🖥️ Veni. Vidi. sudo rm -rf / vici.

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: • syslog • apache_ngnix
it-themen:grundlagen:netzwerkdienste:dnssec

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Ăśberarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
it-themen:grundlagen:netzwerkdienste:dnssec [01.12.2025 11:37] – [Chain of Trust (Vertrauenskette)] larsit-themen:grundlagen:netzwerkdienste:dnssec [01.12.2025 11:46] (aktuell) – [Zusammenfassung] lars
Zeile 91: Zeile 91:
 ===== Beispiel Ablauf einer DNSSEC-PrĂĽfung ====== ===== Beispiel Ablauf einer DNSSEC-PrĂĽfung ======
  
-1. Client fragt eine Domain z. B. `example.com`.  Â + 
-2. Nameserver liefert Antwort + **RRSIG**.  Â +  1. Client fragt eine Domain z. B. `example.com`. 
-3. Client lädt **DNSKEY** der Zone.  Â +  2. Nameserver liefert Antwort + **RRSIG**. 
-4. DNSKEY wird per **DS-Eintrag** in der Parent-Zone bestätigt.  Â +  3. Client lädt **DNSKEY** der Zone. 
-5. Alles beginnt beim **Root**, das öffentlich bekannt ist.  Â +  4. DNSKEY wird per **DS-Eintrag** in der Parent-Zone bestätigt. 
-6. Ergebnis:   +  5. Alles beginnt beim **Root**, das öffentlich bekannt ist. 
-   * „Signatur gĂĽltig“ → Antwort akzeptiert  Â +  6. Ergebnis: 
-   * „Signatur ungĂĽltig“ → Antwort wird verworfen  +  Â 
 +    * „Signatur gĂĽltig“ → Antwort akzeptiert 
 + 
 +    * „Signatur ungĂĽltig“ → Antwort wird verworfen
  
 ===== Negative Antworten: NSEC / NSEC3 ====== ===== Negative Antworten: NSEC / NSEC3 ======
Zeile 115: Zeile 118:
 ===== Vorteile von DNSSEC ====== ===== Vorteile von DNSSEC ======
  
-  * Schutz vor Cache Poisoning  Â +  * Schutz vor Cache Poisoning 
-  * Schutz vor gefälschten DNS-Antworten  Â +  * Schutz vor gefälschten DNS-Antworten 
-  * garantierte Datenintegrität  +  * garantierte Datenintegrität
   * Basis fĂĽr DANE (TLSA-Records fĂĽr E-Mail-Sicherheit)   * Basis fĂĽr DANE (TLSA-Records fĂĽr E-Mail-Sicherheit)
  
 ===== Nachteile / Herausforderungen ====== ===== Nachteile / Herausforderungen ======
  
-  * höherer Administrationsaufwand  Â +  * höherer Administrationsaufwand 
-  * größere DNS-Pakete  Â +  * größere DNS-Pakete 
-  * nicht alle Resolver unterstĂĽtzen DNSSEC  Â +  * nicht alle Resolver unterstĂĽtzen DNSSEC 
-  * Signaturen mĂĽssen regelmäßig erneuert werden  +  * Signaturen mĂĽssen regelmäßig erneuert werden
  
 ===== Beispiel – DNSSEC aktiv prĂĽfen ====== ===== Beispiel – DNSSEC aktiv prĂĽfen ======
  
 Linux: Linux:
-<code> +<code bash> 
-dig example.com +dnssec+ 
 + dig example.com +dnssec 
 + 
 </code> </code>
  
 GĂĽltige Antwort zeigt: GĂĽltige Antwort zeigt:
-  * DNSKEY  Â +  * DNSKEY 
-  * RRSIG  +  * RRSIG
   * AD-Flag („Authenticated Data“)   * AD-Flag („Authenticated Data“)
  
 ===== Zusammenfassung ====== ===== Zusammenfassung ======
  
-  * DNSSEC schĂĽtzt **DNS-Integrität**, nicht Vertraulichkeit  Â +  * DNSSEC schĂĽtzt **DNS-Integrität**, nicht Vertraulichkeit 
-  * verwendet digitale Signaturen mit ZSK und KSK  Â +  * verwendet digitale Signaturen mit ZSK und KSK 
-  * Chain of Trust: Root → TLD → Domain  Â +  * Chain of Trust: Root → TLD → Domain 
-  * RRSIG, DNSKEY, DS, NSEC/NSEC3 sind die wichtigsten Recordtypen  Â +  * RRSIG, DNSKEY, DS, NSEC/NSEC3 sind die wichtigsten Recordtypen 
-  * verhindert Spoofing, MITM und Cache Poisoning  +  * verhindert Spoofing, MITM und Cache Poisoning
  
it-themen/grundlagen/netzwerkdienste/dnssec.1764585457.txt.gz · Zuletzt geändert: von lars