Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
 
News Disclaimer
 
Domain Name System: Vorsichtsmaßnahmen für den DNS-Schlüsseltausch

05.10.2018

 zur Newsdatenbank home

Sollte ein DNSSEC-Schlüssel geknackt worden sein, können Angreifer falsche DNS-Antworten verbreiten. Damit lassen sich zum Beispiel Zugriffe auf Online-Banken an präparierte Server umlenken.

Aus diesem Grund müssen DNSSEC-Schlüssel ab und zu gewechselt werden. Das steht am 11. Oktober für die DNS-Root-Zone an. Genauer: Ab diesem Stichtag müssen Provider und alle Betreiber von DNS-Resolvern, die die Sicherheitstechnik DNSSEC verwenden, einen neuen Vertrauensanker nutzen. Ihr DNS-Dienst würde sonst ausfallen und ohne DNS funktionieren moderne Internet-Services nicht – Teilnehmer, die DNS-Anfragen an einen solchen Resolver senden, sind dann vom Internet abgeschnitten.

DNS-Resolver mit DNSSEC sind weltweit viele Millionen im Einsatz. Ob DNS-Antworten unverfälscht sind und sie aus einer vertrauenswürdigen Quelle stammen (Validierung) überprüft der DNS-Resolver anhand von DNSSEC-Signaturen. Zurzeit sind rund ein Viertel der Teilnehmer in Deutschland von validierenden Resolvern abhängig. Die wichtigsten stehen bei den Providern.

Die für den Schlüsselwechsel zuständige ICANN hat bisher keine Erfahrungen damit, denn sie tauscht diesen Schlüssel das erste Mal. Dabei ist der Schlüsselwechsel in der Root-Zone kein Problem. Den neuen Schlüssel hat die ICANN bereits publiziert (Trust Anchor). Die Verteilung des neuen Trust Anchor an die Resolver-Betreiber ist das Problem. Einen ersten Anlauf hatte die ICANN bereits 2017 unternommen und ganz knapp vor der Umsetzung abgebrochen. Nach Angaben erster Telemetriedaten hatten noch zu wenige Resolver den neuen Trust Anchor verwendet. Von bis zu 750 Millionen potenziell Betroffenen Internet-Teilnehmern ging die ICANN aus.

Fehlt dem validierenden Resolver der neue Trust Anchor, kann er ab dem 11.10.2018 keine DNS-Antworten der Root-Zone und der zugehörigen Top-Level-Domains validieren. Damit darf er DNS-Antworten, die von diesen DNS-Servern kommen, nicht verwenden. Deshalb findet er weder die Adressen von angefragten Top-Level-Domains, noch die der zugehörigen Domains oder Subdomains. Er kann schlicht gar keine DNS-Antworten liefern. Für Geräte, die einen solchen Resolver befragen, ist das Internet kaputt. Bis der Resolver-Betreiber das Problem beseitigt hat, kann man sich mit einem Wechsel auf andere DNS-Resolver behelfen, und etwa die von Google oder Cloudflare verwenden.

In Deutschland verwenden rund 26 Prozent der Internet-Nutzer einen validierenden DNS-Resolver. Das geht aus einer Analyse des APNIC hervor. Den bisherigen Höchstwert von 42 Prozent verzeichnete das APNIC Anfang 2016. Im April 2017 betrug der Anteil rund 39 Prozent. Einige Provider schalten die Validierung mal ein und mal wieder aus. Gründe nennen sie nicht.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89