🖥️ Veni. Vidi. sudo rm -rf / vici.

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: • apache_ngnix
it-themen:grundlagen:netzwerkdienste:dnssec

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Ăśberarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
it-themen:grundlagen:netzwerkdienste:dnssec [01.12.2025 11:40] – [Beispiel Ablauf einer DNSSEC-Prüfung] larsit-themen:grundlagen:netzwerkdienste:dnssec [01.12.2025 11:46] (aktuell) – [Zusammenfassung] lars
Zeile 92: Zeile 92:
  
  
-  Client fragt eine Domain z. B. `example.com`. +  1. Client fragt eine Domain z. B. `example.com`. 
-  Nameserver liefert Antwort + **RRSIG**. +  2. Nameserver liefert Antwort + **RRSIG**. 
-  Client lädt **DNSKEY** der Zone. +  3. Client lädt **DNSKEY** der Zone. 
-  DNSKEY wird per **DS-Eintrag** in der Parent-Zone bestätigt. +  4. DNSKEY wird per **DS-Eintrag** in der Parent-Zone bestätigt. 
-  Alles beginnt beim **Root**, das öffentlich bekannt ist. +  5. Alles beginnt beim **Root**, das öffentlich bekannt ist. 
-  Ergebnis:+  6. Ergebnis: 
 +  
     * „Signatur gĂĽltig“ → Antwort akzeptiert     * „Signatur gĂĽltig“ → Antwort akzeptiert
 +
     * „Signatur ungĂĽltig“ → Antwort wird verworfen     * „Signatur ungĂĽltig“ → Antwort wird verworfen
  
Zeile 116: Zeile 118:
 ===== Vorteile von DNSSEC ====== ===== Vorteile von DNSSEC ======
  
-  * Schutz vor Cache Poisoning  Â +  * Schutz vor Cache Poisoning 
-  * Schutz vor gefälschten DNS-Antworten  Â +  * Schutz vor gefälschten DNS-Antworten 
-  * garantierte Datenintegrität  +  * garantierte Datenintegrität
   * Basis fĂĽr DANE (TLSA-Records fĂĽr E-Mail-Sicherheit)   * Basis fĂĽr DANE (TLSA-Records fĂĽr E-Mail-Sicherheit)
  
 ===== Nachteile / Herausforderungen ====== ===== Nachteile / Herausforderungen ======
  
-  * höherer Administrationsaufwand  Â +  * höherer Administrationsaufwand 
-  * größere DNS-Pakete  Â +  * größere DNS-Pakete 
-  * nicht alle Resolver unterstĂĽtzen DNSSEC  Â +  * nicht alle Resolver unterstĂĽtzen DNSSEC 
-  * Signaturen mĂĽssen regelmäßig erneuert werden  +  * Signaturen mĂĽssen regelmäßig erneuert werden
  
 ===== Beispiel – DNSSEC aktiv prĂĽfen ====== ===== Beispiel – DNSSEC aktiv prĂĽfen ======
  
 Linux: Linux:
-<code> +<code bash> 
-dig example.com +dnssec+ 
 + dig example.com +dnssec 
 + 
 </code> </code>
  
 GĂĽltige Antwort zeigt: GĂĽltige Antwort zeigt:
-  * DNSKEY  Â +  * DNSKEY 
-  * RRSIG  +  * RRSIG
   * AD-Flag („Authenticated Data“)   * AD-Flag („Authenticated Data“)
  
 ===== Zusammenfassung ====== ===== Zusammenfassung ======
  
-  * DNSSEC schĂĽtzt **DNS-Integrität**, nicht Vertraulichkeit  Â +  * DNSSEC schĂĽtzt **DNS-Integrität**, nicht Vertraulichkeit 
-  * verwendet digitale Signaturen mit ZSK und KSK  Â +  * verwendet digitale Signaturen mit ZSK und KSK 
-  * Chain of Trust: Root → TLD → Domain  Â +  * Chain of Trust: Root → TLD → Domain 
-  * RRSIG, DNSKEY, DS, NSEC/NSEC3 sind die wichtigsten Recordtypen  Â +  * RRSIG, DNSKEY, DS, NSEC/NSEC3 sind die wichtigsten Recordtypen 
-  * verhindert Spoofing, MITM und Cache Poisoning  +  * verhindert Spoofing, MITM und Cache Poisoning
  
it-themen/grundlagen/netzwerkdienste/dnssec.1764585627.txt.gz · Zuletzt geändert: von lars