Das in Inter­net­krei­sen all­ge­gen­wär­ti­ge The­ma Domain-Name-Sys­tem-Secu­ri­ty (DNSSEC) ist nicht so ein­fach zu erklä­ren. Wir haben uns daher mit eini­gen Exper­ten zusam­men­ge­setzt und DNSSEC in den fol­gen­den Bil­dern dargestellt:

DNSSEC-1

Bild 1: Nor­ma­ler Betrieb des Domain-Namen-Sys­tems. Hier wer­den ver­schie­de­ne Ser­ver befragt, bevor der Nut­zer zur gewünsch­ten Sei­te www.berlin.de kommt.

DNSSEC-2

Bild 2: Damit die Anfra­ge nach der Sei­te www.berlin.de nicht jedes mal um den Glo­bus läuft, wird die IP-Num­mer von www.berlin.de lokal oder beim Inter­net­pro­vi­der im so genann­ten Cache gespeichert.

DNSSEC-3

Bild 3: Beim so genann­ten Cache Poi­so­ning gau­kelt ein Angreifer/Hacker dem Cache durch mas­sier­te Anfra­gen eine ande­re IP-Num­mer für die Sei­te www.berlin.de vor. Das führt dazu, dass man auch nächs­tes Mal mit dem Short Cut auf den Ser­ver des Angrei­fers zugreift.

DNSSEC-4

Bild 4: DNSSEC schafft eine zer­ti­fi­zier­te Zone, die ein siche­res Sur­fen im Inter­net ermöglicht.

Was ist das Domain-Name-System?

Das Domain-Namen-Sys­tem (DNS) wird dazu ver­wen­det, um vom Nut­zer ein­ge­ge­be­ne Domain- bzw. Host­na­men wie z.B. dot.berlin in die zuge­hö­ri­gen und von Com­pu­tern ver­ar­beit­ba­re IP-Adres­sen wie z.B. 195.256.196.205 umzu­wan­deln und gehört damit zu den wich­tigs­ten Diens­ten im Inter­net über­haupt. Das DNS ist sozu­sa­gen das Tele­fon­buch des Inter­nets. Der Trans­port und Aus­tausch der DNS-Infor­ma­tio­nen fin­det heut­zu­ta­ge meist unver­schlüs­selt und ohne Prü­fung der Authen­ti­zi­tät von Sen­der und Emp­fän­ger und Inte­gri­tät der Daten statt.

Die­ses Ver­fah­ren ist daher anfäl­lig für Mani­pu­la­tio­nen der DNS-Infor­ma­tio­nen, wie z.B. dem sog. „Cache Poi­so­ning” in den so genann­ten Resol­ving-Name­ser­vern (auch Kamin­sky-Atta­cken oder DNS-Hijacking oder Man-in-the-midd­le-Angriff genannt). Die­se Angriffs­ver­fah­ren haben gemein, dass Nut­zer auf mani­pu­lier­te oder betrü­ge­ri­sche Web­sei­ten umge­lenkt wer­den. Dar­auf auf­bau­end wer­den wei­te­re Angrif­fe durch­ge­führt, wenn ein Angrei­fer die lau­fen­de Anfra­ge an eine Web­site unter­bricht, ohne dass der Nut­zer etwas davon bemerkt.

DNSSEC ver­hin­dert Angrif­fe auf das DNS

Die­se Angriffs­sze­na­ri­en las­sen sich mit DNSSEC (Domain-Name-Sys­tem-Secu­ri­ty-Exten­si­ons) effek­tiv verhindern.Denn bei die­ser nicht neu­en, aber kaum imple­men­tier­ten Tech­nik wer­den sämt­li­che Name­ser­ver-Ein­trä­ge im Über­tra­gungs­weg der IP-Päck­chen digi­tal signiert .Damit ist sicher­ge­stellt, dass die Infor­ma­tio­nen unver­än­dert über­tra­gen wur­den und deren Absen­der sicher authen­ti­fi­ziert wer­den kann. Das Ver­fah­ren kann aber nicht ver­hin­dern, dass unzu­tref­fen­de Infor­ma­tio­nen selbst signiert oder die Nut­zer auf höhe­rer Ebe­ne irre­ge­führt werden.

DNSSEC wur­den erst­mals Mit­te der 1990er Jah­re ein­ge­führt, um das DNS zu schüt­zen, im Jahr 2005 wur­de das Pro­to­koll offi­zi­el­ler RFC-Stan­dard. Im Jahr 2008 imple­men­tiert die US-Regie­rung DNSSEC bei ihren eige­nen Top-Level-Domains (TLDs) .GOV und .MIL. Seit dem sind wei­te­re Betrei­ber von gene­ri­schen und Län­der-Top-Level-Domains gefolgt, wie z.B. .org und .se (Schwe­den). Ande­ren Top-Level-Domains arbei­ten vor­erst noch mit Über­gangs­lö­sun­gen, bei denen der Ein­stiegs­punkt in die Ver­trau­ens­ket­te aus­ser­halb der Root­zo­ne liegt (z.B. DNSSEC Loo­ka­si­de Validation).

Funk­ti­ons­wei­se von DNSSEC

Beim DNSSEC wird für jede Zone (z.B. in der Ket­te von Root, TLD und Domain) ein Schlüs­sel­paar erzeugt. Mit die­sem gehei­men Schlüs­sel wer­den die DNS-Daten (Resour­ce Records) signiert, zusätz­lich wird ein öffent­li­cher Schlüs­sel in der jewei­li­gen Zonen-Datei selbst hin­ter­legt und ist somit über das DNS abruf­bar. Mit jedem die­ser Schlüs­sel kann ein DNS­SEC-fähi­ger Resol­ving-Name­ser­ver die Gül­tig­keit der Signa­tu­ren der DNS-Infor­ma­tio­nen prü­fen. Die jewei­li­gen Zonen-Schlüs­sel wer­den i.d.R. ihrer­seits wie­der mit einem zen­tra­len Schlüs­sel der dar­über lie­gen­den Instanz signiert. So wird eine durch­gän­gi­ge Ver­trau­ens­be­zie­hung („Chain of Trust) von der Root-Zone (bei ICANN/IANA) zum Betrei­ber einer Top-Level-Domain (z.B. .DE) über den Regis­trar bis hin­un­ter zur ein­zel­nen Domain (z.B. dot.berlin) auf­ge­baut. In die­sem Fall reicht es dann, im Resol­ver den öffent­li­chen Key der Root­zo­ne zu hin­ter­le­gen, um eine durch­gän­gi­ge Authen­ti­fi­zie­rung der DNS-Daten zu gewährleisten.

DNSSEC noch nicht weit verbreitet

Die Anzahl der mit DNSSEC gesi­cher­ten Top-Level-Domains und Domains ist, gemes­sen an der Gesamt­zahl von fast 200 Mil­lio­nen Domains, sehr gering. Dies liegt vor allem am deut­li­chen tech­ni­schen Mehr­auf­wand durch DNSSEC im Ver­gleich zu einem eher mode­ra­ten Nut­zen für den Inter­net­nut­zer. Erst wenn neben wei­te­ren Behör­den auch Unter­neh­men den öko­no­mi­schen Nut­zen von DNSSEC sehen wird die­ses Pro­to­koll wei­te Ver­brei­tung finden.

DNSSEC ist ein der Bau­stei­ne, um den Betrieb von des Domain-Namen-Sys­tems und damit einen infra­struk­tu­rel­len Aspekt des Inter­nets siche­rer zu machen. DNSSEC hilft gegen Mani­pu­la­tio­nen, Fäl­schun­gen und das Unter­schie­ben fal­scher DNS-Infor­ma­tio­nen, kann jedoch nicht alle Pro­ble­me ver­hin­dern. Der Nut­zen von DNSSEC kann sich erst dann voll ent­fal­ten, wenn DNSSEC breit und flä­chen­de­ckend von Anbie­ter und Nut­zern von Hard- und Soft­ware ange­wen­det wird.

Wei­te­re News zu DNSSEC abonnieren

Willst Du auf dem Lau­fen­den blei­ben? In unse­rem News­let­ter stel­len wir Dir ca. vier­mal jähr­lich alles wis­sens­wer­te um die .ber­lin-Domains vor: https://dot.berlin/berlin-newsletter.