DNSSEC sorgt für mehr Sicherheit im Domain-Betrieb

DNSSEC ein Service für sicheren Domainbetrieb

Die Domain Name Security Extensions, kurz DNSSEC, enthalten eine Reihe von Verfahren, die das „normale“ DNS erweitern und den Domainbetrieb dadurch sicherer machen. Vereinfacht gesagt, geht es darum, sicherzustellen, dass bei einem Domain-Aufruf auch nur die richtigen und unverfälschten Daten geliefert werden. Damit vermeiden Sie, dass unbefugte Dritte Ihnen verfälschte DNS-Daten „unterjubeln“ und Sie auf Phishing-Seiten oder ähnliche locken. Also zum Beispiel die Domainabfrage auf falsche Webseiten umleiten, die von Hackern als Köder für kriminelle Aktivitäten ausgelegt worden sind. Aber das ist nur ein Anwendungsfall von vielen.

Wie funktioniert DNSSEC?

Bei einem Domainaufruf müssen sich zwei Seiten miteinander verbinden, nämlich ein Client wie zum Beispiel Ihr PC, Notebook oder Smartphone mit einem sogenannten autoritativen Nameserver, der für die Erreichbarkeit der Domain zuständig ist. Allerdings durchläuft diese Anfrage eine oder mehrere Zwischenstationen, sogenannte DNS-Resolver, über die beide Seiten keine Kontrolle haben. Das heisst, die Integrität dieser Zwischenstationen  ist Vertrauenssache. Meistens geht es bei Netzbetreibern wie z. B. Vodafone oder DTAG gut. Aber es gibt auch Störfälle.

Hier greift DNSSEC, indem es bei einer DNS-Abfrage die inhaltliche Integrität der DNS-Daten sicherstellt. Damit soll sichergestellt werden, dass die empfangene Antwort identisch ist mit den Informationen, die im für die jeweilige Domain zuständigen autoritativen Nameserver gespeichert sind.

Ein Beispiel

Der Host „www.bb-one.net“ ist unter der IP-Adresse 193.193.167.15 zu erreichen. Damit DNSSEC funktioniert, sind folgende Schritte beispielhaft notwendig:

  1. Die Zone „bb-one.net“ wird mit einer digitalen Signatur versehen und dies wird via Registry auch den sogenannten Root-Servern mitgeteilt
  2. Der zuständige autoritative Nameserver (ns1.dns-hotel.net) liefert diese Signatur für diese Zone bei jeder Abfrage mit
  3. Der Resolver überprüft das Vorhandensein bzw. die Korrektheit der Signatur.

Für viele Hosting-Provider (z.B. Hetzner) ist der Betrieb eines DNS-Service mehr oder weniger Pflichtprogramm, der kein Geld einbringt und deshalb wenig Arbeit machen soll. Deshalb scheuen die meisten Anbieter den Aufwand, welchen sie bei der Einführung von DNSSEC betreiben müssen. Dabei sollte dieser Dienst für echte Business-Provider eigentlich auch zum Standard gehören, da die Bedrohungslage für DNS-Dienste gewiss nicht ab- sondern ständig zunimmt. Die BB-ONE.net sieht es als Selbstverständlichkeit, ihren Kunden diese Verbesserung des Sicherheits-Standards anzubieten.

Idealer Weise sollten auch die Access-Provider wie DTAG, Kabel Deutschland/Vodafone, Telefonica, MNet, NetCologne, … )  mitspielen, damit der Nutzen von DNSSEC vollumfänglich zum Tragen kommt. Leider tun sie dies noch nicht vollständig, aber wir hoffen auf entsprechende Nachbesserung, damit alle Schwachstellen im DNS geschlossen werden können. In diesem Kontext verweisen wir auf unseren Artikel „Lokaler Resolver“.

Machen Sie einen Test

Wenn Sie Ihren Access Provider testen möchten, ob dieser mit DNSSEC arbeitet, können Sie dies mit dem folgenden Kommando auf jedem einfachen Linux-Host tun:

dig @8.8.8.8 ebusiness-lotse-berlin.de +dnssec

In der Antwort muss dann unter anderem diese Zeile erscheinen:

;; flags: qr rd ra ad … (… mit weiteren Informationen)

Wichtig ist das Flag „ad“.