Besuchen Sie uns auf der it-sa 2024!

Home>

DNSSEC

Person arbeitet an einem Laptop

Was ist DNSSEC?

Domain Name System Security Extensions (DNSSEC) sind Erweiterungen für das Domain Name System (DNS). Sie werden eingesetzt, um eine schädliche Manipulation bei der Namensauflösung von Webadressen zu verhindern.

Zum Myra Secure DNS

Auf einen Blick

  1. 01. DNSSEC: eine Definition
    1. 02. Wie funktioniert DNSSEC?
      1. 03. Wovor schützt DNSSEC?
        1. 04. Wie verbreitet ist DNSSEC?
          1. 05. Welche Gefahren gehen von DNSSEC aus?
            1. 06. DNSSEC: Das müssen Sie wissen
              Person am Handy in einem Onlineshop und einer Kreditkarte in der Hand

              01

              DNSSEC: eine Definition

              Angriffe auf das DNS zählen zu den größten Bedrohungen in der modernen Internet-Landschaft. Die Technologie zur Namensauflösung weist Domains den entsprechenden IP-Adressen zu – etwa für Webseiten, VoIP-, E-Mail- oder Streaming-Dienste. Erst durch eine erfolgreiche Namensauflösung wissen beispielsweise Webbrowser auf Smartphones oder PCs, welche Webserver die Inhalte für eine spezifische Webseite bereithalten. Da das DNS allerdings noch aus der Anfangszeit des Internets stammt, beinhaltet die Technologie noch keine Funktionen zur Abwehr von Angriffen oder Sabotageversuchen. Viel mehr werden die versendeten DNS-Anfragen unverschlüsselt im Netz übertragen, ohne Verifizierung. Aus diesem Grund können Cyberkriminelle das DNS als mächtige Waffe missbrauchen – etwa für DDoS-Attacken, die durch das DNS sogar noch verstärkt werden. Um gegen solche und andere Gefahren vorzugehen, wurde DNSEC entwickelt.

              Menschen im Büro am arbeiten

              02

              Wie funktioniert DNSSEC?

              DNSSEC setzt auf kryptografische Methoden, um Manipulationen bei der Namensauflösung zu entlarven. Hierfür kommt bei der DNS-Erweiterung ein asymmetrisches Verschlüsselungssystem zur Validierung zum Einsatz, das mittels Hash-Abgleich sogar kleinste Modifikationen an den Domaineinträgen zuverlässig identifiziert. Der Private Key wird zur digitalen Signatur von DNS-Daten verwendet, während der zugehörige öffentliche Schlüssel zur Validierung dieser Signaturen dient und die Authentizität und Integrität der Daten gewährleistet. Grundlage hierfür bildet die digitale Signatur von DNS-Einträgen zur Quellenauthentisierung. DNS-Resolver überprüfen anhand dieser Signatur, ob die Informationen mit den vom Zonenbesitzer veröffentlichten Daten und den auf autoritativen DNS-Servern bereitgestellten Informationen identisch sind. Das ist über einen Vergleich der mitgelieferten Hash-Werte mit den selbst berechneten Daten möglich. Sobald die Werte übereinstimmen, erfolgt der Abgleich in der gesamten Chain of Trust bis hin zur obersten Instanz (Trust Anchor). Über diesen Prozess prüft DNSSEC die Integrität von Abfragen.

              03

              DNSSEC-Schlüssel und Signaturen

              DNSSEC verwendet kryptografische Methoden, um Manipulationen bei der Namensauflösung zu entlarven. Es setzt auf ein asymmetrisches Verschlüsselungssystem zur Validierung und einen Hash-Abgleich zur Identifizierung von Manipulationen. DNS-Resolver überprüfen anhand der digitalen Signatur, ob die Informationen mit den vom Zonenbesitzer veröffentlichten Daten und den auf autoritativen DNS-Servern bereitgestellten Informationen identisch sind. Diese Signaturen gewährleisten, dass die DNS-Daten nicht verändert wurden und aus einer vertrauenswürdigen Quelle stammen.

              Zone-Signing-Key (ZSK) und Key-Signing-Key (KSK)

              Jede DNSSEC-Zone verfügt über ein Zone-Signing-Key-Paar (ZSK). Der private Teil des Schlüssels führt eine digitale Signatur für jedes RRset (Resource Record Set) in der Zone durch, während der öffentliche Teil die Signatur verifiziert. Zusätzlich zu einem Zone-Signing-Key verfügen DNSSEC-Nameserver auch über einen Key-Signing-Key (KSK). Der KSK validiert den DNSKEY-Eintrag. Diese Schlüsselpaare ermöglichen die Überprüfung, dass DNS-Antworten nicht manipuliert wurden und tatsächlich von der autorisierten Quelle stammen.

              NSEC und NSEC3

              NSEC-Einträge werden als sortierte Liste (bzw. Ring) aller Zonen-Einträge erstellt. Für jeden Eintrag dieser Liste wird ein NSEC-Eintrag erstellt, der auf den nächsten Namen in der sortierten Reihenfolge verweist. NSEC-Einträge enthalten auch eine Liste der vorhandenen Ressourcenrekordtypen für den aktuellen Namen. Mit den NSEC-Einträgen und deren RRSIGs (Resource Record Signatures) wird die Vollständigkeit und Authentizität der Einträge in der Zone garantiert. Ein Nachteil des vorliegenden Verfahrens besteht darin, dass ein potenzieller Angreifer die NSEC-Kette sukzessive durchlaufen und auf diese Weise sämtliche Einträge einer Zone ermitteln kann. Dieser Vorgang wird als Zone Walking bezeichnet, wobei auch die Bezeichnung DNSSEC Walking gebräuchlich ist.

               

              NSEC3 bietet eine Lösung für das Problem des Zone-Walking, das bei NSEC auftritt. Hierzu verwendet NSEC3 das sogenannte "DNS Security (DNSSEC) Hashed Authenticated Denial of Existence", wie in RFC 5155 (nicht RFC 4055) spezifiziert. Bei NSEC3 werden die Domainnamen gehasht, nicht alle Einträge. Dies erschwert das Zone-Walking, verhindert es aber nicht vollständig.

              03

              Wovor schützt DNSSEC?

              Angriffe und Sabotageversuche auf das DNS haben ein enormes Bedrohungspotenzial. Eine globale DNS-Hijacking-Kampagne sorgte zuletzt 2019 für Schlagzeilen. Damals warnte die Internetverwaltung ICANN (Internet Corporation for Assigned Names and Numbers) eindringlich vor den Attacken, die auf dutzende Domains von Regierungs-, Telekommunikations- und Internet-Infrastruktur-Organisationen in Europa, Nordamerika, Nordafrika sowie im Nahen Osten abzielten. Hinter den Angriffen sollen politische Akteure gesteckt haben, die mit der globalen Kampagne in erster Linie politische Ziele verfolgten.

              Mittels DNS-Hijacking können Angreifer reguläre Seitenaufrufe unbemerkt umleiten, etwa um auf gefälschten Webseiten Zugangsdaten zu erbeuten, Schadsoftware zu verbreiten oder um politische/ideologische Gegner bloßzustellen. Ebenso ist es mittels DNS-Hijacking möglich, den Zugriff auf bestimmte Webseiten zu zensieren.

              Key visual Produkt DNS

              Myra Secure DNS

              Für die Ausfallsicherheit von kritischen Webapplikationen ist die Absicherung der Namensauflösung entscheidend. Das gehärtete und georedundante Myra Secure DNS setzt auf führende Technologien, um Ihre Domains vor Cyberattacken zu schützen und maximale Performance sicherzustellen. Ganze DNS-Zonen lassen sich in der gesicherten Myra-Infrastruktur komfortabel verwalten.

              Mehr erfahren

              04

              Wie verbreitet ist DNSSEC?

              Der Startschuss für DNSSEC fiel schon 1999, global hat sich die DNS-Erweiterung allerdings bis heute nicht durchgesetzt. Dazu trugen nicht zuletzt Kinderkrankheiten bei, die umfassende Nachbesserungen erforderten. So musste die ursprüngliche Fassung DNSSEC (RFC 2535) überarbeitet werden, um die Schlüsselverwaltung zu vereinfachen und um Kompatibilitätsprobleme mit bestehender Software zu beheben. Erst 2005 ging schließlich mit RFC 4033, RFC 4034, RFC 4035 die Neufassung der Erweiterung an den Start. Es folgte im Jahr 2008 schließlich mit NSEC3 Resource Records (RFC 5155) eine Option, um die bis dahin vorhandene Gefahr von Zone-Walking-Attacken zu verringern. Seit 2010 ist DNSSEC auf allen 13 Root-Servern, nahezu alle Top-Level-Domains unterstützen mittlerweile die DNS-Erweiterung. Trotzdem liegt die globale Validierungsrate von DNSSEC noch unter der Marke von 30 Prozent.

              Komplexität als Hemmschuh für DNSSEC

              Verantwortlich für die langsame Adaption von DNSSEC ist nicht zuletzt die hohe Komplexität, die mit dem Einsatz der Erweiterung einhergeht. So genügt es beispielsweise nicht, dass Root-Server und die Verwalter der Top-Level-Domains den Standard unterstüzen. Für eine erfolgreiche Integritätsprüfung müssen zusätzlich Domainhändler, der DNS-Serverbetreiber sowie der Internetzugangsprovider (Resolver) den Standard unterstützen und aufeinander abgestimmt konfiguriert haben.

              DNSSEC in Deutschland

              In Deutschland beziehungsweise der .de-Zone wurde DNSSEC im Jahr 2011 eingeführt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veranstaltete 2015 einen DNSSEC-Day, der informieren und zur Adaption der Technologie motivieren sollte. Das BSI empfiehlt zudem in der technischen Richtlinie „Sicherer E-Mail-Transport“ (BSI TR-03108) den Einsatz von DNSSEC zur Absicherung der digitalen Kommunikation. Insbesondere geschäftskritische Domains profitieren laut der Behörde von der zusätzlichen Schutzebene, die DNSSEC bereitstellt. In der Bundesrepublik setzen in erster Linie Behörden und Organisationen aus hochregulierten Sektoren (Finanzen, Versicherungen, Gesundheitswesen, etc.) auf DNSSEC. Insgesamt liegt die Validierungsrate in Deutschland laut APNIC Labs bei über 50 Prozent und damit leicht über dem westeuropäischen Durchschnitt.

              Person am Laptop Coden

              05

              Welche Gefahren gehen von DNSSEC aus?

              Gänzlich unumstritten ist der Einsatz von DNSSEC nicht. Vor allem die fehlende Verschlüsselung wird oftmals kritisiert. DNSEC sorgt lediglich für eine Validierung bei der Namensauflösung, um Manipulationen zu verhindern. Die Anfragen selbst werden weiterhin im Klartext übertragen.

              Viel gravierender ist allerdings das Bedrohungspotenzial, das von DNSSEC für die IT-Sicherheit im Internet ausgeht. Die DNS-Erweiterung kann von Cyberkriminellen gezielt für DDoS-Attacken missbraucht werden. Technologisch bedingt erzeugen validierende Nameserver größere Antworten als sie bei herkömmlichen DNS-Anfragen anfallen. Dadurch eignen sich validierende DNS-Server besonders für verstärkende Reflection-Attacken. Bei solchen Angriffen leiten Cyberkriminelle mittels Spoofing ihre schädlichen Botnetz-Anfragen über einen DNS-Dienst an das Ziel weiter. Dies steigert das Angriffsvolumen massiv und verschleiert zugleich den Ursprung der Attacke. In der Praxis lassen sich DDoS-Attacken mittels DNSEC um über das Fünfzigfache verstärken.

              Gleichzeitig werden DNS-Server durch den Einsatz von DNSSEC selbst verwundbarer gegenüber DDoS-Attacken, da die Validierung für eine höhere Last sorgt. Dadurch bleiben geringere Restkapazitäten frei, die im Angriffsfall schneller aufgebraucht sind.

              06

              DNSSEC: Das müssen Sie wissen

              DNSSEC ist eine Sicherheitserweiterung, die bei der Namensauflösung für die Quellenauthentisierung sorgt. Über die Technologie lässt sich die Integrität von Webservern und den damit aufgebauten Verbindungen validieren. So wird sichergestellt, dass eine spezifische Domain auch wirklich dem korrekten Webserver zugeordnet wird. Sabotageversuche können dadurch aufgedeckt und vereitelt werden. Daneben kann mittels DNSSEC auch die Integrität der digitalen Kommunikation via E-Mail oder VoIP abgesichert werden.

              Aufgrund der hohen Komplexität und verschiedener Anlaufschwierigkeiten hat sich der Standard aber bis heute nicht global durchgesetzt. Allerdings lässt sich ein gewisser Trend in der Adaption feststellen. So setzen insbesondere Organisationen aus sensiblen Sektoren zunehmend auf DNSSEC – speziell, wenn es um die Absicherung geschäftskritischer Domains geht.

              Als Schwachstelle von DNSSEC wir oftmals die fehlende Verschlüsselung angesehen. Darüber hinaus besteht ein großes Bedrohungspotenzial durch DDoS-Angriffe – sowohl durch als auch für DNSSEC-validierende Webserver. Cyberkriminelle können die technologischen Eigenschaften des Standards missbrauchen, um ihre Attacken zu verstärken und zu verschleiern. Gleichzeitig sind DNSSEC-validierende Webserver anfälliger für DDoS-Attacken, da sie bei der Namensauflösung eine höhere Rechenlast stemmen müssen.

              © Myra Security GmbH 2024, alle Rechte vorbehalten

              Responsible DisclosureImpressumDatenschutzPrivatsphäre-EinstellungenAGB