DNSSEC

DNSSEC steht für Domain Name System Security Extensions und ist eine Erweiterung des herkömmlichen Domain Name Systems (DNS), das das Internet zum Auflösen von Domain-Namen in IP-Adressen nutzt.

DNSSEC fügt eine Schicht digitaler Signaturen hinzu, die sicherstellt, dass die DNS-Antworten, die du erhältst, authentisch sind und nicht manipuliert wurden.

Das bedeutet, wenn du eine Webseite wie beispiel.de in deinen Browser eingibst, garantiert DNSSEC, dass die IP-Adresse, die der DNS-Server zurückgibt, wirklich der beispiel.de entspricht und nicht von einem Angreifer verändert wurde.

Notwendigkeit und Vorteile von DNSSEC

Warum brauchen wir DNSSEC? Das herkömmliche DNS wurde nicht mit Sicherheit im Vordergrund konzipiert. Dies hat das DNS anfällig für verschiedene Arten von Angriffen gemacht, einschließlich DNS-Spoofing oder Cache Poisoning. Diese Angriffe können dazu führen, dass du unbewusst auf eine gefälschte Website umgeleitet wirst, die von einem Angreifer kontrolliert wird, selbst wenn du den richtigen Domain-Namen eingegeben hast.

Vorteile von DNSSEC:

• Sicherheit: DNSSEC schützt vor Manipulation durch die Verwendung digitaler Signaturen, um die Authentizität der DNS-Antworten zu gewährleisten.
• Vertrauenswürdigkeit: Es erhöht das Vertrauen in das Internet, indem es sicherstellt, dass die aufgerufenen Websites echt sind.
• Verbesserte Privatsphäre: Indem es die Möglichkeit von man-in-the-middle Angriffen verringert, trägt DNSSEC auch dazu bei, deine Privatsphäre zu schützen.

Unterschiede zwischen DNSSEC und herkömmlichen DNS

Das traditionelle DNS und DNSSEC unterscheiden sich hauptsächlich in zwei Aspekten: Sicherheit und Validierungsmethoden.

• Sicherheit: Im Vergleich zum traditionellen DNS, das keine eingebaute Methode zur Überprüfung der Authentizität der Antworten bietet, sichert DNSSEC diese Informationen mittels kryptografischer Signaturen ab. So kann der Endnutzer verifizieren, dass die erhaltenen Informationen korrekt sind.
• Validierungsmethoden: Während das herkömmliche DNS einfach die Anfragen beantwortet, ohne die Richtigkeit der Antwort zu prüfen, führt DNSSEC eine Validierung durch. Jede Antwort ist signiert, und der Empfänger der Information kann diese Signatur überprüfen.

Prozess der Signierung und Validierung von DNS-Antworten

Bei DNSSEC (Domain Name System Security Extensions) dreht sich alles darum, die Authentizität und Integrität von DNS-Antworten zu gewährleisten. Dies geschieht durch einen Signaturprozess, bei dem der zuständige DNS-Server eine digitale Signatur erstellt, die mit den DNS-Antwortdaten gesendet wird.

So funktioniert der Signaturprozess:

1. Schlüsselerstellung: Zunächst werden zwei Schlüsselpaare generiert – ein Zone Signing Key (ZSK) und ein Key Signing Key (KSK). Der ZSK wird für das Signieren der DNS-Einträge verwendet, während der KSK dazu dient, den ZSK zu signieren.

2. Signatur: Der DNS-Server nimmt die Antwortdaten, die an den Anfragenden gesendet werden sollen, und signiert diese mit dem privaten Schlüssel des ZSK. Die generierte Signatur wird zusammen mit den Antwortdaten und dem öffentlichen Teil des ZSK als Teil der DNS-Antwort gesendet.

3. Validierung auf Client-Seite: Der empfangende DNS-Resolver (typischerweise der DNS-Server des Internetanbieters oder ein spezialisierter DNSSEC-Resolver) verwendet den öffentlichen Schlüssel des ZSK, um die Authentizität und Integrität der Antwort zu überprüfen. Ist die Prüfung erfolgreich, kann der Resolver sicher sein, dass die Antwort echt ist und nicht manipuliert wurde.

Rolle der kryptographischen Schlüssel

Kryptographische Schlüssel sind die Säulen von DNSSEC. Sie erfüllen zwei Hauptaufgaben: Verschlüsselung und Authentifizierung. Der ZSK wird verwendet, um die tatsächlichen DNS-Daten zu signieren, was deren Authentizität garantiert. Der KSK hat eine höhere Sicherheitsstufe und wird ausschließlich dazu verwendet, den ZSK zu signieren, was eine zusätzliche Sicherheitsebene schafft. Diese Hierarchie stellt sicher, dass auch bei Kompromittierung des ZSK der KSK sicher bleibt, solange er außerhalb des direkt zugänglichen Systems gespeichert wird.

Beziehung zwischen DNSSEC und Domain-Namen

DNSSEC schützt den Namensauflösungsprozess, indem es beweist, dass die erhaltenen Antworten gültig sind und tatsächlich vom autoritativen DNS-Server der Domain stammen. Eine direkte Beziehung besteht in der Weise, dass jede Domain, die DNSSEC implementiert hat, besondere DNS-Einträge besitzt, die diese Schutzmaßnahmen unterstützen. Zu diesen Einträgen gehören:

• DNSKEY: Enthält den öffentlichen Schlüssel der Domain, der zur Validierung von Signaturen verwendet wird.
• RRSIG: Enthält die Signaturen selbst.
• DS (Delegation Signer): Bietet einen Mechanismus, um Vertrauen zwischen der signierenden Zone und der Parent-Zone zu etablieren.

Wenn also eine DNS-Abfrage für eine Domain durchgeführt wird, die DNSSEC verwendet, beinhaltet der Auflösungsprozess nicht nur die Rückgabe von traditionellen DNS-Antworten wie A oder AAAA-Records, sondern auch die Überprüfung der dazugehörigen DNSSEC-Signaturen, um zu bestätigen, dass die Antwort authentisch ist.

Implementierung und Konfiguration von DNSSEC

DNSSEC (Domain Name System Security Extensions) bietet eine zusätzliche Sicherheitsschicht für das DNS, indem es die Authentizität und Integrität der DNS-Antworten sicherstellt. Die Implementierung und Konfiguration von DNSSEC erfordern jedoch sorgfältige Planung und Verständnis der zugrundeliegenden Mechanismen. Im Folgenden gehen wir auf die Schritte zur Aktivierung von DNSSEC ein, erläutern die Bedeutung von NSEC und NSEC3 und diskutieren Herausforderungen sowie Best Practices beim Rollout.

Überblick über die notwendigen Schritte zur Aktivierung von DNSSEC

Die Aktivierung von DNSSEC erfolgt in mehreren Schritten, beginnend mit der Generierung von Schlüsselpaaren bis hin zur Signierung der DNS-Zone. Hier ist eine vereinfachte Übersicht:

1. Schlüsselgenerierung: Es werden zwei Arten von Schlüsseln benötigt - ein Zonen-Signaturschlüssel (Zone Signing Key, ZSK) und ein Schlüssel-Signaturschlüssel (Key Signing Key, KSK). Der ZSK wird häufiger erneuert und dient zur Signierung der DNS-Records, während der KSK zur Signierung des ZSK verwendet wird und seltener gewechselt wird.

2. Zone signieren: Nachdem die Schlüssel generiert wurden, wird die gesamte DNS-Zone mit dem ZSK signiert. Dadurch werden zu jedem DNS-Record digitale Signaturen (RRSIG-Records) hinzugefügt.

3. DS-Record hinzufügen: Der Hash des KSK wird als Delegation Signer (DS) Record in der übergeordneten Zone veröffentlicht, um eine Vertrauenskette zu etablieren.

4. DNSSEC im DNS-Server konfigurieren: Der DNS-Server muss so konfiguriert werden, dass er die signierte Zone und die entsprechenden Schlüssel verwendet.

Bedeutung und Einsatz von NSEC und NSEC3

Um das Nichtvorhandensein eines DNS-Records zu beweisen, führt DNSSEC zusätzliche Resource Records ein, insbesondere NSEC und NSEC3.

• NSEC (Next Secure Record) verbindet jeden Record in einer Zone in einer einzigen Kette und beweist damit das Nichtvorhandensein eines DNS-Records durch Offenlegung der benachbarten Records. Dies ermöglicht jedoch einen Angriff namens "Zone Walking", bei dem ein Angreifer die gesamte Zone durchscannen und alle Domainnamen herausfinden kann.

• NSEC3 verbessert die Privatsphäre gegenüber NSEC, indem es den Namen der DNS-Records hash-basiert verschlüsselt. Zwar erschwert dies das Zone Walking, jedoch nicht vollständig, da die Hashes unter Umständen brute-force-angreifbar sind.