Original-URL des Artikels: https://www.golem.de/0905/67075.html    Veröffentlicht: 13.05.2009 11:27    Kurz-URL: https://glm.io/67075

DENIC testet DNSSEC

BSI hält Einführung von DNSSEC für unverzichtbar

DENIC, Eco-Verband und BSI wollen das Domain Name System (DNS) sicherer machen. Mit der geplanten Einführung von DNSSEC soll ein grundlegendes Problem des DNS-Systems beseitigt werden, auf dessen Gefahren der Sicherheitsexperte Dan Kaminsky im Juli 2008 hingewiesen hat.

Die Einführung von DNSSEC soll zunächst im Rahmen einer von der DENIC bereitgestellten Testumgebung erprobt werden. Operative und technische Erfahrungen sollen gesammelt und geprüft werden. "Das Verfahren birgt große Chancen, erfordert aber umfangreiche Veränderungen auf allen Ebenen des Domain Name Systems", erklärt Harald A. Summa, Geschäftsführer des eco-Verbandes. Es sei daher wichtig zu wissen, ob DNSSEC sicher und zuverlässig funktioniert, bevor es großflächig einführt wird.

DNSSEC wird in einer produktionsnahen Umgebung getestet, um Schwachstellen und Probleme zu identifizieren und Lösungen zu finden. Beim BSI hält man die Einführung von DNSSEC für unverzichtbar.

DNSSEC signiert die Nameserver-Einträge digital und stellt somit sicher, dass die Information unverändert beim Nutzer ankommt und zudem der Absender der Informationen sicher authentifiziert werden kann. Aktuell werden die entsprechenden Informationen unverschlüsselt ausgetauscht, so dass auf dem Transportweg beziehungsweise durch Cache-Poisoning in den Resolving-Nameservern Veränderungen vorgenommen und Nutzer auf manipulierte Seiten gelenkt werden können. Kaminsky zeigt, dass bekannte Schwachstellen im DNS-System für DNS-Cache-Poisoning-Angriffe ausgenutzt werden können.

Durch koordinierte Updates diverser Anbieter von DNS-Server konnte das Problem zwar kurzfristig eingeschränkt werden. Ohne Änderungen am DNS-Protokoll kann das Problem aber nicht komplett umgangen werden, weshalb die Einführung von DNSSEC erwogen wird.

Zum Start der Testphase laden die drei Initiatoren alle interessierten Anbieter und Nutzer am 2. Juli 2009 in die Räume der DENIC eG in Frankfurt ein.  (ji)


Verwandte Artikel:
BSI-Richtlinie: Der streng geheime Streit über die Routersicherheit   
(25.01.2018, https://glm.io/132363 )
Quad9: IBM startet sicheren und datenschutzfreundlichen DNS-Dienst   
(17.11.2017, https://glm.io/131208 )
DNS über TLS: Google bringt sichere DNS-Abfragen in Developer-Android   
(26.10.2017, https://glm.io/130827 )
DENIC erlaubt Providerwechsel mit AuthInfo   
(17.11.2008, https://glm.io/63585 )
APT28: Behörden untersuchen Angriff auf Regierungsnetzwerk   
(28.02.2018, https://glm.io/133063 )

Links zum Artikel:
DENIC eG: http://www.denic.de

© 1997–2020 Golem.de, https://www.golem.de/