DNSSEC - Domain Name System Security Extensions

Die Hauptaufgabe des Domain Name System (DNS) ist die Auskunft einer zugehörigen IP-Adresse zu einem Domain-Namen. Nur so können auf TCP/IP-Ebene Verbindungen zu entfernten Servern aufgebaut werden. Dafür ist die IP-Adresse notwendig. Domain-Namen werden aus organisatorischen Gründen verwendet, und weil sie leichter lesbar sind. Leider liefert ein herkömmlicher DNS-Server die IP-Adresse als ungeschützte Text-Information. Die DNS-Kommunikation kann jeder lesen und die Informationen sind manipulierbar.

DNSSEC (Domain Name System Security Extensions) ermöglicht es, die Echtheit von DNS-Antworten zu verifizieren und zu überprüfen, ob diese unverfälscht sind. DNSSEC setzt sich allerdings nur langsam durch, weil der Druck durch die Anwender von Internet-Diensten und Nutzern von Software nicht groß genug ist.

Welche Probleme löst DNSSEC?

DNSSEC löst folgende Probleme:

  1. Manipulation von DNS-Daten: DNSSEC schützt DNS-Daten vor Manipulationen, indem es kryptografische Signaturen verwendet, die es ermöglichen, die Echtheit und Unverfälschtheit der DNS-Antworten zu überprüfen.
  2. Sicherheit gegen DNS-Spoofing: Durch die Signierung von DNS-Antworten können Angreifer nicht einfach falsche DNS-Antworten einschleusen, was das Risiko von Umleitungen auf falsche Server verringert.
  3. Authentifizierung von DNS-Servern: DNSSEC stellt sicher, dass DNS-Anfragen aus authentischen Quellen stammen und nicht unterwegs manipuliert wurden. Dies geschieht durch die Validierung der Signaturen der DNS-Antworten.

Insgesamt verbessert DNSSEC die Integrität und Authentizität von DNS-Daten und schützt vor verschiedenen Angriffen auf das DNS.

Wie funktioniert DNSSEC?

DNSSEC verwendet kryptografische Verfahren, um die Integrität und Authentizität von DNS-Antworten zu gewährleisten. DNSSEC hat die Aufgabe zu prüfen, ob eine DNS-Information von einem vertrauenswürdigen DNS-Server stammt und ob die Daten unverfälscht übertragen wurden. Dazu muss der Administrator seine DNS-Zone signieren damit alle DNSSEC-Nutzer die
Echtheit einer DNS-Auskunft verifizieren können.

Die Kommunikation zwischen dem DNS-Resolver und dem autoritativen DNS-Server wird durch die Signaturen gesichert, durch die ein DNS-Resolver prüfen kann, ob der Absender vertrauenswürdig ist und die erhaltenen DNS-Informationen unverfälscht sind.

Die Validierung der Daten erfolgt durch den Resolver, der die Signaturen prüfen. Dazu braucht der Resolver den passenden Root-Key Signing Key (KSK). Nur dann kann er eine signierte Antwort validieren. Signierte, aber unvalidierte DNS-Daten dürfen nicht weitergegeben werden. Dadurch wird sichergestellt, dass DNS-Anfragen nur aus authentischer Quelle stammen und nicht unterwegs manipuliert wurden. In der Praxis sollte es so sein, dass der Empfänger die Signatur prüft und die Daten nur dann benutzt, wenn die Signatur übereinstimmt.

Welches Problem löst DNSSEC nicht?

DNSSEC schützt vor Manipulationen, z. B. durch DNS-Spoofing, indem es sicherstellt, dass nur signierte und validierte DNS-Antworten akzeptiert werden. DNSSEC verbessert jedoch nicht die Privatsphäre der Benutzer, da alle DNS-Daten weiterhin unverschlüsselt versendet werden und somit mitgelesen werden können.
Deshalb sind zusätzliche Maßnahmen erforderlich. Zum Beispiel die Verschlüsselung der DNS-Kommunikation mit DNS over TLS oder DNS over HTTPS.

Fazit

Insgesamt verbessert DNSSEC die Integrität und Authentizität von DNS-Daten und schützt vor verschiedenen Angriffen auf das Domain Name System.
Je mehr Domain-Namen mit DNSSEC signiert sind, desto weniger Domain-Namen bleiben für missbräuchliche Umleitungen übrig, was die allgemeine Sicherheit des DNS verbessert.

Übersicht: DNS mit Privacy und Security

Weitere verwandte Themen:

Lernen mit Elektronik-Kompendium.de

Noch Fragen?

Bewertung und individuelles Feedback erhalten

Freitextaufgaben zum Artikel beantworten, korrigieren lassen und zum Profi werden.

Aussprache von englischen Fachbegriffen

Netzwerktechnik-Fibel

Alles was du über Netzwerke wissen musst.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Netzwerktechnik-Fibel

Alles was du über Netzwerke wissen musst.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Artikel-Sammlungen zum Thema Netzwerktechnik

Alles was du über Netzwerktechnik wissen solltest.

Netzwerk-Grundlagen

Netzwerk-Grundlagen

eBook kaufen

IPv6

IPv6

eBook kaufen

IPv4

IPv4

eBook kaufen

Netzwerk-Sicherheit

Netzwerk-Sicherheit

eBook kaufen