Was ist DNS-Sicherheit?
Die DNS-Sicherheitserweiterungen (Domain Name System) (DNSSEC) schützen das Internet und seine Benutzer vor möglichen Angriffen, durch die der Zugriff auf die wesentlichen Namensdienste im Internet möglicherweise deaktiviert oder behindert wird. Die Sicherheitserweiterungen bieten den DNS-Servern die Möglichkeit, weiterhin ihre IP-Adressübersetzungsfunktionen (Internet Protocol) bereitzustellen, wobei jedoch zusätzlich vorgesehen ist, dass sich die DNS-Server gegenseitig authentifizieren, indem sie eine Reihe von Vertrauensbeziehungen erstellen. Durch die Erweiterungen erreichen die von den DNS-Servern gemeinsam genutzten Daten auch einen Integritätsgrad, der für das vorhandene Protokoll, über das die Daten übertragen werden, normalerweise schwierig ist.
Ursprünglich wurde der DNS als ungesicherte öffentliche Verteilung von Namen und zugehörigen IP-Adressen erstellt. Mit dem Anwachsen des Internets entwickelten sich jedoch eine Reihe von Problemen im Zusammenhang mit der DNS-Sicherheit, dem Datenschutz und der Integrität der DNS-Daten. In Bezug auf Datenschutzprobleme wurde das Problem von Anfang an durch eine ordnungsgemäße Konfiguration der DNS-Server behoben. Es ist jedoch möglich, dass ein DNS-Server einer Reihe von verschiedenen Arten von Angriffen ausgesetzt ist, z. B. DDoS-Angriffe (Distributed Denial of Service) und Pufferüberlauf-Angriffe, die sich auf jeden Servertyp auswirken können. Speziell für das DNS ist jedoch das Problem, dass eine externe Quelle die Daten durch die Eingabe falscher Informationen vergiftet.
DNSSEC wurde von der Internet Engineering Task Force (IETF) entwickelt und in mehreren RFC-Dokumenten (Request for Comment), 4033 bis 4035, detailliert beschrieben. In diesen Dokumenten wird die DNS-Sicherheit als durch die Verwendung von Authentifizierungstechniken mit öffentlichem Schlüssel erreichbar beschrieben. Um die Verarbeitung auf den DNS-Servern zu vereinfachen, werden nur die Authentifizierungstechniken und nicht die Verschlüsselung verwendet.
Die Funktionsweise von DNSSEC beruht auf der Erstellung von Vertrauensbeziehungen zwischen den verschiedenen Ebenen der DNS-Hierarchie. Auf der obersten Ebene wird die Stammdomäne des DNS als primärer Vermittler zwischen den unteren Domänen wie .com, .org usw. eingerichtet. Unterdomänen prüfen dann die Stammdomäne, die als so genannter vertrauenswürdiger Dritter fungiert, um die Glaubwürdigkeit der anderen zu überprüfen, damit sie genaue DNS-Daten untereinander austauschen können.
Ein Problem, das aufgrund der in den RFCs beschriebenen Methoden auftritt, ist die Zonenzählung. Es wird für eine externe Quelle möglich, die Identität jedes benannten Computers in einem Netzwerk zu erfahren. Einige Kontroversen entstanden im Zusammenhang mit der DNS-Sicherheit und dem Problem der Zonenzählung, da verschiedene rechtliche und behördliche Auflagen vorschreiben, dass die Daten privat bleiben, obwohl das DNS ursprünglich nicht für den Datenschutz entwickelt wurde. Ein zusätzliches Protokoll, das in RFC 5155 beschrieben wird, beschreibt ein Mittel zum Implementieren zusätzlicher Ressourceneinträge im DNS, mit dem das Problem möglicherweise gelindert, aber nicht vollständig behoben werden kann.
Andere Probleme bei der Implementierung der DNS-Sicherheit betreffen die Kompatibilität mit älteren Systemen. Die implementierten Protokolle müssen universell sein und daher von allen Computern, Servern und Clients verstanden werden, die das Internet verwenden. Da DNSSEC über Software-Erweiterungen des DNS implementiert wird, traten einige Schwierigkeiten auf, ältere Systeme ordnungsgemäß zu aktualisieren, um die neuen Methoden zu unterstützen. Die Bereitstellung der DNSSEC-Methoden begann jedoch Ende 2009 und Anfang 2010 auf der Stammebene, und viele moderne Computerbetriebssysteme sind mit den DNS-Sicherheitserweiterungen ausgestattet.