DNSSEC sorgt für mehr Sicherheit im Domain-Betrieb

Idealer Weise sollten auch die Access-Provider wie DTAG, Kabel Deutschland/Vodafone, Telefonica, MNet, NetCologne, … )  mitspielen, damit der Nutzen von DNSSEC vollumfänglich zum Tragen kommt. Leider tun sie dies noch nicht vollständig, aber wir hoffen auf entsprechende Nachbesserung, damit alle Schwachstellen im DNS geschlossen werden können. In diesem Kontext verweisen wir auf unseren Artikel „Lokaler Resolver“.

Machen Sie einen Test

Wenn Sie Ihren Access Provider testen möchten, ob dieser mit DNSSEC arbeitet, können Sie dies mit dem folgenden Kommando auf jedem einfachen Linux-Host tun:

dig @8.8.8.8 ebusiness-lotse-berlin.de +dnssec

In der Antwort muss dann unter anderem diese Zeile erscheinen:

;; flags: qr rd ra ad … (… mit weiteren Informationen)

Wichtig ist das Flag „ad“.

Wer über keinen Linux-Host verfügt, der kann mittels eines in einer WebSite integrierten Tests prüfen, ob der eigene Access-Provider die DNS-Abfragen auf DNSSEC überprüft. Der entsprechende Test findet sich hier: https://dnssec.vs.uni-due.de/

Welchen Nutzen hat DNSSEC?

Zu Beginn dieses Beitrages haben wir die Antwort bereits angedeutet, aber etwas zu kurz gegriffen. Deshalb hier eine etwas ausführlichere Erklärung am Beispiel „bb-one.net“. Wenn Sie auf Ihrem PC einen Host mit der Browsereingabe „bb-one.net“ suchen, dann wird der PC sein lokales Gateway, also den DSL-Router o.ä, danach fragen. Der kennt die Antwort meist nicht, wird also den konfigurierten Resolver, sprich den auflösenden DNS-Server des Access Providers wie z.B. DTAG oder Vodafone Kabel Deutschland fragen. Hat dieser die Antwort nicht (mehr) auf Lager, wird er  einen übergeordneten Resolver den für den gesuchten Host zuständigen (autoritativen) Nameserver fragen.

Phishing & Co. gezielt unterbinden

Auf diesem Weg gibt es mehrere Möglichkeiten der gewollten bösartigen Verfälschung. Der bekannteste Angriffsvektor führt über sogenanntes „Cache Poisoning“ dazu, dass beispielsweise statt der erwarteten WebSite eine entsprechend präparierte Seite angezeigt wird, die Zugangsdaten zum Kunden oder im schlimmsten Fall zum Bankkonto abgreift. Dieser Angriff ist auch als Phishing bekannt und erfolgt durch die Benutzung von bewusst verfälschten DNS-Informationen.