Was ist DNSSEC?
DNSSEC (Domain Name System Security Extensions) ist eine Suite kryptografischer Erweiterungen zu DNS, die DNS-Antworten durch Hinzufügen digitaler Signaturen zu Aufzeichnungen authentifiziert, Angreifer daran hindert, DNS-Daten zu schmieden oder zu manipulieren.Wie DNSSEC funktioniert
Chain of Trust:
Root Zone (.)
├── Signs: .com zone key
│ └── KSK (Key Signing Key)
│ └── ZSK (Zone Signing Key)
│
TLD Zone (.com)
├── Signs: example.com zone key
│ └── DS Record points to child KSK
│
Domain Zone (example.com)
├── Signs: All DNS records
│ └── RRSIG (Record Signature)
│ └── DNSKEY (Public keys)
│
Resolver validates entire chain from root
DNSSEC Record Types
| Rekord | Zweck | Warenbezeichnung |
|---|---|---|
| RRSIG | Unterschrift | Cryptographische Signatur für jeden Datensatz |
| DNS | Öffentlicher Schlüssel | Public Signing Keys (KSK und ZSK) |
| DS | Mitglied der Delegation | Hash der Kinderzone KSK in der Elternzone |
| NSEC/NSEC3 | Authenticed Denial | Beweist, dass es keine Daten gibt |
Schlüsseltypen
| Schlüssel | Zweck | Rotationsfrequenz |
|---|---|---|
| KSK (Key Signing Key) | Signiert DNSKEY-Aufzeichnungen | Jährlich oder weniger |
| ZSK (Zone Signing Key) | Signiert alle anderen Aufzeichnungen | Monatlich bis vierteljährlich |
DNSSEC Validierungsprozess
1. Client fragt DNS-Resolver für example.com Ein Datensatz
2. Resolver holt eine Platte + RRSIG Signatur ab
3. Resolver holt DNSKEY, um RRSIG zu überprüfen
4. Resolver validiert DS-Datensatz gegen DNSKEY
5. Die Kette fährt fort, jede Ebene zu überprüfen
6. Wenn alle Unterschriften gültig sind, wird die Antwort bestätigt
Bedrohungen DNSSEC verhindert
| Angriff | Warenbezeichnung | DNSSEC Schutz |
|---|---|---|
| Cache Poisoning | Injizieren falscher Datensätze in Cache | Unterschriften erkennen Manipulation |
| Mann in der Mitte | Reaktionen abfangen und verändern | Cryptographische Validierung scheitert |
| DNS Spoofing | Rückgabe gefälschter IP-Adressen | Geschmiedete Aufzeichnungen haben keine gültige Unterschrift |
Durchführungsbetrachtungen
- Performance: Größere Antworten aufgrund von Signaturen (~1000-4000 Bytes vs ~100 Bytes)
- Key Management: Erfordert sichere Schlüsselerzeugung, Speicherung und Rotation
- Zone signieren: muss Zone zurücktreten, wenn Datensätze ändern
- **Resolver-Unterstützung* Clients benötigen DNSSEC-validierende Resolver
Bewährte Praktiken
1. **Benutzeralgorithmus 13 oder 14*: ECDSA bietet kleinere Signaturen als RSA
2. ** Automatische Schlüsseldrehung*: Verwenden Sie Werkzeuge wie OpenDNSSEC für Schlüssellebenszyklus
3. Monitorexpiration: RRSIG Signaturen haben Gültigkeitsdauern
4. Test vor dem Einsatz: Gültige Zone mit Werkzeugen wie dnsviz.net
5. **Plan für Notfälle*: Schlüsselübergabeverfahren dokumentiert haben
DNSSEC bietet einen wesentlichen Schutz für DNS-Integrität, um sicherzustellen, dass Nutzer legitime Ziele erreichen, anstatt angreifergesteuerte Server.