Säkerhetstillägg för domännamnssystem



Internet är en outtömlig källa till kunskap, även när det gäller Säkerhetstillägg för domännamnssystem. Århundraden av mänsklig kunskap om Säkerhetstillägg för domännamnssystem har lagts och läggs fortfarande på nätet, och det är just därför som det är så svårt att få tillgång till det, eftersom det finns platser där det kan vara svårt eller till och med omöjligt att navigera. Vårt förslag är att du inte ska skeppsbrutet i ett hav av uppgifter om Säkerhetstillägg för domännamnssystem och att du snabbt och effektivt ska kunna nå alla visdomens hamnar.

Med detta mål i åtanke har vi gjort något som går utöver det uppenbara, nämligen att samla in den mest aktuella och bäst förklarade informationen om Säkerhetstillägg för domännamnssystem. Vi har också ordnat den på ett sätt som gör den lätt att läsa, med en minimalistisk och trevlig design som garanterar den bästa användarupplevelsen och den kortaste laddningstiden. Vi gör det enkelt för dig så att allt du behöver oroa dig för är att lära dig allt om Säkerhetstillägg för domännamnssystem! Så om du tycker att vi har uppnått vårt syfte och du redan vet vad du ville veta om Säkerhetstillägg för domännamnssystem, vill vi gärna ha dig tillbaka i sapientiasv.com:s lugna hav när din hunger efter kunskap väcks på nytt.

DNSSEC i TCP / IP-protokollstacken :
Ansökan DNSSEC
transport UDP TCP
Internet IP ( IPv4 , IPv6 )
Nätverkstillgång Ethernet Token
buss
Token
ring
FDDI ...

De Domain Name System Security Extensions ( DNSSEC ) är en serie Internet standarder som add säkerhetsmekanismer till den Domain Name System (DNS) för att garantera äkthet och integritet data. En DNS-deltagare kan använda detta för att verifiera att mottagna DNS-zondata faktiskt är identiska med de som är auktoriserade av skaparen av zonen. DNSSEC utvecklades som ett botemedel mot cacheförgiftning . Det säkerställer överföringen av resursposter med digitala signaturer . Det finns ingen autentisering av servrar eller klienter.

DNSSEC tillhandahåller inte sekretess , så DNS-data krypteras inte .

Översikt

DNSSEC använder ett asymmetriskt kryptosystem . "Ägaren" av informationen - vanligtvis huvudservern som den säkrade zonen är på - signerade varje enskild post med sin hemliga nyckel (Engl. Privat nyckel ). DNS-klienter kan använda denna signatur med den offentliga nyckeln (Engl. Public key ) som ägaren validerar och verifierar äkthet och integritet. DNSSEC kräver utökat DNS- tillägg , som kan användas för att överföra ytterligare parametrar i DNS-meddelanden. EDNS tar också bort 512 bytes storleksgräns för DNS-meddelanden över UDP . Betydligt längre DNS-meddelanden krävs för att sända nycklar och signaturer.

Den ursprungliga DNSSEC-versionen, definierad i RFC 2535 i mars 1999 , visade sig vara olämplig i praktiken eftersom nyckelhanteringen var för komplex. Spridningen av DNSSEC försenades med flera år tills en helt ny version publicerades 2005. För att utesluta inkompatibilitet med befintlig programvara har nya resursposttyper införts ( RRSIG ersätter SIG , DNSKEY ersätter KEY , NSEC ersätter NXT). I oktober 2005 undertecknades en toppdomän för första gången digitalt med den svenska .se- domänen . Sedan maj 2011 har DNSSEC också funnits .de domäner i princip efter zon promenader var försvåras genom införandet av NSEC3 Resource Record i mars 2008.

Den 5 maj 2010 introducerades DNSSEC på alla 13 rotservrarna ; den 15 juli publicerades rotzonnyckeln och DNS kan därmed valideras från rotzonen. 90% av toppdomänerna är nu signerade med DNSSEC och markerade som signerade i rotzonen. Några testar fortfarande DNSSEC utan en post i rotzonen. Spridningen av DNSSEC på domännivå är nu 50% eller mer för vissa toppdomäner. I genomsnitt valideras cirka 10% av domänerna.

funktionalitet

Information ges i Resource Records (RR) på DNS . DNSSEC säkerställer äktheten av denna information med hjälp av en digital signatur . Ägaren av DNS-information är huvudservern som är auktoritativ för den zon där informationen finns. Är en separat zon för varje säkrad zonnyckel (engl.: Zonsigneringsnyckel ) (ett par bestående av den offentliga och privata nyckeln) genereras. Den offentliga delen av zonnyckeln ingår i zonfilen som en DNSKEY-resurspost . Varje enskild RR i denna zon signeras digitalt med den privata nyckeln. En ny RR-typ tillhandahålls för detta ändamål, RRSIG Resource Record , som innehåller signaturen för tillhörande DNS-post. Exempel på en signerad A-post:

nsf.example.org. A       172.27.182.17
                     RRSIG   A 1 3 1000 20060616062444 (
                                        20060517062444 9927 example.org.
                                        mMBIXxXU6buN53GWHTPpwEbse4aR2gNI8rgs
                                        g9/x1We23K3gkO5DBjFdty27Fj4FMbQzg0uB
                                        uv9aFcPaMyILJg== )

Förutom den faktiska resursposten levereras tillhörande RRSIG-RR också med varje transaktion . Slavarna tar emot den under zonöverföringen ; den lagras i cachen med rekursiv upplösning. Slutligen slutar det med den begärande lösaren. Detta kan sedan validera signaturen med hjälp av den offentliga zonnyckeln.

En resurspost (närmare bestämt: en resurspostuppsättning - dvs. en uppsättning RR av samma typ och namn) kan också signeras flera gånger (med olika nycklar). Det är vettigt om giltighetstiden för en nyckel är på väg att upphöra och du vill publicera en efterträdare i ett tidigt skede. Nycklarna identifieras med ett nummer, nyckelmärket . I DNSSEC innehåller en digital signatur också det datum från vilket den är giltig och ett slutdatum från vilket den blir ogiltig. Den algoritm som används anges också.

Nyckelhantering

För att underlätta Keymanagement var förutom nyckeln för att underteckna av zonen ( zon signeringsnyckel , ZSK) ett syntaktiskt identiskt Key signaturnyckel (engl:. Nyckelsigneringsnyckel , KSK) är definierade. Bit 7 ställs in i flaggfältet för DNSKEY-posten om nyckeln den innehåller används för att signera resurspostuppsättningar i zonen. Detta gäller KSK: er och ZSK: er: DNSKEY-poster signeras med KSK: er och alla andra poster är signerade med ZSK: er. Bit 15 (Secure Entry Point) ställs in om nyckeln är startpunkten för validering av zonen - detta gäller KSK. Eftersom andra bitar ännu inte har använts har flaggfältet värdet 256 för ZSK och 257 för KSK.

Endast DNSKEY-poster som innehåller de verkliga zonnycklarna signeras med denna KSK. En sådan nyckelsignaturnyckel är för bildandet av förtroendekedjor (ger.: Förtroendekedjor används). Ett hashvärde för KSK lagras i en DNS-post i zonen på högre nivå, vilket säkerställer äktheten för zonnycklarna i den signerade DNSKEY-posten. Till skillnad från den ofta förnyade zonnyckeln har en KSK lång livslängd.

Utvärdering av resolver

DNS-resolvers på slutenheter som arbetsstationer eller smartphones ( kallas stub resolvers i DNS-terminologi ) kan vanligtvis inte validera digitalt signerade DNS-poster. Enligt den nuvarande dominerande DNS-filosofin är stub resolvers mycket enkelt strukturerade program som är beroende av en rekursiv namnserver för fullständig namnupplösning . En stub-resolver som vill lösa ett namn skickar en motsvarande begäran till en namnserver i det lokala nätverket eller i nätverk hos Internet-leverantören . Genom att ställa in DO-biten ( DNSSEC OK ) i DNS-rubriken kan resolvern informera namnservern om att valideringen ska utföras. För att göra detta måste stub-upplösaren stödja utökat DNS- tillägg , eftersom DO-biten specificerades där. Emellertid kan den rekursiva namnservern också konfigureras för att alltid utföra valideringen, oavsett närvaron eller innehållet i DO-biten. Om autentiseringen lyckas ställer servern in AD-bit ( autentiserad data ) i svaret . Om autentiseringen misslyckas returnerar servern ett allmänt fel. Stub resolver kan inte säga om felet utlöstes av en misslyckad validering eller av en annan orsak, till exempel nätverksfel eller namnserverfel för det begärda domännamnet.

Ej existerande namn

Du kan också använda DNSSEC för att bevisa att ett visst namn inte finns. För detta ändamål, när en zonfil signeras, sorteras alla poster alfabetiskt och länkas via en NSEC-resurspost . Efternamnet pekar på det första, så att en ringformad kedja skapas. Exempel: namn1 namn2, namn2 namn5, namn5 namn1. För varje namn finns exakt en NSEC-post, som också undertecknas. Om till exempel det obefintliga namnet3 nu begärs av en resolver , levererar namnservern ett negativt svar och även NSEC- postnamnet2 namn5 . Eftersom denna NSEC är signerad kan resolvern vara säker på att det inte finns någon ytterligare post mellan namn2 och namn5 och att namn3 inte finns. Exempel:

   name2       A       172.27.182.17
               RRSIG   A 1 3    1000 20060616062444 (
                                20060517062444 9927 example.org.
                                mMBIXxXU6buN53GWHTPpwEbse4aR2gNI8rgs
                                g9/x1We23K3gkO5DBjFdty27Fj4FMbQzg0uB
                                uv9aFcPaMyILJg== )
               NSEC    name5  A RRSIG NSEC
               RRSIG   NSEC 1 3 10000 20060616062444 (
                                20060517062444 9927 example.org.
                                vlDpyqQF8b6VEtRRt5dZd+R2IVonLaJvpr6n
                                5flYJ90JYtaiwhPIQGsp44BH0pvcBCt9e/eD
                                QoBh4eGjbW49Yw== )

Sammankopplingen av alla poster i en zon gör det möjligt att läsa upp hela innehållet iterativt genom zonvandring . Detta kan avslöja säkerhetsrelevant eller konfidentiell information för en angripare, till exempel en lista över alla kunddomäner. I mars 2008 definierades NSEC3-posten med RFC5155 , som i stället för vanlig text domännamn returnerar hash-värdena för domännamn och därmed försvårar zonvandring. En angripare måste utföra en beräkningsintensiv ordboksattack för att få domännamnen från hashvärdena. För att göra detta ännu svårare planeras en upprepad applicering av hashfunktionen samt användning av salt . BIND stöder NSEC3 från version 9.6 och NSD från version 3.1.

Tillitskedja

För att säkerställa säker autentisering måste den offentliga nyckeln till en zon (eller dess hash ) anges manuellt i den centrala servern som ska lösa namnet. Eftersom varje zon normalt har en annan nyckel, som också ändras regelbundet, kan nyckelhantering vara mycket komplex.

Bildandet av förtroendekedjor (ger.: Chains of Trust ) underlättar nyckelhantering dramatiskt. En zon som ligger så högt som möjligt i DNS-trädet innehåller de offentliga nycklarna för dess delegerade underzoner och signerar dem digitalt. Underzonerna kan i sin tur innehålla de signerade offentliga nycklarna för deras underordnade zoner, etc. För en sådan kedja av förtroende behöver endast den offentliga nyckeln i den översta zonen vara känd i upplösaren för en central namnserver. Det totala beloppet för det säkrade med en enda nyckeluppsättning av zoner som en säkerhetsö (ger.: Säkerhets Island kallas). Helst finns det bara en sådan säkerhetsö för hela namnområdet och därmed bara en betrodd nyckel . DS Resource Records används för att skapa förtroendekedjor . En hash av en nyckel som definierats i DS Resource Record motsvarar nyckeltecknarens nyckel i den underordnade zonen.

Bildandet av kedjor av förtroende förenklar nyckelhantering avsevärt, men i värsta fall måste resolverna springa genom kedjan från botten till toppzonen och utföra ett stort antal kryptografiska operationer. Exempel:

Det finns två zoner: föräldrazonen exempel.org. och den delegerade delzonen filiale1.example.org. . Båda zonerna är anslutna till en kedja av förtroende via en DS-post, så att bara nyckeln till den översta zonen exempel.org. måste vara känd som en betrodd nyckel.

Förälderzonen exempel.org. har nyckelsignaturnyckeln:

  example.org. IN DNSKEY 257 3 1 AQOW4333ZLdOHLRk+3Xe...           (gekürzt)

och zonknappen

  example.org. IN DNSKEY 256 3 1 AQO+/cFBgAR4HbTlBSoP...           (gekürzt)

I exempel.org finns en delegeringspunkt till underzonen filiale1.exempel.org. med zonnyckeln från exempel.org. är signerad:

 filiale1   DS      52037 1 1 ( 378929E92D7DA04267EE87E802D75C5CA1B5D280 )
            RRSIG   DS 1 3 1000 20060615115919 (
                                20060516115919 9927 example.org.
                                AnMxvfH64hbf3OsPzTXz4B7w3vZ9ZCto/ugw
                                AeKpbd0uijPe8Q== )                     (gekürzt)

DS-posten innehåller en hash av nyckelsigneringsnyckeln för den underordnade zonen filiale1.example.org. .

Barnet zonen filiale1.example.org. har nyckelsignaturnyckeln:

 filiale1.example.org. DNSKEY 257 3 1 AQOtPCW58VdBIOnKJaOzd...   (gekürzt)

I resolvers, nyckelsigneringsnyckeln för den högre nivån zonen example.org. anges manuellt som betrodda nycklar :

 trusted-keys { "example.org." 257 3 1 "AQOW4333ZLdOH+..."; };  (gekürzt)

Ett konkret exempel på .de TLD

De rotnamnsservrar har stött DNSSEC sedan 2010. Följande åtgärder har vidtagits för att säkra en .de domän med en kedja av förtroende:

  • Rotservrarna levererar en DS-post för de. Zonen. Detta innehåller en hash av den tyska nyckelsigneringsnyckeln :

de. IN DS 24220 8 2 FFE926ACA67ED94089390250F1F294AC84A6D84F9121DF73A79E439F 42E820C2 . DS-posten signeras med zonzonnyckeln i rotzonen.

  • Nyckelsigneringsnyckeln (igenkännbar med nummer 257) i den tyska zonen (vars hash finns i DS-posten på rotservrarna) är

de. IN DNSKEY 257 3 8 AwEAAYbcKo2IA8l6arSIiSC + l97v2vgNXrxjBJ ... (förkortat)

  • Med den här nyckelsigneringsnyckeln undertecknas DNSKEY-posten för den tyska zonen (via RRSIG), som innehåller zonnyckeln (igenkännbar med siffran 256). En resolver vet nu att den tyska zonnyckeln är äkta, eftersom den är skyddad med en nyckel som bekräftas som äkta av rotservrarna.

de. IN DNSKEY 256 3 8 AwEAAZ4e4Nf1SpBWMhSK6ha + YeJyq ... (förkortat)

  • För att säkerställa en tysk domän via DNSSEC, en DS rekord med hash av nyckelsigneringsnyckel för den domänen skapas i de. Zonen förutom den vanliga delegation rekord (NS) . En resolver kan nu i sin tur känna igen äktheten hos domänens zonnyckel, eftersom DNSKEY-posten som innehåller zonnyckeln undertecknades av en nyckel (RRSIG!) Vars hash innehas av DENIC .

Gränser för DNSSEC

Endast namnserverfrågorna skyddas av DNSSEC. Detta är främst användbart i samband med kryptering av överföringsprotokoll som TLS . Kombinationen av DNSSEC med TLS har dock fortfarande svaga punkter. Korrupt dirigering kan till exempel leverera paket som skickas till en destinations-IP-adress korrekt bestämd med DNSSEC till fel dator. Om den här datorn kan identifiera sig genom ett komprometterat eller av misstag utfärdat certifikat kommer detta inte att märkas. Det är här DANE kommer till exempel för att säkerställa interaktionen mellan DNSSEC och TLS.

Säkerhetsrelevanta sårbarheter i DNSSEC

  • Denial-of-service- attacker på namnservrar förhindras inte av DNSSEC, men görs faktiskt enklare på grund av den högre belastningen på servrarna.
  • DNS-förstärkningsattacker med den offentliga DNS-infrastrukturen blir effektivare eftersom DNS-svar med DNSSEC är betydligt längre.
  • De offentliga nycklarna för verifiering distribueras också via DNS-systemet. Detta skapar möjligheter att attackera kedjorna av förtroende. Detta kan förhindras om den offentliga nyckeln till förtroendets ursprung (Trust Anchor) distribueras på ett annat sätt än DNS-infrastrukturen (till exempel med operativsystemet eller servern eller klientprogramvaran).
  • Med hjälp av DNSSEC Walking kan innehållet i zoner läsas ut helt (försvåras av NSEC3 ).
  • Eftersom stub-resolvers ofta inte validerar DNS-svaren själva kan en attack ske på kommunikationsvägen till din rekursiva namnserver. Den rekursiva namnservern i sig kan också äventyras.

Hantering av rotzonnyckeln

För närvarande hanteras DNSSEC-nyckeln för rotzonen endast på två amerikanska platser. Enligt många RIPE- experter är en plats utanför USA nödvändig. Kritiker anklagar ICANN för att äventyra Internets oberoende genom DNSSEC-nyckelhantering i USA. ICANN hade tänkt sig det amerikanska företaget Verisign som den enda signeringspartnern. År 2007 begärde USA: s inrikesdepartement att nyckelhantering skulle vara helt i händerna på den amerikanska regeringen. Det diskuterades också om ICANN-undergruppen Internet Assigned Numbers Authority (IANA) skulle ha till uppgift att hantera rotnyckeln. Den amerikanska regeringen förbjöd ursprungligen publiceringen av ett motsvarande ICANN-förslag. ICANN är formellt oberoende, men den amerikanska regeringen behöll tillsynen fram till september 2016.

Se även

litteratur

  • Christoph Sorge, Nils Gruschka, Luigi Lo Iacono: Säkerhet i kommunikationsnätverk. Oldenbourg Wissenschaftsverlag, München 2013, ISBN 978-3-486-72016-7 .

Normer och standarder

webb-länkar

Individuella bevis

  1. DNSSEC: www.denic.de. I: DENIC . 12 maj 2014, nås 12 maj 2014 .
  2. DNSSEC startade i rotzonen . Heise nyheter
  3. ^ TLD DNSSEC-rapport. I: ICANN . 21 november 2017, nås 21 november 2017 .
  4. .nl statistik och data - Insikt i användningen av .nl. I: SIDN . 21 november 2017, nås 21 november 2017 .
  5. Instrumentpanel - CZ. Statistik. I: CZ.NIC . 21 november 2017, nås 21 november 2017 .
  6. Eurid 2016 - Årsredovisning 2016. I: EURid . 3 april 2017, nås 21 november 2017 .
  7. DNSSEC Validation Capability Metrics - Användning av DNSSEC Validation for World (XA). I: APNIC . 21 november 2017, nås 21 november 2017 .
  8. DNS-säkerhetsalgoritmnummer
  9. DNSSEC på alla rotservrar . Heise News, 6 maj 2010
  10. Fråga om makt - Vem styr internet I: c't , 5/2010
  11. ^ IGF: Politiska och tekniska problem med DNSSEC . Heise News, 14 november 2007
  12. Department of Homeland Security vill ha huvudnyckeln för DNS . Heise News, 29 mars 2007
  13. VeriSign vill dela DNSSEC-nycklar (lite) . Heise News, 3 oktober 2008
  14. Monika Ermert: Senaste formella bandet till historisk amerikansk internetkontroll klipps. I: Intellektuell äganderätt. 1 oktober 2016, nås 28 november 2016 .

Opiniones de nuestros usuarios

Sebastian Nyberg

Det här inlägget på Säkerhetstillägg för domännamnssystem har fått mig att vinna en satsning, vilket är mindre än att ge det ett bra betyg.

Marcus Larsson

Jag vet inte hur jag kom till den här Säkerhetstillägg för domännamnssystem-artikeln, men jag gillade den verkligen.

Maja Westman

Bra inlägg om Säkerhetstillägg för domännamnssystem.

Inga Dahlin

Det här inlägget om Säkerhetstillägg för domännamnssystem var precis vad jag ville hitta.