Einführung in DNSSEC: Was Einsteiger wissen müssen

DNSSEC steht für Domain Name System Security Extensions. Hinter dem kompliziert erscheinenden Begriff steckt eine Reihe von Erweiterungen, die die Sicherheit des Domain Name Systems (DNS) verbessern sollen. Durch Überprüfung der Echtheit und Unversehrtheit der abgefragten DNS-Daten soll sichergestellt werden, dass DNS-Einträge nicht verfälscht wurden.

Aber warum ist das überhaupt relevant? Betrachten wir dafür zunächst, welche Schwachstelle bei bisherigen DNS-Abfragen bestehen.

Das Problem von DNS Spoofing

Das Domain Name System (DNS) ist ein zentraler Bestandteil des Internets, welcher vergleichbar mit dem Telefonbuch des Internets jeden Domainnamen in eine IP-Adresse übersetzt. Aus einfachem Grund: Computer kommunizieren miteinander per IP-Adresse. DNS macht es möglich, dass wir uns nicht die IP-Adresse jeder Website merken müssen, die wir besuchen möchten.

Ein Beispiel: Gibst Du www.wetter.de in Deinen Browser ein, löst dies eine Anfrage an einen DNS-Server aus, die zugehörige IP-Adresse zu finden. Diese wird als 194.36.43.209 ermittelt und vom DNS-Server an Deinen Browser zurückgegeben, welcher daraufhin die Website lädt.

Leider sind solche DNS-Anfragen nicht ausreichend sicher, sondern anfällig für böswillige Angriffe. Der Grund: DNS-Daten werden auf ihrem auf dem Transportweg sowie in den durchlaufenden Servern und Zwischenspeichern (Caches) nicht gegen Veränderungen gesichert. Das hat zur Konsequenz, dass manipulierte DNS-Antworten weder erkannt noch verhindert werden. 

Ein Beispiel für einen Angriff auf die DNS-Infrastruktur ist DNS-Spoofing. Hierbei kapert ein Angreifer den Cache eines DNS-Resolvers (DNS-Server) und verändert einen DNS-Eintrag. Stellt ein Nutzer nun eine Website-Anfrage, erhält dieser statt der IP-Adresse der gewünschten Website eine falsche IP und wird so auf die bösartige Website des Angreifers geleitet.

Bleibt die Täuschung für den Nutzer unbemerkt und dieser teilt seine Daten über die gefälschte Website, kann immenser Schaden die Folge sein.

DNSSEC wurde entwickelt, um genau hier anzusetzen und die Schwachstellen von DNS zu beheben. Das neue Sicherheitsprotokoll soll sicherstellen, dass die Daten der erhaltenen DNS-Antwort authentisch und unverändert sind. Schauen wir uns im Detail an, wie genau das funktioniert.

Was ist neu an DNSSEC?

DNSSEC fügt den DNS-Einträgen eine zusätzliche Sicherheitsebene hinzu. Hierfür nutzt es kryptografische Signaturen. Fordert ein Benutzer Informationen einer Domain (z. B. deren IP-Adresse) an, dann stellt der DNS-Server diese Informationen zusammen mit einer digitalen Signatur bereit. Sowohl die DNS-Daten als auch die digitale Signatur werden vom Gerät des Benutzers mithilfe eines vom DNS-Server bereitgestellten, öffentlichen Schlüssels überprüft. Ist die signierte Antwort nicht verfälscht, kann der Benutzer darauf vertrauen, dass er authentische Informationen erhält bzw. auf die richtige Website geleitet wird. 

DNSSEC bietet daher für Internetnutzer einen wichtigen Schutzmechanismus gegen Bedrohungen wie DNS-Spoofing, DNS-Cache-Poisoning oder Man-in-the-Middle-Attacken, indem es unbefugte Änderungen oder Umleitungen des Datenverkehrs einer Domain verhindert. Dabei überprüft DNSSEC nicht nur die Integrität jedes Datensatzes, sondern validiert auch, dass ein Eintrag tatsächlich vo einem autoritativen DNS-Server kommt, welcher durch eine übergeordnete Hierarchieebene als vertrauenswürdig eingestuft wird.

Der Vorteil: Unternehmen schützen per DNSSEC die auf ihren DNS-Server gespeicherten vertraulichen Daten wie IP-Adressen, Details zum Mail-Exchange-Server sowie Hostinformationen (CPU & Betriebssystem). Die erweiterte Sicherheit schafft außerdem mehr Vertrauen bei den Nutzern. Insbesondere Online-Dienste, die auf den Austausch vertraulicher Informationen angewiesen sind (wie Banking oder eCommerce), können mit DNSSEC ihren Kunden ein hohes Maß an Vertrauenswürdigkeit gewährleisten.

So funktioniert eine DNSSEC-Abfrage

Signiert ein Unternehmen seine DNS-Daten mit einem privaten Schlüssel, wird dieser bei Abruf der Website durch einen Kunde durch den DNSSEC-fähigen mithilfe eines öffentlichen Schlüssels geprüft. Nur wenn die Signatur korrekt ist, wird die DNS-Antwort akzeptiert, da so sichergestellt wird, dass der Kunde die echte Website des Unternehmens erreicht und nicht auf eine gefälschte Seite umgeleitet wird.

Im Detail erfolgt der DNSSEC-Validierungsprozess anhand folgender Schritte am Beispiel der Domain do.de:

1. Ein Benutzer gibt die URL do.de in seinen Browser ein. Um für den Hostnamen die entsprechende IP-Adresse zu ermitteln, fragt der Browser diese beim DNS-Resolver des lokalen Computers ab. Dieser rekursive Resolver ist dafür zuständig, die richtige IP-Adresse einer Domain zu finden und zurückzugeben. Befindet sich die IP-Adresse im Cache des DNS-Resolvers, gibt er diese direkt an den Browser zurück.

2. Andernfalls beginnt eine rekursive Abfrage, um den DNS-Server zu ermitteln, der erforderlichen Informationen der angeforderten Domain besitzt. Oft werden hierbei mehrere autoritative Nameserver kontaktiert. Zunächst kontaktiert der DNS-Resolver den Root-DNS-Server. Dieser verweist daraufhin an den DNS-Server der Top-Level-Domain (TLD) der Domain - in unserem Beispiel der globale DNS-Server aller .de-Domains. Der TLD-DNS-Server wiederum verweist den Resolver an den autoritativen Nameserver, der die DNS-Einträge für die angeforderte Domain verwaltet - im Beispiel der Inhaber der Domain do.de.

3. In jeder Phase fordert der DNS-Resolver einen mit der DNS-Zone (Domain) verbundenen DNSSEC-Schlüssel (DNSKEY) an, um anhand diesem die Authentizität des kontaktierten Servers zu überprüfen. Gleichzeitig sendet jeder autoritative DNS-Server eine DNS-Antwort aus RRSIG-Datensätzen zurück an den DNS-Resolver. Dieser Datensatz enthält DNS-Daten (Resource Records) sowie den privaten Schlüssel der DNS-Zone.

4. Der DNS-Resolver validiert daraufhin anhand des öffentlichen Zonenschlüssels diese RRSIG-Daten und verifiziert so, ob der IP-Adresseintrag tatsächlich von einem autoritativen Nameserver gesendet und während der Übertragung nicht manipuliert wurde.

5. Ist die Validierung erfolgreich, dann sendet der DNS-Resolver die verifizierte DNS-Antwort mit der angefragten IP-Adresse an den DNS-Client des Nutzers.

Wie richte ich DNSSEC ein?

DNSSEC muss explizit aktiviert werden, das heißt, jeder Inhaber einer Domain muss sich aktiv für das Signieren seiner Zone mit DNSSEC entscheiden.

Zu beachten ist, dass noch nicht alle DNS-Server und Resolver bereits DNSSEC unterstützen. Die Anpassung der bestehenden Infrastruktur kann dementsprechend mit einem gewinnen Zeit- und Kostenaufwand daherkommen und erfordert darüber hinaus einiges technisches How-how. Zu beachten ist dabei, dass Administratoren nicht nur ihre DNS-Zonen signieren, sondern auch regelmäßig DNS-Schlüssel austauschen und regelmäßig Updates und Sicherheitsprüfungen durchführen müssen.

Hier findest Du eine schrittweise Anleitung zur Einrichtung von DNSSEC für Deine Domain:

1. Prüfe Deinen Domain-Registrar auf DNSSEC-Unterstützung

Vergewissere Dich vorab, dass Deine Domain-Registrierungsstelle DNSSEC unterstützt. Bisher bieten nicht alle Registrare DNSSEC als zusätzliches Sicherheitsprotokoll an.

2. Aktiviere DNSSEC bei Deinem Registrar

Melde Dich im Kundenkonto Deines Domain-Registrars an und navigiere in den Bereich Domainverwaltung. Suche dort nach der Option, DNSSEC zu aktivieren bzw. der Verwaltung Deiner DNS-Einstellungen.

3. Generiere DNSSEC-Schlüssel für Deine Domain

Im nächsten Schritt musst Du für Deine Domain DNSSEC-Schlüssel generieren. mit welchen Du die DNS-Einträge Deiner Domain signierst und ihre Authentizität gewährleistest. Das Schlüsselpaar besteht aus einem Zone-Signing Key (ZSK) sowie dem Key-Signing Key (KSK), welcher den ZSK signiert. Jeder Registrar sollte Dir hierzu die für ihn zutreffenden konkreten Anweisungen zur Erstellung der erforderlichen Schlüssel zur Verfügung stellen können.

4. Veröffentliche die DNSSEC-Einträge & DS-Datensätze 

Nun müssen die entsprechenden DNSSEC-Einträge in der DNS-Konfiguration Deiner Domain hinzufügt werden. Hierzu gehört auch das Veröffentlichen des DS-Eintrags (Delegation Signer) zur DNS-Zonendatei Deiner Domain. Dieser DS-Datensatz ist ein Hash des KSK und wird jeweils in der übergeordneten DNS-Zone hinterlegt. Indem eine übergeordnete Zone den öffentlichen Schlüssel einer untergeordneten Zone signiert, wird eine Vertrauenskette zwischen den verschiedenen DNS-Ebenen geschaffen.

5. Überprüfe Deine DNSSEC-Einrichtung

Sind die DNSSEC-Einträge der DNS-Konfiguration Deiner Domain hinzugefügt, kannst Du abschließend den Erfolg der Einrichtung prüfen. Hierfür stehen verschiedene Online-Tools zur DNSSEC-Validierung zur Verfügung, welche die DNSSEC-Einträge Deiner Domain auf korrekte Konfiguration und Funktionalität überprüfen.

DNSSEC ist unerlässlich für DNS-Sicherheit

DNSSEC ist ein wichtiger Schritt zur Verbesserung der Sicherheit Deiner Online-Präsenz und zum Schutz Deiner Domain vor potenziellen Bedrohungen. Durch die Authentifizierung von DNS-Daten können Benutzer sicher sein, dass sie die richtigen Informationen erhalten.
Egal ob persönliche Internetauftritte oder professionelle Websites - Wenn Du Domain-Eigentümer bist oder die Domain-Verwaltung für Dein Unternehmen verantwortest, dann ist DNSSEC eine wichtige strategische Entscheidung, um das Vertrauen Deiner Kunden zu stärken und die Sicherheit Deiner Online-Dienste zu gewährleisten.

Domain-Offensive automatisiert DNSSEC für ihre Kunden

Du möchtest Deine Domain mit DNSSEC absichern, aber scheust den technischen Aufwand? Dann aufgepasst: Kunden der Domain-Offensive erhalten vollen DNSSEC-Support, wenn diese den Nameserver des Anbieters nutzen.

Die Aktivierung von DNSSEC erfolgt mit nur einem Klick während des Bestellvorgangs einer neuen Domain – vorausgesetzt der jeweiligen Registry unterstützt DNSSEC. Daraufhin werden alle DNS-Records und DNSKEYs automatisch vom System gesetzt und beim Registry hinterlegt. Fertig! Mehr Informationen zur Einrichtung von DNSSEC findest Du hier.