DNSSEC: Mehr Sicherheit für Web und Email

Bei der Verwendung herkömmlicher Methoden können Sie nie sicher sein, dass Sie über Browser oder Email auch den gewünschten Kommunikationspartner erreichen. DNSSEC ist eine Erweiterung des „Internet-Telefonbuchs“ DNS mit der sie sicher sein können im Internet nicht die falsche Adresse zu erreichen.  

Unsicheres DNS

Alle Computer im Internet wie Web-Server, Email-Server aber auch alle PCs und Handys haben im Internet eine IP-Adresse die aus einer Abfolge von Zahlen besteht., z.B. 212.29.6.52. Die meisten Menschen können sich solche Adressen nicht gut merken. Daher werden Server für gewöhnlich über einen Namen gesucht, z.B. www.sued-it.de. Über diesen Namen kann ein Server jedoch nicht direkt angesprochen werden, dafür benötigt man die numerische IP-Adresse. Die Auflösung des Namens bzw. der URI eines Rechners zu seiner IP-Adresse erfolgt in der Regel vollautomatisch ohne dass man als Benutzer etwas davon merkt mit Hilfe des Domain-Name-Systems, kurz DNS.

Sicherer mit DNSSEC

Bei dem Design des sonst sehr leistungsfähigen DNS im Jahre 1983 hatte man leider nicht mit den komplexen Angriffen  moderner Hacker gerechnet, die Sicherheitslücken gefunden haben, die sie für ihre Zwecke ausnützen können. Sie können sich leicht vorstellen, was passieren kann, wenn es je-mand schafft diesen DNS Verzeichnisdienst so zu manipulieren, dass auf eine Anfrage die IP-Adressen eines falschen Web- oder Email-Servers zurückgeliefert wird. Zum Beispiel könnten Sie ohne es zu merken statt auf dem Portal Ihrer Bank auf einer Seite von Hackern landen die versuchen Ihre PIN zu erhalten

Mittels DNSSEC (Domain Name System Security Extensions) kann diese Sicherheitslücke geschlossen werden. Dabei werden die von dem DNS Server gelieferten Informationen mit einer digitalen Unterschrift versehen, so dass der Empfänger die Echtheit der Informationen prüfen und ggf. Manipulatio-nen sicher erkennen kann.  Dabei ist es gleichzeitig vollständig interoperabel mit dem bestehenden DNS.

Damit DNSSSEC funktioniert, muss der Prozess von zwei Seiten unterstützt werden, demjenigen der den DNS Eintrag erstellt und demjenigen, der den Eintrag abruft. Im Beispiel müssen auf Seiten des Servers signierte DNS Einträge sowie ein öffentlicher Schlüssel bereitgestellt werden, damit die digitale Unterschrift geprüft werden kann.  Auf der anderen Seite sollte dann auch diese Signatur ausgewertet und geprüft werden. Gefälschte DNS Einträge können so sicher erkannt werden.

Wie kann ich DNSSEC für meine Server nutzen

Damit die Adresse Ihrer Server durch DNSSEC geschützt ist müssen verschiedene technische Vorkeh-rungen getroffen werden und Schlüssel für die digitale Signatur erzeugt und verwaltet werden. Das Vorgehen ist davon abhängig, ob Sie den DNS Server für Ihre Server bzw. Ihre Domain selbst betrei-ben oder ein Dienstleister. Um das herauszufinden fragen Sie Ihren Administrator oder starten eine „whois“ Abfrage auf www.denic.de

  1. Wenn Sie den DNS Server nicht selbst betreiben, fragen Sie bei dem Betreiber oder bei der Firma bei der Sie Ihre Domain registriert haben nach, ob sie DNSSEC unterstützt und bitten Sie dies für Ihre Domain einzurichten.
  2. Wenn Sie den DNS Server selbst betreiben wenden Sie sich an Ihren Administrator. Weiter-führende Informationen des BSI was dieser durchführen sollte, finden Sie z.B. in der Linkliste am Ende des Newsletters. 

Der Betrieb eines sicheren DNS-Servers mit DNSSEC erfordert technisches Know-how eine leistungsfähige Hardware und eine schnelle sowie sichere Internetanbindung. Falls Sie bisher den DNS-Server selbst betreiben, sollten Sie überlegen diesen DNSSEC vielleicht zukünftig durch ein darauf spezialisiertes Unternehmen betreiben zu lassen.  

Wie kann ich DNSSEC ans Anwender nutzen

Im Normalfall werden Sie Ihren Zugang zum Internet über einen Zugangsprovider bekommen. Dieser stellt Ihnen auch die Adresse eines DNS-Servers zur Verfügung. Dieser beantwortet Anfragen nach der IP-Adresse eines Servers entweder direkt, oder bringt diese über andere DNS-Server in Erfahrung. Fragen Sie am besten bei Ihrem Internet-Provider nach ob er DNSSEC unterstützt.

Weitere Informationen  dazu finden Sie auf den Seiten des Bundesamtes für Sicherheit in der Infor-mationstechnik

oder auf den Seiten des Heise Verlages:

 

Kontakt

Falls Sie noch Fragen zu dem Thema haben, freue ich mich auf Ihre Kontaktaufnahme

Dr. Stefan Krempl
089 461 3505 12
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
ISO 27001 Auditor, Datenschutzbeauftragter 

Nachricht senden

Dr. Stefan Krempl