Cache-Poisoning-Gefahr heizt DNSSEC-Debatte an
Gleich für mehrere bevorstehende Treffen von Internet-Experten sind nun zusätzliche Diskussionsrunden zur Absicherung von DNS Servern durch eine eigene Public-Key-Infrastruktur für DNSSEC geplant.
- Monika Ermert
- Daniel Bachfeld
Die kürzlich verbreitete Warnmeldung zur Verwundbarkeit rekursiver DNS-Server durch Cache Poisoning heizt die Debatte um die Absicherung von DNS-Servern durch eine eigene Public-Key-Infrastruktur an. Gleich für mehrere bevorstehende Treffen der Experten sind nun zusätzliche Diskussionsrunden für das so genannte DNS Security Extensions Protokol (DNSSEC) geplant, das eine solche Infrastruktur schaffen soll. DNSSEC ermöglicht, die Authentizität eines antwortenden Nameservers anhand eines Schlüsselpaar-Abgleiches zu überprüfen und dadurch nicht-autoritative Antworten zu vermeiden.
Ende des Monats soll bei der Internet Engineering Task Force in Dublin darüber diskutiert werden, im Oktober beim Treffen der North American Network Operator Group (NANOG) in Los Angeles und bei der Konferenz der IP-Adressverwalter des Reseaux IP Europeen (RIPE) in Dubai. "Was muss denn der Verwalter einer kleinen ccTLD – oder einer anderen kleinen Zone eigentlich tun, um DNSSEC einzuführen?" fragte ein Experte auf der NANOG-Mailinglist.
"Der Aufwand für die Einführung von DNSSEC über das ganze DNS hinweg ist dabei nicht einfach abschätzbar", sagt Hans-Peter Dittler, Geschäftsführer der Braintec Netzwerk Consulting in Karlsruhe. Er sei vom Aufwand her durchaus mit der Einführung des neuen IP-Adressprotokolls IPv6 vergleichbar, insbesondere wenn die Vertrauenskette wirklich von der kleinsten Domain bis zur Rootzone geschlossen werden sollte.
"Bei der Registry braucht man ein bisschen Hardware und ein bisschen Speicherplatz", sagt Dittler. Aber auch alle Registrare müssen ihre Systeme entsprechend erweitern. Zugleich sei fraglich, ob der mit einfachem Passwort geschützte Zugang zum eigenen Domainaccount des Nutzers dann noch ausreiche. Um den DNSSEC-Check auf der Seite des Anfragenden zu ermöglichen, müssten schließlich auch die Resolver, mindestens beim jeweiligen Internetzugangsprovider, entsprechend nachgerüstet werden.
Eine mögliche Zwischenlösung auf dem Weg zu DNSSEC sieht Dittler in einer Signierung weniger, besonders gefährdeter Domains, etwa der von Banken, innerhalb der dann ebenfalls signierten Länderdomains (wie .de) oder generischen Top Level Domainbereichen wie (.org).
Werkzeuge, die den DNSSEC-Einsatz einfacher machen sollen, gibt es inzwischen bereits in beträchtlicher Zahl, eine Liste findet sich beispielsweise hier und hier. IANA führt außerdem eine Liste nur testweise signierter Zonen und hat inzwischen auch den Auftrag, ein so genanntes Interim Trust Anchor Repository (ITAR) einzurichten, auf der zentral die öffentlichen Schlüssel signierter Zonen abgeholt werden können. TAR ist als Interimslösung bis zur Signierung der Root gedacht, die politisch umstritten ist.
Aktuell sind mit Schweden, Bulgarien, Brasilien und Puerto Rico vier Länderadresszonen signiert, allerdings signieren nicht alle vollständig. Nominet will rasch seinen DNSSEC-Test abschließen und dann signieren, Public Interest Registry kündigte kürzlich auch die Signierung von .org als erster generischer Domain an.
Trotz der neu entfachten Debatte gibt es allerdings auch Skepsis, ob die Kosten-Nutzen-Rechnung für DNSSEC aufgeht. Große Registries, die insbesondere mit beträchtlichem zusätzlichem Kunden-Support und damit hohem Personalaufwand rechnen müssten, sind zögerlich. Gerne verweisen sie darauf, dass DNSSEC kein Allheilmittel für die Absicherung des DNS ist. "Nach allem, was wir wissen, wäre der jüngste Angriff auf Server der IANA und ICANN nicht durch DNSSEC verhindert worden, denn dabei wurden die Domains beim Registrar gekapert", sagt Dittler. Verhindert werden könne eben nur eine Manipulation auf der Strecke, nicht an der Quelle selbst. Die Umleitung des Datenverkehrs von Youtube kürzlich wäre ebenfalls durch eine DNSSEC-Signatur nicht verhindert worden. "Das war ein reines Routing-Problem." Auch gegen die Fälschung der BGP-Routen suchen die Experten gerade ein Mittel – dafür braucht es ein weiteres PKI-System, parallel zu DNSSEC.
Siehe dazu auch:
- Reaktionen auf DNS-Angriffszenario bei deutschen CERTS und Netzknoten, Meldung auf heise Security
- Massives DNS-Sicherheitsproblem gefährdet das Internet, Meldung auf heise Security
- IGF: Politische und technische Probleme bei DNSSEC, Meldung auf heise online
(Monika Ermert)/ (dab)
