Workshop: Open Source-Tipp

Sichere Kette

Phishing- und Pharming-Angriffe dienen primär dazu, an persönliche Daten eines Benutzers zu gelangen. Durch gefälschte DNS-Einträge werden die Benutzer auf Dienste umgeleitet, die unter der Kontrolle eines Angreifers stehen. Mit den Domain Name System Security Extensions, kurz DNSSEC, werden solche Angriffe wesentlich schwieriger.
Speicher muss nicht nur laufend größer werden, sondern auch schneller. In Zeiten von Virtualisierung und immer leistungsfähigeren Rechnern, die zeitnah auf ... (mehr)

Nahezu alle Dienste in Rechnernetzwerken verlassen sich darauf, dass die abgefragten DNS-Server die richtigen Antworten zurückliefern. Also beispielsweise, welche IP-Adresse hinter einem bestimmten Rechnernamen steckt. Dabei garantiert das eingesetzte DNS-Protokoll weder die Authentizität noch die Integrität der zurückgelieferten Daten. Somit ist zu keiner Zeit sichergestellt, dass die erhaltene Antwort tatsächlich von dem Server stammt, der für den abgefragten Rechnernamen über eine entsprechende IP-Adresse in der eigenen DNS-Zonendatei verfügt, noch, dass die Antwort nicht vielleicht auf dem Weg durch verschiedene DNS-Caches manipuliert wurde und somit beim Empfänger eine andere Antwort ankommt, als ursprünglich losgeschickt wurde.

Abhilfe schaffen einige standardisierte Erweiterungen des DNS-Protokolls, Domain Name System Security Extensions (DNSSEC) [1] genannt. Diese sorgen für eine sogenannte Quellenauthentisierung. Das Prinzip basiert dabei auf kryptografischen Signaturen, die zusammen mit den eigentlich abgefragten DNS-Einträgen zurück an den Empfänger geschickt werden. Mit Hilfe dieser Signaturen können Clients die Authentizität und Integrität der erhaltenen DNS-Daten verifizieren.

Chain of Trust

Jeder Eintrag in einer DNS-Zone, auch als Resource Record (RR) bezeichnet, wird mit einer digitalen Signatur versehen, die mit Hilfe eines zuvor erzeugten kryptografischen Schüssels, dem sogenannten Zone Signing Key (ZSK), erzeugt wurde. Diese Signatur wird ebenfalls innerhalb der DNS-Zone in einem sogenannten Digital Signature Resource Record (RRSIG) hinterlegt. Um diese Signatur nun verifizieren zu können, wird der öffentliche Teil des ZSK benötigt. Dieser ist in der DNS-Zonendatei in einem DNS-KEY Resource Record vorhanden und steht somit für jederman zum Abruf bereit. Probieren Sie es einmal am Beispiel der Domäne fedoraproject.com aus:

$
...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Rechneranalyse mit Microsoft-Sysinternals-Tools

Der Rechner verhält sich eigenartig oder Sie haben eine unbekannte Applikation im Task Manager entdeckt und möchten erfahren, worum es sich dabei genau handelt und ob sie möglicherweise gefährlich ist? In so einem Fall helfen die Sysinternals-Tools von Microsoft. Dieser Beitrag stellt die drei Werkzeuge Autoruns, Process Explorer und TCPView vor. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2018