Bundesamt für Sicherheit in der Informationstechnik

M 4.353 Einsatz von DNSSEC

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

DNS Security Extensions (DNSSEC) ist noch nicht weit verbreitet, trotz konzeptioneller Schwachstellen im DNS -Protokoll und Schwächen in der DNS-Software. Dies wurde beispielsweise durch die im Sommer 2008 aufgezeigte Designschwäche im DNS-Protokoll wieder deutlich. Dieser Designfehler bewirkt, dass Cache-Poisoning Angriffe (und dadurch weitere Angriffsmethoden) erheblich erleichtert werden. Kurzfristig kann diese Designschwäche umgangen werden, indem bei Anfragen kryptografisch starke Zufallszahlen als ID und ein zufälliger Source Port verwendet werden. Auf lange Sicht lassen sich Probleme und Krisen wie diese nur durch DNSSEC bewältigen. DNSSEC wurde speziell entwickelt, um DNS gegen eine Großzahl von Angriffen zu schützen, darunter auch Cache-Poisoning Angriffe.

Realisiert wird dies durch asymmetrische Kryptografie, daher muss im Zusammenhang mit dieser Maßnahme auch die Maßnahme M 2.46 Geeignetes Schlüsselmanagement realisiert werden.

Bei DNSSEC werden die gesamten Zoneninformationen mit einem privaten Schlüssel signiert. Diese Signaturen können mithilfe des zugehörigen öffentlichen Schlüssels geprüft werden. Das Schlüsselpaar wird als Zone-Signing-Key (ZSK) bezeichnet. Stellt ein DNSSEC unterstützender Resolver eine Anfrage an einen DNS-Server, auf dem DNSSEC konfiguriert ist, sendet der Server als Antwort die Domain-Informationen mit den Signaturen zurück. Der Resolver kann die Richtigkeit der Domain-Informationen mithilfe der Signatur und dem öffentlichen Schlüssel überprüfen.

Um die Authentizität des ZSK sicher zustellen, wird dieser mit Hilfe von Key-Signing-Keys (KSK) signiert. Ein Hashwert des öffentlichen Teils des KSK wird der übergeordneten Domain übermittelt. Die übergeordnete Domain signiert mithilfe ihrer Schlüssel den Hashwert und bestätigt die Authentizität des Hashwertes. Somit entsteht eine Vertrauenskette ("Chain-of-Trust"). Setzt die übergeordnete Domain DNSSEC nicht ein, besitzt diese keine Schlüssel und kann keine Signatur erstellen, um die Authentizität der KSK zu bestätigen. Man kann jedoch seine DNS-Server anweisen, den eigenen Schlüsseln zu vertrauen, somit entstehen Vertrauensinseln ("Island-of-Trust"). Mit höherem Verbreitungsgrad von DNSSEC werden diese Vertrauensinseln größer und somit das Sicherheitsniveau höher. DNSSEC bietet folgende Sicherheitsmechanismen:

  • Die Quelle der DNS-Informationen wird authentisiert.
  • Die Integrität der Domain-Informationen wird sichergestellt, somit können Domain-Informationen nicht mehr manipuliert werden, da die Signatur diese Manipulation sichtbar macht. Kunden können beispielsweise sicher sein, mit dem richtigen Webserver, Mailserver, etc. zu kommunizieren.
  • Existiert ein Domainname nicht, wird eine authentisierte Fehlermeldung gesendet.

Die Schlüssel ZSK und KSK müssen wie in Maßnahme M 2.46 Geeignetes Schlüsselmanagement beschrieben sorgfältig verwaltet und regelmäßig getauscht werden. Da mit den ZSK mehr Datenmaterial signiert wird, sind diese öfter zu tauschen. Je nach Größe der signierten Zonen stellt ein Wechsel im Zeitrahmen von ein bis drei Monaten ein geeignetes Sicherheitsniveau dar. Bei den KSK sollte spätestens nach einem Jahr ein Wechsel erfolgen. Gelangen die KSK und ZSK an die Öffentlichkeit, müssen die Schlüssel umgehend getauscht werden.

Durch den Einsatz von DNSSEC und die dadurch nötigen kryptografischen Operationen ist es notwendig, die Leistungskapazität von DNS-Servern zu anzupassen, insbesondere die Rechenleistung muss gegebenenfalls erhöht werden. Es muss sichergestellt werden, dass auch bei Lastspitzen die Antwortzeit gering gehalten wird.

Prüffragen:

  • Ist sichergestellt, dass die Schlüssel KSK und ZSK für DNSSEC regelmäßig gewechselt werden?

  • Ist die Leistungskapazität der DNS -Server im Vergleich zu DNS -Servern ohne DNSSEC erhöht worden?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK