ICANN und die Sicherheit im Netz

Auf der derzeitigen ICANN-Tagung diskutieren die Experten über den Schutz vor Angriffen auf den Domain Name Service und das Internet im Allgemeinen.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Monika Ermert

ICANN wird das Problem Sicherheit im Netz nicht lösen. Am ersten von zwei Tagen ausführlicher Diskussionen über die Sicherheit des DNS sagte Steve Bellovin: "ICANN ist nur für einen sehr kleinen Teil von Fragen im Netz zuständig. Und selbst innerhalb dieses kleinen Bereichs kann ICANN die Probleme nicht alleine lösen." Die größten Gefahren sehen die DNS-Experten in Distributed Denial of Service Attacken gegen die zentralen Root-Name-Server, das Spoofing von Root-Server-Adressen und die Kompromittierung der Routing Informationen bei den ISPs.

Das DNS-Protokoll von 1996 hat eine Reihe von Macken, räumen die Techies ein. Dennoch funktioniert das System gut, auch wenn inzwischen viel "Müll" auf den zentralen Rootzone-Servern ankommt. Bis zu 50 Prozent aller Anfragen in die Rootzone-Server seien Anfragen nach Nicht-IANA-Einträgen oder ähnliche Irrläufer, wie Bind-Entwickler Paul Vixie betonte. Vixie ist Operator für den F-Root-Server. "Viele ISPs haben keine Kontrolle über ausgehende Anfragen", so seine Kritik. Zusammen mit Mark Kosters von VeriSign und dem Schweden Lars-Johan Liman stellte Vixie die Sicherungsvorkehrungen der Rootzone-Operator vor.

"Was die Standorte anbelangt, sind die Server gut, wenn auch nicht perfekt gesichert," sagte Liman. Vor allem die geografische Verteilung könnte noch besser sein, neun der Server stehen in den USA, drei in Europa und einer in Tokio. Als besonderen Vorzug des verteilten Systems bezeichneten Vixie und Limann allerdings das lokal jeweils sehr unterschiedliche organisatorische und technische Setup der Server. "Es ist beispielsweise kaum möglich, Universitäten, Regierungen und Firmen in verschiedenen Ländern zu dem gleichen Unsinn zu überreden", sagte Liman. Vixie hob die Vorzüge des Einsatzes von Open Source Software hervor. "Das ermöglicht im Gegensatz zu proprietärer Software Audits bezüglich der Qualität".

Denial-of-Service-Attacken und das Spoofing von Rootserver-Adressen halten die Experten für besonders gefährliche Angriffsmöglichkeiten auf das DNS, zumal auch die langwierige Einführung von DNSSec, das auch Bestandteil der neuesten Bind-Version Version 9 ist, zumindest gegen DDoS keinen Schutz darstellt. Gegen Denial of Service Attacken bietet das viel beschworene DNSSec aber nach Ansicht der Entwickler keinen Schutz.

Laut Bellovin müssen sich die ISPs und Operator in Zukunft auch vermehrt auf die Kompromittierung der Routing-Tabellen gefasst machen. Damit werden Anfragen an falsche Adressen gerichtet. Bisher sei das erstaunlicherweise noch nicht so oft vorgekommen, doch er rechne damit, dass sich das ändere, warnte Bellovin. "Das Design für ein bombensicheres System gibt es nicht", so Bellovin. "Hacker gehen nicht durch die Sicherheitskontrolle, sie gehen außen herum. Deshalb muß man das ganze System sichern."

Die ICANN selbst könne dazu allerdings wenig tun. "ICANN entwickelt keine Protokolle, ICANN betreibt nicht das Internet und ICANN regiert das Netz nicht," betonte Bellovin. Die Protokolle mache die IETF, ICANN könne allenfalls Anforderungen formulieren und vor allem mehr Sicherheit auf den verschiedenen Ebenen Rootserver-Registries, Registries-Registrars, Registrars-Kunden propagieren.

Aber ICANNs Sicherheitskonferenz stieß verschiedentlich auf Kritik. Im Anschluss an eine der Sitzungen kritisierte ARIN-Mitbegründer Randy Bush (AT&T) die ICANN scharf. ICANN habe panikartig praktisch alle führenden Ingenieure von ihrer wichtigen Arbeit zur Sicherheit des DNS abgezogen, "nur um Politikern und Markenrechtsjuristen DNS-Sicherheit zu erklären." Die Entwickler hätten die für Konferenzen zur Verfügung stehende Zeit und das Reisebudget für den ICANN-Auftritt ausgegeben. DNS-Mitentwickler Paul Mockapetris sagte dagegen, ICANN solle durchaus die Anforderungen an das System formulieren. Die Entwickler müssten sich inzwischen durchaus mit den politischen Diskussionen auseinandersetzen. (Monika Ermert) / (anw)