Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

Für ein sicheres Internet: Mit DNSSEC gegen Phishing und DNS-Poisoning

DNSSEC erhöht die Sicherheit für eure Kunden. #Flickr#

Gerade in Zeiten von Heartbleed, Cache-Poisoning und DNS-Spoofing lohnt sich ein Blick auf die DNS-Security-Extensions, kurz: DNSSEC. Eine Hilfe für Einsteiger, um sich zurecht zu finden.

DNSSEC in a Nutshell

Die Domain-Name-Security-Extensions (DNSSEC) sind Erweiterungen des DNS (Domain-Name-System), die darauf abzielen, Sicherheitslücken im Internet – wie DNS-Umleitungen, Cache-Poisoning und DNS-Spoofing – zu schließen. Wie auch beim Heartbleed-Bug gibt es in der Netzwerktechnik noch zuviel Vertrauen zwischen den einzelnen Protokollen: Denn auch bei DNS geht eine Anwendung davon aus, dass die Antwort auf eine DNS-Anfrage unversehrt und vollständig ist und von der richtigen Quelle stammt.

Die überwiegende Zahl aller Internetdienste und -verfahren verlässt sich dabei auf eine zuverlässig funktionierende und korrekte Auflösung leicht merkbarer Domainnamen auf IP-Adressen mithilfe des Domain-Name-Systems. Das dabei verwendete DNS-Protokoll selbst besitzt aber keine Maßnahmen zum Schutz der Inhaltsdaten – und insbesondere gibt es keine Sicherung der Daten gegen Veränderungen auf dem Transportweg. Die Vergangenheit hat uns gezeigt, dass es möglich ist, Fehlinformationen in den DNS-Cache einzuschleusen (Cache-Poisining) oder die Daten auf dem Transportweg zu manipulieren. Schon in den den 90ern wurde dieses Problem erkannt, dokumentiert und von der „Internet Engineering Task Force“ (IETF) in drei RFCs spezifiziert – unter dem Namen „DNSSECbis“.

Wie schützt DNSSEC?

#FLICKR#
DNSSEC bietet Features die eure Webprojekte sicherer machen. (Foto: DaveBleasdale / flickr.com, Lizenz: CC-BY)

Bei DNSSEC werden die zu übertragenden Daten anhand von asymmetrisch kryptografisch gesicherten Signaturen – Prüfsummen der Dateien – und zusammen mit den Daten an den Client übertragen, was die Authentizität sicherstellt. Die Prüfung der Daten erfolgt am Client oder in dem davor liegenden DNS-Resolver gegenüber einem öffentlichen Schlüssel. Dieser sich in den passenden Zonen befindliche Schlüssel kann ebenfalls wiederum im DNS hinterlegt und somit abgerufen werden.

Der Vorteil: Da auch der Transfer der Schlüssel mit Hilfe von DNSSEC abgesichert erfolgt und nur der für den Beginn der Vertrauenskette (Chain of Trust) notwendige Schlüssel – also der Key der Root-Zone – im Client fest hinterlegt oder per Konfiguration eingepflegt wird, bricht der Sicherheitsmechanismus nicht auf, zumindest in der Theorie.

DNSSEC für Domaininhaber

DNSSEC bietet also eine gute Möglichkeit, um eure Kunden zum Beispiel vor Phishing-Attacken zu schützen und somit eure Applikation sicherer zu machen – da es Angreifern nicht möglich ist, etwaige Anfragen auf Server des Angreifers umzuleiten.

Obwohl es sich bei DNSSEC um ein Sicherheits-Feature handelt, ist es zum gegenwärtigen Zeitpunkt noch nicht stark verbreitet – und das vier Jahre nach der Einführung. Um DNSSEC zum Beispiel für eure *.de-Domains nutzen zu können, müssen diese signiert und der öffentliche Schlüssel bei der DENIC hinterlegt werden –   diesen Schritt muss allerdings euer Provider für euch übernehmen.

Habt ihr DNSSEC im Einsatz?

Bitte beachte unsere Community-Richtlinien

Eine Reaktion

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Finde einen Job, den du liebst