Abo
  • Services:
Anzeige
DNSSEC ist aus heutiger Sicht total veraltet und bringt wenig Vorteile.
DNSSEC ist aus heutiger Sicht total veraltet und bringt wenig Vorteile. (Bild: Oxfordian Kissuth/Wikimedia Commons/CC by-sa 3.0D)

Schwache Krypto und Reflection-Angriffe

DNSSEC hat einige weitere Probleme, für die es zwar theoretisch Lösungen gibt, die aber in der Praxis oft nicht zum Einsatz kommen. Wie oben bereits erwähnt, nutzt DNSSEC sogenannte Key Signing Keys und Zone Signing Keys. Für Letztere kommt oft RSA mit 1.024-Bit-Schlüsseln zum Einsatz.

RSA mit 1.024 Bit gilt aus heutiger Sicht als nicht mehr sicher. Zwar ist es noch niemandem gelungen, öffentlich das Knacken eines 1.024-Bit-Schlüssels zu zeigen, doch es ist davon auszugehen, dass finanzstarke Angreifer dazu in der Lage wären. Begründet wird die Nutzung von solch kurzen Schlüsseln in DNSSEC damit, dass diese Schlüssel nur für kurze Zeiträume genutzt werden sollen und anschließend rotiert werden. Ob man diesem Argument folgen mag, sei dahingestellt, tatsächlich notwendig ist der Einsatz schwacher Kryptographie nicht.

Anzeige

DNSSEC unterstützt bereits Signaturen auf Basis elliptischer Kurven mit dem ECDSA-Verfahren. ECDSA verwendet deutlich kleinere Schlüssel und ist schneller als RSA. Zwar ist das Verfahren aus Sicherheitssicht nicht optimal, besser als RSA mit 1.024 Bit ist es jedoch allemal.

Große DNS-Antworten ermöglichen Reflection-Angriffe

Da DNSSEC-Antworten kryptographische Schlüssel und Signaturen enthalten, sind sie relativ groß. DNS ist ein auf UDP aufbauendes Protokoll, damit ergibt sich hier ein Problem: DNSSEC kann für sogenannte Reflection- oder Amplification-Angriffe missbraucht werden.

UDP ist ein verbindungsloses Protokoll, das heißt, dass ein Server keine Möglichkeit hat zu gewährleisten, dass Anfragen auch tatsächlich von der richtigen IP-Adresse kommen. Ein Angreifer kann das ausnutzen, indem er eine Anfrage mit gefälschter IP-Adresse schickt, die eine deutlich größere Antwort auslöst. Der Traffic landet dann bei der entsprechenden falschen IP-Adresse. Reflection-Angriffe sind im DNS-Protokoll grundsätzlich ein Problem, doch durch DNSSEC wird das Ganze deutlich schlimmer.

Das Reflection-Problem von DNSSEC ist nicht unlösbar. Auch hier würde der Einsatz von Signaturverfahren auf Basis elliptischer Kurven mit ECDSA helfen, um die DNS-Antworten klein zu halten. Weiterhin wäre es möglich, besonders große DNS-Antworten grundsätzlich nicht über UDP auszuliefern, sondern das sogenannte TC-Flag zu senden, welches den Client anweist, die Anfrage erneut über TCP zu stellen.

Völlig unabhängig von DNSSEC gibt es einige Mittel, um Reflection-Angriffe zu erschweren, dazu gehören etwa die Filterung von ungültigen UDP-Absenderadressen nach BCP38 und die Response-Rate-Limiting-Option von DNS-Servern. Diese Technologien sollten generell genutzt werden, da DNS-Server auch ohne DNSSEC in begrenztem Umfang für Reflection-Angriffe genutzt werden können.

Schwache Kryptographie und Reflection-Angriffe sind keine grundsätzlichen Probleme von DNSSEC, sie wären lösbar. Doch die Realität sieht anders aus: Viele DNSSEC-Server lassen sich extrem gut für Reflection-Angriffe nutzen. Und das DNSSEC-System ist voll von kryptographisch unsicheren kurzen RSA-Schlüsseln.

 DNSSEC auf Clients praktisch nicht vorhandenDNSSEC wird kaum von großen Internetkonzernen unterstützt 

eye home zur Startseite
Bitschnipser 02. Jul 2015

Leg doch mal Zahlen vor. Relevante Punkte: 1) Technischer Mehraufwand im Vergleich zur...

bremse 30. Jun 2015

Weckruf? Indem man Dinge für tot erklärt, trägt man nicht gerade zur Verbreitung bei...

P1r4nh4 30. Jun 2015

Also ich glaube Otto-Normalsurferwird das vermutlich kaum machen. Aber ich habe mir...

M.P. 30. Jun 2015

Hmm, ähnlich wurde wahrscheinlich Noah beim Bau der Arche auch angesprochen ;-) oder...

Wechselgänger 30. Jun 2015

Schön, daß du meinen nächsten Satz nicht mit zitiert hast. Der geht genau darauf ein...



Anzeige

Stellenmarkt
  1. CONJECT AG, Duisburg
  2. LEGIAL AG, München
  3. ADG Apotheken-Dienstleistungsgesellschaft mbH, Mannheim
  4. scanware electronic GmbH, Bickenbach


Anzeige
Top-Angebote
  1. (nur noch bis 31.1. für 49€ statt 69€)
  2. 127,00€
  3. 179,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation


  1. 5G

    Verizon soll versuchen, Comcast oder Charter zu kaufen

  2. DRAM und Flash

    Toshiba könnte sein Speichergeschäft an WD verkaufen

  3. Satellitennavigation

    Galileo gehen die Uhren aus

  4. Shield TV (2017) im Test

    Nvidias sonderbare Neuauflage

  5. Zenimax

    Mark Zuckerberg verteidigt Macher von VR-Brille bei Gericht

  6. Statt Begnadigung

    Snowdens Aufenthalt in Russland verlängert

  7. FAA

    Drohnenbetreiber muss 200.000 US-Dollar Geldstrafe zahlen

  8. Breath of the Wild

    Zelda bietet auf Switch bessere Auflösung und Sounds

  9. Android Wear 2.0

    Neue Tag-Heuer-Smartwatch soll im Mai 2017 erscheinen

  10. FTC

    Qualcomm soll Apple zu Exklusivvertrag gezwungen haben



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Tado im Test: Heizkörperthermostate mit effizientem Stalker-Modus
Tado im Test
Heizkörperthermostate mit effizientem Stalker-Modus
  1. Hausautomatisierung Google Nest kommt in deutsche Wohnzimmer
  2. Focalcrest Mixtile Hub soll inkompatible Produkte in Homekit einbinden
  3. Airbot LG stellt Roboter für Flughäfen vor

Routertest: Der nicht ganz so schnelle Linksys WRT3200ACM
Routertest
Der nicht ganz so schnelle Linksys WRT3200ACM
  1. Norton Core Symantec bietet sicheren Router mit Kreditkartenpflicht
  2. Routerfreiheit bei Vodafone Der Kampf um die eigene Telefonnummer
  3. Router-Schwachstellen 100.000 Kunden in Großbritannien von Störungen betroffen

U Ultra und U Play im Hands on: HTCs intelligente Smartphones hören immer zu
U Ultra und U Play im Hands on
HTCs intelligente Smartphones hören immer zu
  1. VR-Headset HTC stellt Kopfhörerband und Tracker für Vive vor
  2. HTC 10 Evo im Kurztest HTCs eigenwillige Evolution
  3. Virtual Reality HTC stellt Drahtlos-Kit für Vive vor

  1. Re: Werkschliessung im Moment eher ungewöhnlich

    bofhl | 12:53

  2. Re: Apple sorg für Ärger, weil Safari kein VP9 kann

    Seitan-Sushi-Fan | 12:53

  3. Re: Opportunisten bei der arbeit ..

    HansUlrich | 12:53

  4. Re: Völlig zu Recht bestraft!

    S-Talker | 12:52

  5. Re: Transfeindlichkeit hier im Forum

    Legacyleader | 12:50


  1. 13:01

  2. 12:46

  3. 12:31

  4. 12:10

  5. 11:54

  6. 11:36

  7. 11:26

  8. 11:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel