DNS

DNSSEC

Posted by Michael Roth on August 05, 2010
Allgemein, Internet / No Comments

Computer im Internet werden durch eine eindeutige numerische Adresse, der IP-Adresse, angesprochen. Da sich Menschen Adressen wie 81.169.165.248 oder neue IPv6-Adresse 2a01:238:43e9:a800:a847:27ea:6a17:1916 nicht gut merken können, wird mit Hilfe des Domain Name Systems (DNS) der Computername www.roth-digital.de wie in einer Art Telefonbuch auf die Adresse übersetzt.

Um über den Namen der Domain die IP-Adresse zu finden wird die Anfrage an den Domain Name Server des Internet Providers, wie z.B. T-Online, weitergeleitet. Dieser zerlegt den Domainnamen bei den Punkten. Es gibt 13 Root-Server im Internet, die alle Top Level Domains (TLD) kennen. Unter TLD versteht man den letzten Teil der Domain, in Deutschland meistens .de oder das bekannte .com. Der Root-Server gibt dann den zuständigen Server für die TLD zurück. Dann frägt der Provider bei diesem Server nach dem nächsten Teil des Domainnamens. Als Antwort wird wieder ein Domain Name Server geliefert, der über den Rest des Domainnamens Auskunft geben kann. Dies wird solange wieder holt, bis ein Server den kompletten Domainnamen kennt und die IP-Adresse des Server zurück liefert. Das DNS bildet also ein hierarchische Struktur, in dem jede Ebene über die darunterliegende Eben Bescheid weiß.

Da diese ganzen Abfragen viele Server beinhalten, ist es möglich, dass ein Server falsche Informationen zurückgeliefert und so eine falsche IP-Adresse auf gerufen wird. Dies wird oft benutzt um Leute z.B beim Online Banking oder E-Mail abrufen auf eine andere Seite zu locken, die dem Anmeldeformular der Bank oder des E-Mail-Anbieters zum verwechseln ähnlich sieht. Auf diese Weise kann das Passwort ausspioniert werden.

Mit DNSSEC wird die Antwort des Domain Name Server signiert und man kann sicher gehen, dass diese authentisch ist. Seit 15. Juli 2010 sind alle 13 Root-Server signiert. Sie liefern also neben den zuständigen Server für die TLD auch eine Signatur mit um zu gewährleisten, dass die Anfrage unverändert beim Benutzer ankommt. Daher muss jeder Domain Name Server einen Schlüssel besitzen, der von dem Server über ihm signiert wurde. So muss der Schlüssel für die .de TLD mit dem Schüssel der Root-Server signiert worden sein.

Mit DNSSEC kann garantiert werden, dass die zurück gelieferte IP-Adresse auch wirklich zum eingegebenen Domainnamen gehört. Dadurch entsteht zusätzliche Sicherheit, falls unverschlüsselt über das Internet kommuniziert wird. DNSSEC verhindert nicht, dass die Verbindung abgehört, die Daten während der Übertragung verändert oder umgeleitet werden. Dafür sollte die Verbindung noch mit SSL oder TSL verschlüsselt werden.

Tags: