Testumgebung für sicheres DNS von DENIC, eco und BSI
Beim DENIC soll ein paralleles Domain Name System entstehen, in dem Registrare, Provider und Nutzer den Einsatz der DNS-Sicherheitserweiterung DNSSEC testen können. Die dort gesammelten Erfahrungen sollen bei der DNSSEC-Einführung helfen.
Das DeNIC, die zentrale Registrierungsstelle für die Top Level Domain .de, und der Provider-Branchenverband eco sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) wollen gemeinsam in einer Testumgebung die DNS-Sicherheitserweiterung DNSSEC testen. Das gab das DENIC bekannt.
Das "DNSSEC Testbed für Deutschland" genannte Projekt will mit allen Interessierten in einem "produktionsnahen Umfeld" den Betrieb eines per DNSSEC abgesicherten Domain Name System (DNS) testen. Dabei sollen Erfahrungen gesammelt werden, die Auskunft über die Auswirkungen dieser Umstellung auf die Sicherheit und die Zuverlässigkeit des Internets geben. "Das Verfahren birgt große Chancen, erfordert aber umfangreiche Veränderungen auf allen Ebenen des DNS", sagte eco-Geschäftsführer Harald A. Summa. "Es ist daher wichtig zu wissen, ob es sicher und zuverlässig funktioniert, bevor man es großflächig einführt". Die regelmäßigen Treffen der Beteiligten sollen in einem gemeinsamen Abschlussbericht münden, der Empfehlungen für den Einsatz und die Umstellung geben soll. Das erste Treffen soll am 2. Juli 2009 in den Räumen der DENIC in Frankfurt stattfinden.
Das DENIC erstellt für den Test eine parallele Infrastruktur für die maßgeblichen Nameserver der TLD .de und erweitert das Registry- und Registrar-Interface um die DNSSEC-Funktionen. Registrare erhalten damit einen erweiterter Zugang zum .de-System, über den sie DNSSEC nutzen und anbieten können. Außerdem lässt sich so die Generierung von Signaturen und die Weitergabe an die Registry testen. Provider und Endkunden greifen über die DNS-Resolver ihrer Geräte auf das Testbed zu, falls diese DNSSEC unterstützen. Weitere Details über die Testumgebung finden sich in den Rahmenbedingungen zur Durchführung eines DNSSEC Testbeds (PDF).
Im Juli 2008 offenbarte der Kaminsky-Report Sicherheitslücken im DNS (Cache Poisoning), die zu einer Manipulation zwischengespeicherter Einträge in einem DNS-Server führen können. DNS enthält keine Schutzmechanismen für seine Daten: Wird eine DNS-Nachricht beim Transport verfälscht, erkennt DNS die Manipulation nicht. DNSSEC erweitert DNS um solche Sicherungen: Es authentifiziert die DNS-Quelle gegenüber den Clients anhand von Signaturen. Bei der von der ICANN verwalteten DNS-Rootzone wird auch auf eine Absicherung mit DNSSEC hingearbeitet; wer die Schlüssel dafür verwaltet, darüber gibt es aber noch heftige Auseinansdersetzungen.
Siehe dazu auch:
- VeriSign soll DNS-Schlüsselwächter werden
- Holpriger Start für DNS Security bei .gov
- IP-Adressverwaltung empfiehlt rasche Einführung von DNS Security
- VeriSign will DNSSEC-Schlüssel (ein bisschen) teilen
- Kaminsky veröffentlicht letzte Details zur DNS-Schwachstelle
- Details zum DNS-Sicherheitsproblem veröffentlicht
- Cache-Poisoning-Gefahr heizt DNSSEC-Debatte an
- Reaktionen auf DNS-Angriffszenario bei deutschen CERTS und Netzknoten
- DNSSEC oder ...? Die Suche nach Absicherung gegen Angriffe auf DNS-Server
- Massives DNS-Sicherheitsproblem gefährdet das Internet
(rek)
