🖥️ Veni. Vidi. sudo rm -rf / vici.

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: • ntp • snmp • dnssec
it-themen:grundlagen:netzwerkdienste:dnssec

**Dies ist eine alte Version des Dokuments!**

Inhaltsverzeichnis

zurĂĽck

DNSSEC – Grundlagen

DNSSEC (DNS Security Extensions) erweitert das Domain Name System um Sicherheitsfunktionen. Es sorgt dafür, dass DNS-Antworten authentisch, unverändert und vertrauenswürdig sind.

Wichtig:

  • DNSSEC schĂĽtzt NICHT die Vertraulichkeit (keine VerschlĂĽsselung),
  • sondern die Integrität und Authentizität von DNS-Daten.

Warum DNSSEC?

DNS selbst ist ĂĽber 40 Jahre alt und ursprĂĽnglich ungeschĂĽtzt.
Ohne DNSSEC sind folgende Angriffe möglich:

  • DNS-Spoofing
  • Cache Poisoning
  • Man-in-the-Middle
  • Umleitung auf falsche Server

Beispiel: Ein Angreifer könnte Google.com auf eine gefälschte IP zeigen lassen.

DNSSEC verhindert genau diese Manipulationen.

Wie funktioniert DNSSEC?

DNSSEC nutzt digitale Signaturen.
Jede Zone unterschreibt ihre DNS-Daten mit einem privaten SchlĂĽssel.

Clients können prüfen:

  • „Kommt diese DNS-Antwort wirklich vom Zonenbetreiber?“
  • „Wurde sie unterwegs verändert?“

SchlĂĽsseltypen

DNSSEC arbeitet mit zwei SchlĂĽsselarten:

1. ZSK – Zone Signing Key

  • signiert die Resource Records in einer Zone
  • wird häufiger gewechselt

2. KSK – Key Signing Key

  • signiert den öffentlichen ZSK
  • wird selten gewechselt
  • bildet die Vertrauenskette (Chain of Trust)

Wichtige DNSSEC Resource Records

RR-Typ Bedeutung
——-———–
RRSIG digitale Signatur eines DNS-Eintrags
DNSKEY öffentlicher Schlüssel
DS Delegation Signer (Verweis auf Kindzone)
NSEC / NSEC3 beweist sicher „Eintrag existiert NICHT“

Beispiel RRSIG: 


 example.com.   IN  RRSIG   A 8 2 3600 20250101000000 (...)

Chain of Trust (Vertrauenskette)

DNSSEC baut eine Kette vom Root-Nameserver bis zur Domain auf.

ASCII-Visualisierung: 


 [ Root (.) ]
    ↓ DS
 [ .com ]
    ↓ DS
 [ example.com ]
    ↓ RRSIG
 [ host.example.com ]

Jede Stufe bestätigt die nächste.

Beispiel Ablauf einer DNSSEC-PrĂĽfung

  1. Client fragt eine Domain z. B. example.com.
  2. Nameserver liefert Antwort + RRSIG.
  3. Client lädt DNSKEY der Zone.
  4. DNSKEY wird per DS-Eintrag in der Parent-Zone bestätigt.
  5. Alles beginnt beim Root, das öffentlich bekannt ist.
  6. Ergebnis:
    * „Signatur gültig“ → Antwort akzeptiert

    * „Signatur ungültig“ → Antwort wird verworfen

Negative Antworten: NSEC / NSEC3

DNSSEC kann beweisen, dass ein Eintrag wirklich nicht existiert.

Beispiel: Du fragst nach abc123.example.com, der nicht existiert.

Ohne DNSSEC:

  • Angreifer könnte beliebige Antwort fälschen

Mit DNSSEC:

  • NSEC oder NSEC3 signiert die „Nicht-Existenz“

Vorteile von DNSSEC

  • Schutz vor Cache Poisoning
    • Schutz vor gefälschten DNS-Antworten
      * garantierte Datenintegrität
      * Basis fĂĽr DANE (TLSA-Records fĂĽr E-Mail-Sicherheit)

    Nachteile / Herausforderungen

  • höherer Administrationsaufwand
    • größere DNS-Pakete
      * nicht alle Resolver unterstĂĽtzen DNSSEC
      * Signaturen müssen regelmäßig erneuert werden

    Beispiel – DNSSEC aktiv prüfen

Linux: 

dig example.com +dnssec

GĂĽltige Antwort zeigt:

  • DNSKEY
    * RRSIG
    * AD-Flag („Authenticated Data“)

Zusammenfassung

  • DNSSEC schĂĽtzt DNS-Integrität, nicht Vertraulichkeit
    • verwendet digitale Signaturen mit ZSK und KSK
      * Chain of Trust: Root → TLD → Domain
      * RRSIG, DNSKEY, DS, NSEC/NSEC3 sind die wichtigsten Recordtypen
      * verhindert Spoofing, MITM und Cache Poisoning
it-themen/grundlagen/netzwerkdienste/dnssec.1764585799.txt.gz · Zuletzt geändert: von lars