Workshop: Open Source-Tipp

Sichere Kette

Phishing- und Pharming-Angriffe dienen primär dazu, an persönliche Daten eines Benutzers zu gelangen. Durch gefälschte DNS-Einträge werden die Benutzer auf Dienste umgeleitet, die unter der Kontrolle eines Angreifers stehen. Mit den Domain Name System Security Extensions, kurz DNSSEC, werden solche Angriffe wesentlich schwieriger.
Speicher muss nicht nur laufend größer werden, sondern auch schneller. In Zeiten von Virtualisierung und immer leistungsfähigeren Rechnern, die zeitnah auf ... (mehr)

Nahezu alle Dienste in Rechnernetzwerken verlassen sich darauf, dass die abgefragten DNS-Server die richtigen Antworten zurückliefern. Also beispielsweise, welche IP-Adresse hinter einem bestimmten Rechnernamen steckt. Dabei garantiert das eingesetzte DNS-Protokoll weder die Authentizität noch die Integrität der zurückgelieferten Daten. Somit ist zu keiner Zeit sichergestellt, dass die erhaltene Antwort tatsächlich von dem Server stammt, der für den abgefragten Rechnernamen über eine entsprechende IP-Adresse in der eigenen DNS-Zonendatei verfügt, noch, dass die Antwort nicht vielleicht auf dem Weg durch verschiedene DNS-Caches manipuliert wurde und somit beim Empfänger eine andere Antwort ankommt, als ursprünglich losgeschickt wurde.

Abhilfe schaffen einige standardisierte Erweiterungen des DNS-Protokolls, Domain Name System Security Extensions (DNSSEC) [1] genannt. Diese sorgen für eine sogenannte Quellenauthentisierung. Das Prinzip basiert dabei auf kryptografischen Signaturen, die zusammen mit den eigentlich abgefragten DNS-Einträgen zurück an den Empfänger geschickt werden. Mit Hilfe dieser Signaturen können Clients die Authentizität und Integrität der erhaltenen DNS-Daten verifizieren.

Chain of Trust

Jeder Eintrag in einer DNS-Zone, auch als Resource Record (RR) bezeichnet, wird mit einer digitalen Signatur versehen, die mit Hilfe eines zuvor erzeugten kryptografischen Schüssels, dem sogenannten Zone Signing Key (ZSK), erzeugt wurde. Diese Signatur wird ebenfalls innerhalb der DNS-Zone in einem sogenannten Digital Signature Resource Record (RRSIG) hinterlegt. Um diese Signatur nun verifizieren zu können, wird der öffentliche Teil des ZSK benötigt. Dieser ist in der DNS-Zonendatei in einem DNS-KEY Resource Record vorhanden und steht somit für jederman zum Abruf bereit. Probieren Sie es einmal am Beispiel der Domäne fedoraproject.com aus:

$
...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Support-Ende von SMBv1

Mit dem aktuellen Update für Windows 10 und Windows Server 2016 steht eine Änderung ins Haus, die gerade für Benutzer älterer Linux-Distributionen große Auswirkungen hat. Nachdem Microsoft es über viele Jahre schon angekündigt hat, entfernt der Konzern mit dem aktuellen Update-Release den Support für das SMB-Protokoll 1. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2017

Microsite