DNSsec-Signaturen überprüfen mit Bind
posted on
Wer einen authoritativen Nameserver betreibt sollte die eigenen Zonen mit DNSsec sichern. Hier zeige ich euch, wie ihr einen rekursiven Nameserver so einrichtet, dass der DNSsec-Signaturen prüft. Was ist der Unterschied? Authoritative Nameserver sorgen beim Besitzer einer Domain, dass diese gefunden werden kann. Rekursive Nameserver suchen für einen Internetanschluss die richtige Verbindung zu fremden Domains.
Warum soll ich DNSsec aktivieren?
- Ich schütze mich damit gegen Angriffe auf Schwachstellen des DNS-Protokolls. 2008 entdeckte Dan Kaminsky eine Sicherheitslücke bei der über Cache Poisoning DNS-Einträge gefälscht werden können. Ohne DNSsec ist man nicht mehr sicher, dass das DNS die richtige IP-Adresse zu einer Domain liefert.
- Ich kann das DNS nutzen um andere Daten gegen Manipulation geschützt ablegen. Die ssh-Fingerprints-Einträge im DNS sind nicht mehr fälschbar; das Zertifikat für meinen Webserver lässt sich auch überprüfen, wenn ich der ausstellenden Zertifizierungsstelle nicht vertraue. Sogar selbst signierte Zertifikate lassen sich überprüfen. DANE oder TLSA heißt der Standard. Er hat das Potential die Verbreitung von Kryptografie im Internet zu fördern. Das erste Mal überhaupt können nun [Zertifikate beim Mailserverbetrieb wirklich getestet werden.)[https://www.heise.de/netze/meldung/Verschluesselter-Mail-Transport-Posteo-setzt-als-erster-Provider-DANE-ein-2187144.html) Zuvor musste ein Mailserver jedem Zertifikat vertrauen oder konnte nur Verbindungen zu einem engen Zirkel anderer Provider testen.
- DNSsec schützt gegen Spam, den der Provider anzeigt, wenn ich mich bei einer Webadresse vertippe. Immer mehr Provider fälschen DNS-Ergebnisse und zwingen ihre Nutzer bei Tippfehlern in der Webadresse damit auf die eigenen Werbeseiten. Im Web nervt dies nur, andere Dienste haben viel größere Probleme, wenn eine nicht existierende Domain aufgelöst werden kann. Das Internet ist nicht nur Web!
- Ich lerne mehr über die Technik, die ich nutze. Ganz nach persönlicher Einstellung kein Argument oder das wichtigste von allen. Im Moment sind Admins, die sich mit DNSsec auskennen, ihren Kollegen noch zwei Kopflängen voraus. Wer Erfahrung hat kann damit als Experte punkten und blickt in die Zukunft des Internets.