Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
News

Domain bund.de nutzt DNSSEC-Signierung

Geschrieben am 03.05.2010 von Mirko Kulpa

Abgelegt unter: Sicherheit

Seit dem 7. April 2010 stehen die Einträge der Domain ".bund.de" kryptographisch signiert zur Verfügung. Der zur Überprüfung der Signaturen erforderliche Schlüssel ist seit dem 29. April 2010 in der von der DENIC Domain Verwaltungs- und Betriebsgesellschaft eG bereitgestellten Testumgebung veröffentlicht. Er kann außerdem auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) heruntergeladen werden. Datei ist barrierefrei⁄barrierearm DNSSEC-Signierung der Domain bund.de (txt, 383 Byte) Nutzern der Testumgebung wird damit bereits heute bei der Namensauflösung die Validierung der Einträge mit der Endung ".bund.de" ermöglicht. Eine Signierung weiterer Domains der Bundesverwaltung ist geplant. Die Bundesverwaltung beteiligt sich somit aktiv an der Testumgebung für die DNS-Sicherheitserweiterung DNSSEC (Domain Name Security Extensions) und nimmt hier eine Vorreiterrolle ein.

Im Jahr 2008 wurde in dem für das Internet wichtigen Dienst Domain Name System (DNS) eine Schwachstelle entdeckt, die es Angreifern potenziell ermöglicht, den Internetverkehr von Anwendern umzulenken, Daten mitzulesen und Inhalte zu manipulieren. Die Ausnutzung der Schwachstelle wurde seitdem erschwert, ist aber nicht geschlossen.

Um das Domain Name System nachhaltig zu verbessern, empfiehlt das BSI die Einführung der DNS-Erweiterung DNSSEC, bei der die DNS-Einträge mittels kryptographischer Verfahren auf ihre Gültigkeit geprüft werden. Mit DNSSEC können die bekannten Sicherheitslücken geschlossen und Manipulationen erschwert werden.

DNSSEC

Im Domain Name System (DNS) werden die vom Nutzer eingegebenen Domains in eine vom Computer verarbeitbare Internetprotokoll-Adresse (IP-Adresse) umgewandelt. Es ist sozusagen das Telefonbuch des Internet. Das DNS ist ein hierarchisch organisiertes Verzeichnis. Kann ein Nameserver eine Anfrage nicht selbst beantworten, bezieht er die Antwort vom zuständigen System und hält diese dann in der Regel für die schnelle Bearbeitung zukünftiger Anfragen im Puffer-Speicher (Cache) vor.

Derzeit wird die Information, welche Domain in welche IP-Adresse aufzulösen ist, unverschlüsselt übertragen. Deswegen können auf dem Transportweg beziehungsweise durch Cache-Manipulation in den zur Auflösung verwendeten Nameservern (Resolver) Veränderungen vorgenommen und Nutzer auf manipulierte Seiten gelenkt werden.

DNSSEC hingegen signiert die Nameserver-Einträge. Somit wird sichergestellt, dass die Informationen nicht manipuliert werden und der Absender der Informationen sicher authentifiziert werden kann. Die Sicherung des Pfades zwischen DNS-Servern und DNSSEC-fähigen Klienten bindet dazwischen liegende Resolver mit ihren Caches in die Sicherheitskette ein. Anhand kryptographischer Signaturen lässt sich prüfen, ob die beim Resolver eintreffenden Daten vollständig und unverändert sind.

Durch die Authentisierung des gesamten DNS-Verkehrs schließt das Verfahren unbemerkte Manipulationen an den Daten durch Dritte während des Datentransports aus und bietet dadurch Schutz vor potenziellen DNS-basierten Sicherheitsrisiken wie Cache-Manipulationen, DNS-Umleitungen und Spoofing.

Zusammen mit eco und DENIC (Deutsches Network Information Center) startete das BSI im Juli 2009 eine Initiative mit dem Ziel der Einführung von DNSSEC in Deutschland. In der von DENIC bereitgestellten Testumgebung werden operative und technische Erfahrungen gesammelt und geprüft. Potentielle Auswirkungen auf die Sicherheit und Zuverlässigkeit sollen so vor einer möglichen Einführung evaluiert werden.

BSI-Studie zur DNSSEC-Tauglichkeit von Internetzugangsroutern

Das BSI führte in den vergangenen Monaten eine Studie durch, um die Internetzugangsrouter, die üblicherweise an privaten Internetanschlüssen in Deutschland eingesetzt werden, auf ihre DNSSEC-Tauglichkeit und andere Sicherheitseigenschaften zu testen. Die Studie wurde in Zusammenarbeit mit interessierten Herstellern und Internetprovidern erstellt. Eine möglichst vollständige Erfassung des deutschen Marktes beziehungsweise die Erstellung von Einzelbewertungen oder Produktempfehlungen stand nicht im Fokus.

Das Ergebnis der Studie zeigt, dass viele Produkte DNSSEC noch nicht optimal unterstützen. Von 36 getesteten Geräten ermöglichen nur neun der in den Geräten eingebauten DNS-Proxies die Nutzung der durch DNSSEC eingeführten Sicherheitserweiterungen. Bei den anderen kann DNSSEC nur bei Umgehung der eingebauten DNS-Proxies verwendet werden.

Auch die Werkseinstellungen in Bezug auf die Sicherheit des durch die Geräte bereitgestellten WLAN-Zugangs sind in vielen Fällen nicht zufriedenstellend. Bei mehr als der Hälfte der getesteten Geräte war keine Verschlüsselung vorkonfiguriert. Ein so betriebener Router ermöglicht die missbräuchliche Verwendung des Internetzugangs durch Dritte. Das BSI empfiehlt in solchen Fällen die manuelle Aktivierung der WPA-2-Verschlüsselung unmittelbar bei Inbetriebnahme. Informationen hierzu stehen auch im Internetportal "BSI-für-Bürger" bereit.

Download der Studie: DNSSEC-Tauglichkeit von Internetzugangsroutern (PDF, 1,07 MB).

 

Kommentieren Sie diese Meldung

Schreiben Sie Ihre Meinung zu diesem Beitrag. Zur Vermeidung von automatisertem Kommentar-Spam tragen Sie bitte im Feld Captcha das Wort Spamschutz ein. Pflichtfelder sind mit einem * gekennzeichnet. Ihre Email-Adresse wird nicht veröffentlicht.

Name *
Email-Adresse
Homepage
Captcha *
Kommentar *

 

Suchbegriffe: BSI, DNSSEC, DNS-Proxy, Router

Aktuelle Meldungen

Netgear präsentiert ProSAFE 28-Port 10-Gigabit Smart Managed Switches XS728T

Netgear bringt Speicherlösung für Großunternehmen

SFP-Transceiver für explosionsgefährdete Umgebungen

Neue Generation nicht-managebarer Switche von SMC Networks

Universeller IPsec VPN Client für Android

Diskussionen im Forum

Zwei logisch getrennte Netz an einem Router erstellen

Sitecom Router als Accesspoint konfigurieren

Buchempfehlung

Wireshark - keine ausgehenden Pakete

Optimierung

Aktuelle Artikel
JPerf - grafische Oberfläche für iperf
Mit iperf kann die Übertragungsgeschwindigkeit von Netzwerken gemessen werden. JPerf ist eine grafische Oberfläche für iperf. Der Artikel beschreibt die Messung mit TCP und UDP und gibt Anregungen zur Fehlersuche bei Performanceproblemen.

Fehlersuche im VPN
Der Artikel liefert dem Admin einige Anregungen zur Fehlersuche in IPsev-VPN-Installationen. Was ist beim Aufbau von VPN-Tunneln zu beachten, was sind typische Fehler.

Alle Artikel...
Neue Tutorials
VPN mit der FritzBox
Die Fritz!Box von AVM unterstützt den Aufbau von VPN-Verbindungen mit dem Protokoll IPsec. AVM stellt dafür die Windows-Software FRITZ!Fernzugang zur Verfügung. Das Tutorial beschreibt die Konfiguration eines VPNs mit der AVM FRITZ!Box Fon WLAN 7270.

Virtuelle Netze mit VMware Server
VMware Server bietet drei Arten der virtuellen Vernetzung für ein Gastsystem an: Bridged Networking, Network Address Translation (NAT) und Host-only Networking. Das Tutorial beschreibt die Möglichkeiten der einzelnen Betriebsarten und deren Konfiguration.

Outlook einrichten
Sie möchten Ihre E-Mails von Web.de, GMX oder T-Online mit Outlook abrufen? Das Tutorial beschreibt die Einrichtung eines IMAP-Kontos mit Outlook 2007 an einem Beispiel.

Alle Tutorials...
Neue Testberichte
Net Optics iBypass Switch
Der iBypass von Net Optics ist Bypass Switch zum unterbrechungsfreien Einschleifen eines Intrusion Prevention Systems.

ePowerSwitch-4
Der ePowerSwitch-4 ist eine Schuko-Steckdosenleiste mit Ethernet-Interface und integriertem Webserver. Über einen Browser lassen sich die vier Schuko-Steckdosen über das Netzwerk schalten.

Alle Testberichte...

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 19.09.2015