Mehr Sicherheit für das DNS

Ab dem heutigen Mittwochnachmittag, 17 Uhr, liefert der DNS-Rootserver K, den die europäische IP-Adressvergabestelle RIPE betreibt, eine mit dem Sicherheitsprotokoll DNSSEC signierte DNS-Zone. Zwei Stunden vorher startete bereits der von der Universität Maryland betriebene D-Rootserver mit der Ausgabe signierter Antworten. Am frühen Abend kommt schließlich noch der E-Root-Server, der von der NASA betrieben wird, hinzu.

Damit liefern sieben der 13 zentralen Rootserver des Domain Name System (DNS), das für die Auflösung der Domainnamen im Internet zuständig ist, die signierten Antworten. Am Rande des 77. Treffens der Internet Engineering Task Force (IETF) diese Woche in Los Angeles berichteten die Internet Corporation for Assigned Names and Numbers (ICANN), VeriSign und die National Telecommunications and Information Administration (NTIA), dass die Einführung bislang ohne Probleme abgelaufen sei.

DNS Security Extensions, kurz DNSSEC, soll für mehr Sicherheit im DNS sorgen. DNSSEC authentifiziert mittels kryptographischer Signaturen die Antworten auf DNS-Anfragen, sodass sie sich unter anderem nicht mehr durch die von Dan Kaminski beschriebenen Sicherheitslücken des DNS-Protokolls (Cache Poisening) fälschen lassen. Antworten auf DNS-Anfragen werden dabei nur dann als authentisch anerkannt, wenn der Abgleich von öffentlichem und privatem Schlüssel klappt. Während der Einführungsphase lassen sich die Signaturen aber noch nicht validieren. Daher werden Nutzer von der Einführung von DNSSEC auf dem RIPE-Root-Server wohl auch erst einmal gar nichts mitbekommen. Zwar sind die Antwortpakete, die ja Signaturen enthalten, deutlich größer, bei korrekt aufgesetzten Resolvern ist das aber laut den Experten kein Problem. Vorerst kann man zudem auch noch auf einen der verbliebenen 6 Root-Server ohne DNSSEC zurückgreifen. Aus Vorsicht haben sich die ICANN, VeriSign und die NTIA sich für diese schrittweise Umstellung entschieden. Wenn alles nach Plan geht, soll ab dem 1. Juli der öffentliche Schlüssel verbreitet werden. Ab dann kann validiert werden. Wer dann Schwierigkeiten beim Schlüsselabgleich hat, für den kann plötzlich das Netz oder Teile unerreichbar sein.

Bei der Einführung bislang habe es praktisch keine Probleme gegeben, versicherte DNSSEC-Experte Jakob Schlyter vom Beratungsunternehmen Kirei gegenüber heise online. Ob Anfragen verstärkt an die Root-Server ohne DNSSEC umgeleitet wurden, dazu bedürfe es noch weiterer Analysen, sagte Schlyter, der sich allerdings überaus optimistisch gab, was die Einhaltung des weiteren Zeitplans anbetrifft. Gerade der Zeitplan des ICANN/VeriSign/NTIA-Teams wurde allerdings kritisiert in Los Angeles. Ab Mai, so deren Ankündigung, könnten die Länderadressverwalter, deren Zonen schon signiert sind (etwa .se oder .cz), ihre Schlüssel hinterlegen. Das Ziel bei DNSSEC ist die Signierung aller Ebenen. Die Ankündigung kam aus Sicht mancher Verwalter von Top Level Domains (TLDs) allerdings reichlich spät.

Eine Mahnung zur Vorsicht bei Einführung von DNSSEC kam erneut von Ingenieuren der britischen Nominet. Zusammen mit Kollegen aus Schweden und Australien hatten diese ab dem Sommer sprunghaft gewachsene Datenverkehre konstatiert und analysiert, dass diese mit der alle sechs Monate erfolgenden Neusignierung von verschiedener beim RIPE geführter TLDs zusammenhingen. Was sich zuerst wie eine Attacke (Amplification Attack) ausnahm, rührte von einem Software Bug in BIND beziehungsweise dnssec-conf, das veraltete Angaben zur Quelle enthielt, wo neues Schlüsselmaterial zu finden sein sollte. Das setzte endlos wiederholte Abfragen nach dem neuen DNSKey in Gang. Inzwischen sei das Problem behoben, sagte Roy Arends von Nominet in Los Angeles. Er drängte allerdings, so rasch wie möglich die nächste Bind-Generation BIND 10 abzuschließen. Schlyter unterstrich gegenüber heise online, dass man bei der Signierung der DNS-Rootzone auf häufige Neusignierungen verzichten wolle.

Siehe dazu auch:

• ICANN-Chef eckt mit DNS-Sicherheitswarnung an
• BSI-Studie: Viele Heimrouter beherrschen kein DNSsec
• DNS: Sieben Schlüsselbewahrer für die Rootzone
• DNSSEC: Größte Veränderung in der Geschichte des DNS

• Kaminsky veröffentlicht letzte Details zur DNS-Schwachstelle
• Massives DNS-Sicherheitsproblem gefährdet das Internet

(jk)