DNSSEC

DNSSEC-Validierung im Browser

Firefox-Plugin für DNSSEC

DNS, das Addresbuch des Internets ist massgeblich am Erfolg dieses Netzwerks beteiligt. Dank dieser Einrichtung kann ich im Browser www.sbb.ch eintippen und muss nicht die effektive Adresse 194.150.245.35 auswendig lernen. Das Ganze ist hierarchisch organisiert und wird von hinten nach vorne aufgelöst. So wird etwa bei www.blick.ch zuerst bei den Root-Servern nachgefragt: Wer ist für .ch zuständig? Die Server geben zurück: Frag die DNS-Server mit den Adressen w.x.y.z ab, die sind für .ch zuständig! Diese geben wiederum an: für blick musst Du einen der vier folgenden Server des Verlages abfragen. Und diese wissen dann schlussendlich, dass der Firefox mit der Adresse 193.201.12.53 verbinden kann und damit die Webseite von Blick anzeigt wird. Das Resultat wird im Fall von www.blick.ch für 14400 Sekunden (4 Stunden) im Nameserver meines Providers gespeichert. Somit muss das Fragespiel nicht dauernd wieder neu angestossen werden. Während der Übertragung oder in diesem Zwischenspeicher kann mit entsprechendem Aufwand die Zuordnung IP-Name beliebig anders zugeordnet werden. Zugegeben: 99,9 Prozent der Internetnutzer ist dies ziemlich egal wie das funktioniert. Hauptsache es funktioniert. Aber: Wer sagt mir, dass ich wirklich auf der Webseite meiner Bank angelangt bin? Und nicht etwa auf einer gut gemachten Kopie derselben? Mit dem einzigen Zweck an meine Passwörter zu kommen? Deswegen wurde in der guten, alten Internet-Tradition das Protokoll so weiterentwickelt, dass der Betrieb so wenig wie möglich oder gar nicht beeinflusst wird, gleichzeitig aber eine Möglichkeit gegeben ist, die Antwort der Nameserver verbindlich und eindeutig zu überprüfen. Nun hat switch.ch DNSSEC seit anfangs Februar 2010 in der Administrationsoberfläche freigeschaltet. Grund genug, endlich auch in diesem Teich zu fischen. Damit ich Spielraum habe, wurde vorerst eine separate Domain dnssec-test.ch registriert und die Zone per DNSSEC gesichert. Damit allenfalls auch Andere etwas davon haben, habe ich die Testsuite für die Keyverifizierung von Noa Resare implementiert. Die Verifizierung ist für den Benutzer eigentlich unsichtbar, da dies primär von den Nameservern selber abgehandelt wird. Es gibt auch Ansätze, dass diese Infos bis zum Enduser gelangen wie mit diesem (BETA!) Plugin für Firefox. Damit sieht man dann direkt im Browser, wenn die Signatur in Ordnung ist. Wie beim Bild oben im Artikel erscheint hoffentlich ein grüner Schlüssel. Wenn eine absichtlich falsche Signatur angesprungen wird, sollte also ein Fehler ausgegeben werden:

Ungültige Signatur

Ungültige Signatur

Wie überall, wo ein Sicherheitszuwachs erwartet wird, gibt es auch Schattenseiten: Wer früher einfach mal einen DNS-Eintrag so eben mal erstellt hat, konnte den über Jahre einfach so benutzen. Nun sind kryptografische Funktionen im Spiel und die Zonen müssen aktiv bewirtschaftet werden. Signaturen müssen in Intervallen erneuert werden. Dies kann statt von Hand automatisch mit Appliances wie von INFOBLOX passieren. Oder webmin kann auch automatisiert Key Rollovers durchführen. Ich hatte seit X Jahren mal wieder mit dem Author Kontakt. Er wird in Kürze auch das noch fehlende NSEC3 per Webgui ermöglichen. BIND wird in Zukunft auch Tools zur unbeaufsichtigten, automatisierten Schlüsselerneuerung anbieten.

Weitere Links zum Thema/Testen:

Testumgebung DNSSEC

DNSSEC

Leave a Reply

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>