DNS-Manipulationen verhindern

DNS SEC als Schutz für das Internet-Nervensystem im Test

21. Juli 2009, 15:37 Uhr | Werner Veith
Standorte der Name-Server für die Top-Level-Domain »de«. (Quelle: Denic)

Mit einem Testbed für »DNSSEC« wollen die Denic, der Eco-Verband und das BSI die Technologie für den praktischen Einsatz fördern. Der Schutz des DNS als zentrales Nervensystem des Internet bekommt immer mehr Bedeutung.

Manipulationen im DNS (Domain-Name-System) des Internets, um Anwender auf Malware-Seiten zu locken, zeigen die Verwundbarkeit des zentralen Nervensystems des Internets. Gleichzeitig wird das DNS immer mehr auch für automatische Anfragen wie bei ENUM für Telefonnummern genutzt. Eine letzte Kontrolle durch den Anwender fehlt hier. »DNSSEC« ist ein Standard der IETF, der die Übertragung der Daten vom DNS-Server zum Client sichert. Trotzdem kommt es bisher nicht zum Einsatz. Um dies zu ändern, bauen der Top-Level-Domain-Verwalter (TLD) Denic, der Interessensverband Eco und das Bundesamt für Sicherheit in der Informationstechnologie (BSI) ein Testbed auf. Die damit gesammelten Erfahrungen sollen einen Einsatz von Dnssec beschleunigen.

Zu diesem Zweck baut der TLD-Verwalter für »de« Denic eine parallele Infrastruktur für Name-Server auf, die Dnssec beherrschen. Außerdem bekommt das De-Registry-/Registrar-Interface Dnssec-Funktionen. Anschließend baut die Denic aus diesen Daten eine signierte De-Zone auf und stellt sie über die parallele Infrastruktur bereit. Signiert heißt in diesem Fall, dass sich die DNS-Server der TLD De über Zertifikate ausweisen. Die Registrare können wiederum selbst Dnssec nutzen und auch anbieten.

Für den Einsatz von Dnssec ist es notwendig, dass auch die Clients Dnssec beherrschen. Allerdings gibt es viele DNS-Forwarder wie in DSL-Routern, die dies nicht oder nur beschränkt tun. Deshalb führt das BSI eine Studie über passende Dnssec-Clients durch.

Dnssec sichert die Übertragung zwischen DNS-Server, den dazwischen liegenden Servern und Resolvern bis hin zum Client. Mit Hilfe von kryptografischen Signaturen wird verhindert, dass auf dem Transport die Daten manipuliert werden. Es verhindert, dass ein Client falsche DNS-Angaben bekommt. Es ist aber keine Hilfe bei Domain-Hijacking, Phishing oder Manipulationen bei der Registrierung.


Jetzt kostenfreie Newsletter bestellen!

Matchmaker+