namenserver gesendet und bei der Übertragung nicht geändert wurde, löst er den Domainnamen auf und der Benutzer kann auf die Website zugreifen. Dieser Vorgang wird als Validierung bezeichnet. Wenn der Adresseintrag geändert wurde oder nicht von der angegebenen Quelle stammt, verweigert der rekursive Namenserver dem Benutzer den Zugriff auf die betrügerische Adresse. DNSSEC kann auch nachweisen, dass ein Domainname nicht existiert. Als Folge dieses Vorgangs sind DNS-Abfragen und -Antworten vor Man-in-the-middle(MITM)-Angriffen und den Arten von Betrug geschützt, die Internetnutzer zu Phishing- oder Pharming-Seiten umleiten.

Um den weltweiten Erfolg von DNSSEC zu gewährleisten, befürwortet Verisign eine proaktive, aber vorsichtige Herangehensweise, die auf drei wichtigen Prinzipien basiert:

  • DNSSEC ist eine effektive Lösung für bestimmte Arten von Internetbedrohungen, muss aber durch andere Schutzmethoden ergänzt werden.
  • Eine kontrollierte und methodische DNSSEC-Einführung ist die sicherste Methode.
  • Das gesamte Internet-Ökosystem teilt die Verantwortung für DNSSEC.

Eine effiziente Lösung für bestimmte Bedrohungen

DNSSEC erhöht zwar die DNS-Sicherheit, ist aber nur eine Komponente einer vielschichtigen Herangehensweise für eine sichere Internet-Infrastruktur. Es schützt Namenserver nicht vor Distributed Denial of Service(DDoS)-Angriffen, gewährleistet keine Vertraulichkeit beim Austausch von Daten, verschlüsselt Website-Daten nicht und verhindert auch nicht Spoofing oder Phishing. Andere Schutzmechanismen wie die Vermeidung von DDoS-Angriffen, Sicherheitsaufklärung, Vermeidung von Betrug, Verschlüsselung und Seitenvalidierung über Secure Sockets Layer (SSL) sowie Two-factor Authentication sind ebenfalls entscheidend für die Sicherheit im Internet. Diese Mechanismen sollten gemeinsam mit DNSSEC verwendet werden.

Vorsichtige, kontrollierte Einführung

Die breitflächige Implementierung von DNSSEC bringt eine Reihe komplexer Veränderungen mit sich, die das gesamte Internet-Ökosystem betreffen und umfangreiche Ressourcen, Dokumentation, Tests und Koordination innerhalb der Branche erfordern. Jede DNSSEC-Implementierung muss in Phasen vor sich gehen, insbesondere um den zuverlässigen Betrieb von Top-Level-Domains (TLDs) von globaler Bedeutung wie .com und .net zu gewährleisten. Langfristige Strategien, Planung und Kollaboration – nicht nur innerhalb von und zwischen Organisationen und Branchen, sondern auch auf internationaler Ebene – bilden eine stabile Basis für eine erfolgreiche Implementierung.

Geteilte Verantwortung

Da Cache Poisoning an jedem Ort im Internet stattfinden kann, ist DNSSEC am effektivsten, wenn es universell eingesetzt wird – von der Root-Zone und Top-Level-Domains (TLDs) bis hin zu individuellen Domainnamen. Registrys, Registrare, Registranten, Hosting-Unternehmen, Software-Entwickler, Hardware-Anbieter, Regierung, Unternehmen und Behörden mit Internetpräsenz sowie Internettechnologen und Vereinigungen sind gemeinsam für den Erfolg dieser weitreichenden Initiative verantwortlich.

DNSSEC verbreitet sich immer schneller, da Regierungen, Finanzinstitute, Internet Service Provider (ISPs), Unternehmen und andere Organisationen sich zunehmend DNS-bezogener Gefahren bewusst werden.

Die Internet-Root-Zone, Top-Level-Domains (TLDs) wie .net, .com, .gov, .org, .museum und .edu sowie einige TLDs mit Länderkennzeichen (Country Code TLDs, ccTLDs) haben die DNSSEC-Implementierung vollständig oder nahezu abgeschlossen. Diese TLDs akzeptieren demnächst Second-Level-Domainnamen mit DNSSEC-Signierung. Einige ISPs haben angekündigt, die Validierung auf den rekursiven Namenservern zu aktivieren, die Benutzeranfragen beantworten, und einige Registrare haben die DNSSEC-Implementierung in ihre Roadmaps integriert. Zudem soll ICANN demnächst Anwendungen für neue TLDs einführen, und es ist davon auszugehen, dass ICANN von erfolgreichen TLD-Antragstellern eine geplante DNSSEC-Implementierung fordert.

DNSSEC TIMELINE

1990 1990: Die Diskussion um die Sicherheit von DNS beginnt, nachdem ein ernster Fehler entdeckt wird.
1995 1995: DNSSEC wird ein offizielles Thema in der IETF.
1999 1999: Das DNSSEC-Protokoll (RFC2535) ist fertig und BIND9 wird als erste DNSSEC-fähige Implementierung entwickelt.
2001 2001: Key Handling führt zu funktionalen Problemen, die die Bereitstellung von DNSSEC für große Netzwerke unmöglich machen. Die IETF entscheidet, das Protokoll zu revidieren.
2005 2005: DNSSEC-Standards in mehreren RFCs (4033, 4034, 4035) werden revidiert. Im Oktober aktiviert Schweden (.se) DNSSEC in seiner Zone.
2007 2007: Im Juli aktiviert ccTLD .pr (Puerto Rico) DNSSEC, gefolgt von .br (Brasilien) im September und .bg (Bulgarien) im Oktober.
2008 2008: Der NSEC3-Standard (RFC 5155) wird veröffentlicht. Im September aktiviert ccTLD .cz (Tschechien) DNSSEC.
2009 Verisign und EDUCAUSE hosten eine DNSSEC-Testumgebung für ausgewählte .edu-Registranten. Root-Zone für interne Verwendung von Verisign und ICANN signiert. ICANN und Verisign führen Signierung des ZSK mit dem KSK aus.
2010 Der erste Root-Server bedient die signierte Root und nutzt dafür die DURZ (Deliberately Unvalidatable Root Zone)-Methode. Alle Root-Server, die die signierte Root bedienen, verwenden die DURZ-Methode. ICANN veranstaltet erste KSK-Feier in Culpeper, VA, USA. ICANN veröffentlicht den Root-Zonen-Vertrauensanker und Root-Operatoren beginnen, die signierte Root-Zone mit tatsächlichen Schlüsseln zu bedienen - Die signierte Root-Zone ist verfügbar. Verisign und EUDCAUSE aktivieren DNSSEC für die .edu-Domain. Verisign aktiviert DNSSEC für die .net-Domain.
2011 Im Februar wird die DNSSEC-fähige .gov-Registry auf Verisign umgestellt. Im März wird .com signiert und Verisigns Managed DNS Service wird um den vollständigen Support für die DNSSEC-Compliance erweitert. 59 TLDs werden mit Vertrauensankern in der Root-Zone signiert.
2012 Im Januar verkündete Comcast announced, dass seine Kunden DNSSEC-validierende Resolver benutzen. Seit März wuchs die Zahl der signierten TLDs auf 90.

Verisigns Rolle

Verisign ist seit 2000 an der Entwicklung von DNSSEC beteiligt, und unsere Ingenieure haben eine entscheidende Rolle bei der Ausarbeitung des NSEC3-Protokolls gespielt. Wir werden auch weiterhin mit der technischen Internet-Community zusammenarbeiten, wenn es um den Test, die Implementierung und die weitere Entwicklung von DNSSEC geht. Zum Beispiel waren wir ein aktives Mitglied der DNSSEC Coalition, eine Branchenorganisation für die Vereinfachung der DNSSC-Übernahme. Um sicherzugehen, das wir Best Practices einsetzen, unsere Erfahrungen mit DNSSEC-Implementierungen teilen und eine konsistente Herangehensweise über alle Registrys hinweg unterstützen, sind wir aktives Mitglied der DNSSEC Coalition, einer Branchenorganisation, die sich mit der Implementierung von DNSSEC befasst.

Im Juli 2010 hat Verisign—in Zusammenarbeit mit der Internet Assigned Numbers Authority (IANA) und dem. US-Handelsministerium (DoC)—die Umsetzung von DNSSEC in der Root-Zone abgeschlossen (der Startpunkt in der DNS-Hierarchie). Ebenfalls im Juli hat Verisign in Zusammenarbeit mit EDUCAUSE und dem US-Handelsministerium .edu aktiviert und arbeitet gerade daran, DNSSEC für .net und .com zu aktivieren. Darüber hinaus wurden einige Top-Level-Domains (TLDs) von anderen Registrys signiert, inklusive .gov, .org und der Country Code TLDs für Brasilien, Bulgarien, Tschechien, Puerto Rico und Schweden.

Darüber hinaus ergreifen wir zahlreiche Maßnahmen, um Mitglieder des Internet-Ökosystems dabei zu unterstützen, DNSSEC erfolgreich zu nutzen. Diese Schritte beinhalten das Veröffentlichen technischer Ressourcen, die Bereitstellung einer operativen Testumgebung und des DNSSEC Interoperability Labs, die Beteiligung an Industrieforen und die Entwicklung von Tools zur Vereinfachung der DNSSEC-Verwaltung.

Weitere InfosWeniger lesen

BENÖTIGEN SIE WEITERE INFORMATIONEN?

Rechtliche Hinweise// Datenschutz// Repository// Kontakt// Sitemap


© 2011-2013 VeriSign, Inc. Alle Rechte vorbehalten.
VERISIGN, das VERISIGN-Logo und andere Marken, Dienstleistungsmarken und Designs sind registrierte oder unregistrierte Marken von VeriSign, Inc. und seinen Tochtergesellschaften in den USA und anderen Staaten. Alle anderen Marken sind Eigentum der jeweiligen Inhaber.