Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- it-themen:grundlagen:netzwerkdienste:dnssec [01.12.2025 11:34] – angelegt lars
+++ it-themen:grundlagen:netzwerkdienste:dnssec [01.12.2025 11:46] (aktuell) – [Zusammenfassung] lars
@@ Zeile 15: / Zeile 15: @@
 Ohne DNSSEC sind folgende Angriffe möglich:
   * DNS-Spoofing
   * Cache Poisoning
   * Man-in-the-Middle
   * Umleitung auf falsche Server
 Beispiel:
@@ Zeile 31: / Zeile 31: @@
 Clients können prüfen:
   * „Kommt diese DNS-Antwort wirklich vom Zonenbetreiber?“
   * „Wurde sie unterwegs verändert?“
 ===== Schlüsseltypen ======
@@ Zeile 58: / Zeile 58: @@
 Beispiel RRSIG:
 <code>
-example.com.   IN  RRSIG   A 8 2 3600 20250101000000 (...)
+ example.com.   IN  RRSIG   A 8 2 3600 20250101000000 (...)
 </code>
+---
 ===== Chain of Trust (Vertrauenskette) ======
@@ Zeile 68: / Zeile 73: @@
 <code>
-[ Root (.) ]
+ [ Root (.) ]
     ↓ DS
-[ .com ]
+ [ .com ]
     ↓ DS
-[ example.com ]
+ [ example.com ]
     ↓ RRSIG
-[ host.example.com ]
+ [ host.example.com ]
 </code>
 Jede Stufe bestätigt die nächste.
+---
 ===== Beispiel Ablauf einer DNSSEC-Prüfung ======
-. Client fragt eine Domain z. B. `example.com`.
-. Nameserver liefert Antwort + **RRSIG**.
+. Client fragt eine Domain z. B. `example.com`.
-. Client lädt **DNSKEY** der Zone.
+. Nameserver liefert Antwort + **RRSIG**.
-. DNSKEY wird per **DS-Eintrag** in der Parent-Zone bestätigt.
+. Client lädt **DNSKEY** der Zone.
-. Alles beginnt beim **Root**, das öffentlich bekannt ist.
+. DNSKEY wird per **DS-Eintrag** in der Parent-Zone bestätigt.
-. Ergebnis:
+. Alles beginnt beim **Root**, das öffentlich bekannt ist.
-   * „Signatur gültig“ → Antwort akzeptiert
+. Ergebnis:
-   * „Signatur ungültig“ → Antwort wird verworfen
+    * „Signatur gültig“ → Antwort akzeptiert
+    * „Signatur ungültig“ → Antwort wird verworfen
 ===== Negative Antworten: NSEC / NSEC3 ======
@@ Zeile 105: / Zeile 118: @@
 ===== Vorteile von DNSSEC ======
   * Schutz vor Cache Poisoning
   * Schutz vor gefälschten DNS-Antworten
   * garantierte Datenintegrität
   * Basis für DANE (TLSA-Records für E-Mail-Sicherheit)
 ===== Nachteile / Herausforderungen ======
   * höherer Administrationsaufwand
   * größere DNS-Pakete
   * nicht alle Resolver unterstützen DNSSEC
   * Signaturen müssen regelmäßig erneuert werden
 ===== Beispiel – DNSSEC aktiv prüfen ======
 Linux:
-<code>
+<code bash>
-dig example.com +dnssec
+ dig example.com +dnssec
 </code>
 Gültige Antwort zeigt:
   * DNSKEY
   * RRSIG
   * AD-Flag („Authenticated Data“)
 ===== Zusammenfassung ======
   * DNSSEC schützt **DNS-Integrität**, nicht Vertraulichkeit
   * verwendet digitale Signaturen mit ZSK und KSK
   * Chain of Trust: Root → TLD → Domain
   * RRSIG, DNSKEY, DS, NSEC/NSEC3 sind die wichtigsten Recordtypen
   * verhindert Spoofing, MITM und Cache Poisoning