it-themen:grundlagen:netzwerkdienste:dnssec
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
| it-themen:grundlagen:netzwerkdienste:dnssec [01.12.2025 11:43] – [Beispiel Ablauf einer DNSSEC-Prüfung] lars | it-themen:grundlagen:netzwerkdienste:dnssec [01.12.2025 11:46] (aktuell) – [Zusammenfassung] lars | ||
|---|---|---|---|
| Zeile 118: | Zeile 118: | ||
| ===== Vorteile von DNSSEC ====== | ===== Vorteile von DNSSEC ====== | ||
| - | * Schutz vor Cache Poisoning | + | * Schutz vor Cache Poisoning |
| - | * Schutz vor gefälschten DNS-Antworten | + | * Schutz vor gefälschten DNS-Antworten |
| - | * garantierte Datenintegrität | + | * garantierte Datenintegrität |
| * Basis fĂĽr DANE (TLSA-Records fĂĽr E-Mail-Sicherheit) | * Basis fĂĽr DANE (TLSA-Records fĂĽr E-Mail-Sicherheit) | ||
| ===== Nachteile / Herausforderungen ====== | ===== Nachteile / Herausforderungen ====== | ||
| - | * höherer Administrationsaufwand | + | * höherer Administrationsaufwand |
| - | * größere DNS-Pakete | + | * größere DNS-Pakete |
| - | * nicht alle Resolver unterstĂĽtzen DNSSEC | + | * nicht alle Resolver unterstĂĽtzen DNSSECÂ |
| - | * Signaturen müssen regelmäßig erneuert werden | + | * Signaturen müssen regelmäßig erneuert werden |
| ===== Beispiel – DNSSEC aktiv prüfen ====== | ===== Beispiel – DNSSEC aktiv prüfen ====== | ||
| Linux: | Linux: | ||
| - | < | + | < |
| - | dig example.com +dnssec | + | Â |
| + | dig example.com +dnssec | ||
| + | Â | ||
| </ | </ | ||
| GĂĽltige Antwort zeigt: | GĂĽltige Antwort zeigt: | ||
| - | * DNSKEY | + | * DNSKEYÂ |
| - | * RRSIG | + | * RRSIG |
| * AD-Flag („Authenticated Data“) | * AD-Flag („Authenticated Data“) | ||
| ===== Zusammenfassung ====== | ===== Zusammenfassung ====== | ||
| - | * DNSSEC schützt **DNS-Integrität**, | + | * DNSSEC schützt **DNS-Integrität**, |
| - | * verwendet digitale Signaturen mit ZSK und KSK Â | + | * verwendet digitale Signaturen mit ZSK und KSKÂ |
| - | * Chain of Trust: Root → TLD → Domain | + | * Chain of Trust: Root → TLD → Domain |
| - | * RRSIG, DNSKEY, DS, NSEC/NSEC3 sind die wichtigsten Recordtypen | + | * RRSIG, DNSKEY, DS, NSEC/NSEC3 sind die wichtigsten Recordtypen |
| - | * verhindert Spoofing, MITM und Cache Poisoning | + | * verhindert Spoofing, MITM und Cache Poisoning |
it-themen/grundlagen/netzwerkdienste/dnssec.1764585799.txt.gz · Zuletzt geändert: von lars