Zufriedene Gesichter bei Teilnehmern und Veranstalter DENIC: Mit mehr als 70 Besuchern aus Wirtschaft und Organisationen des IT-Umfelds stieß das 2. DNSSEC-Testbed-Meeting, das am 26. Januar 2010 in den Frankfurter Geschäftsräumen der Genossenschaft stattfand, auf überaus großes Interesse. Neben den Anwendern hatten sich auch Anbieter von DNSSEC-Dienstleistungen und -Werkzeugen eingefunden, um sich über die neuesten Entwicklungen zur Bekämpfung von DNS-Spoofing und Cache Poisoning auf dem Laufenden zu halten und die Gelegenheit zum Networking zu nutzen.

Erste Erfahrungen mit signierter .de-Zone

Anlass der Veranstaltung mit einem breit gefächerten Themenquerschnitt, präsentiert von langjährigen Experten aus den verschiedensten Bereichen der DNSSEC-Community, war ein weiterer Meilenstein, den das von DENIC in Zusammenarbeit mit eco und BSI initiierte “DNSSEC-Testbed für Deutschland“ inzwischen auf seiner Roadmap erreicht hat: Seit dem 5. Januar steht die signierte Version der .de-Zone in der DNSSEC-Testbedumgebung bereit. Damit ist die zuvor an zwei Standorten in Produktionsqualität aufgebaute gesonderte Nameservice-Infrastruktur nun auch für produktiven DNSSEC-Traffic nutzbar, ohne indes den normalen Produktionsbetrieb zu beeinflussen. Einer dieser Standorte ist seit Ende Januar auch über IPv6 zu erreichen.

Kurze Einführung in DNSSEC zum Auftakt

Den Auftakt des Meetings bildete als „Warming-Up“ eine kurze Einführung in technische Grundlagen und Motivation der Protokollerweiterung DNSSEC, bevor Projektleiter Peter Koch unter dem Motto „21 Tage und ein bisschen weiser“ den bisherigen Stand des Testbeds bei DENIC bilanzierte und einen Ausblick auf die nächsten Projektetappen und -ziele gab. Gegenwärtig signiert DENIC einmal täglich die jeweils aktuelle .de-Zonenversion und stellt sie in der DNSSEC-Testbedumgebung zur Verfügung. Durch die Signierung der .de-Zone mit NSEC3-Records nach RFC5155 unter Nutzung des “Opt Out“-Features wird “Zone Walking“ unterbunden und damit ein maximaler Schutz der Daten erzielt. Aufgrund der Besonderheit der .de-Zone, die eine Vorhaltung von Resource Records in Form von NSentries statt auf eigenen direkt im Nameserver von DENIC erlaubt, sind aktuell bereits etwa 200.000 Domains im Testbed mit DNSSEC signiert. Bis zum 2. März wird DENIC Schnittstellen zur Registrierung und Verwaltung von DNSKEY-Records zu delegierten .de-Domains einrichten. Ebenfalls ab diesem Zeitpunkt unterstützt der Public-whois auch die Abfrage von DNSSEC-spezifischen Attributen in Domainobjekten. Danach werden bis zum Ende des 3. Quartals 2010 die Aktualisierungszyklen von der momentanen täglichen Signierung schrittweise auf Zeitintervalle zunehmend kürzerer Dauer verringert, bis schließlich eine kontinuierliche Aktualisierung erfolgt .

Aktueller Status DNSSEC weltweit

Die zweite Hälfte des Vormittags stand ganz im Zeichen des Projektfortschritts bei der Einführung von DNSSEC außerhalb Deutschlands: Im weltweiten Deployment-Status sowohl bei generischen (gTLDs) als auch bei länderbezogenen (ccTLDs) Domains bestehen teils erhebliche Unterschiede. Anzutreffen sind aktuell die verschiedensten Implementierungsszenarien: (a) geschlossene Tests mit limitierter Teilnehmerzahl, (b) öffentliche Tests mit potenziell unbegrenzter Teilnehmerzahl (Testbeds) sowie (c) öffentlicher Betrieb in den drei Varianten “nur signierte Zone“, “offen für Registrierungen mit Schlüsselmaterial“ oder “voll operational mit Registraren und Kunden“. Mit ihrem der breiten Öffentlichkeit zugänglichen Testbed, das bereits jetzt einen operativen Betrieb und ab März 2010 die automatisierte Hinterlegung von Schlüsselmaterial ermöglicht, nimmt DENIC im internationalen Kontext derzeit eine Position ein, die sehr schnell ein Aufschließen zur Spitzengruppe in diesem Segment erlaubt, resümierte Hans Peter Dittler, Geschäftsführer der BRAINTEC Netzwerk-Consulting GmbH, am Ende seiner Betrachtungen des globalen Markts.

Von der internationalen auf die regionale Bühne kehrte Samuel Benz von der Schweizer Domain-Registry SWITCH zurück, die kurz vor dem Abschluss ihres operativen Pionierbetriebs mit DNSSEC steht. Er schilderte die einzelnen Projektphasen mit ihren jeweiligen Herausforderungen und den Problemen, mit denen sich die Teilnehmer konfrontiert sahen. Anfängliche Schwierigkeiten mit Zonengröße und RAM-Speicher beim Zonentransfer traten nach Aufrüstung der Systeme und Umstellung auf inkrementellen Zonentransfer nicht mehr auf. Wiederholt zu Störungen kam es indes, wenn die auf DNSSEC-Kompatibilität getesteten ADSL-Router Signaturen auf dem Client zu validieren versuchten. Insgesamt war von SWITCH in erster Linie freilich nicht die technische Herausforderung der Einführung von DNSSEC unterschätzt worden.  Nicht erwartet worden war vielmehr der Umstand, dass die Testteilnehmer in der Schweiz, wo der Test geschlossen ablief, sich wesentlich geneigter zeigten, Validierungen zu wechseln als delegierte Zonen zu signieren. Ein Umstand, der darauf hindeutet, dass der Aufwand gescheut wurde, den die mit der Signierung einhergehende Implementierung neuer Prozesse erforderlich macht. Ab Februar 2010 wird unter .ch die automatisierte Hinterlegung von Schlüsselmaterial zugelassen.

Studie zu DNSSEC-Tauglichkeit von Routern

Im zweiten Teil des Meetings legte Thorsten Dietrich, Referent für Internetsicherheit beim BSI, die Ergebnisse einer unlängst abgeschlossenen Studie des Bundesamts für Sicherheit in der Informationstechnik vor, in der die DNSSEC-Tauglichkeit und weitere Sicherheitsaspekte (Open Resolver, Port-Randomisierung, IPv6-Unterstützung, WLAN-Sicherheit) von marktüblichen Heimroutern untersucht wurde. Zu Testbeginn repräsentierten die Prüfobjekte rund 90 % der in Deutschland angebotenen Geräte. Die durchgeführten Testszenarien (Abwärtskompatibilität, DNSSEC-Unterstützung sowie direkte DNS-Abfragen durch die Applikation) wurden nach Nutzerrelevanz ausgewählt. Ab Werk voll kompatibel mit DNSSEC waren im Ergebnis zunächst nur rund 40 % der getesteten Geräte, nach Umkonfiguration durch Umgehung des eingebauten DNS-Proxys jedoch 100 %. Da die Geräte von den Produzenten gegen Zusicherung absoluter Anonymität bereitgestellt worden waren, dürfen vom BSI freilich keine herstellerbezogenen Ergebnisse veröffentlicht werden. Gleichwohl wurden die Resultate an die Erzeuger zurückgemeldet. Abzuwarten bleibt, ob eine entsprechende Weiterentwicklung der betreffenden Geräte erfolgen wird.

DNSSEC für die Root-Zone

Wie die aktuellen Planungen der Implementierung von DNSSEC für die Root-Zone des hierarchisch organisierten Domain Name Systems aussehen, beleuchtete im Folgenden Wolfgang Nagele als Vertreter der für die Vergabe von IP-Adressbereichen in Europa zuständigen Regional Internet Registry RIPE NCC. Mit K-Root betreibt RIPE NCC eine von 13 Rootnameserverwolken weltweit. Der Rollout von DNSSEC in der Root-Zone wird phasenweise bis Ende Juni 2010 erfolgen. Dadurch können Clients, die nach wie vor Probleme mit der DNS-Protokoll-Limitierung oder mit Paketfragmentierungen haben, zunächst auf andere Rootnameserver umschalten und die Zeit, bis alle Rootnameserver DNSSEC unterstützen, für Upgrades nutzen. Den Auftakt machte ICANN mit dem L-Root-Server am 27. Januar, K-Root wird am 24. März folgen. Erst wenn am 1. Juli die gesamte Rootzone signiert sein wird, ist sie auch validierbar. Dies geschieht mit Hilfe von "Trust Anchors" – Kopien des öffentlichen Teils von Key Signing Keys –, die Resolvern als "Trusted Keys" angegeben werden.

Effizientes DNSSEC-Schlüsselmanagement

Im Mittelpunkt des Abschlussvortrags stand die Vorstellung eines Open-Source-Tools zum effizienten DNSSEC-Schlüsselmanagement, das auf den DNSSEC-Kommandos der verbreiteten DNS-Implementierung BIND aufbaut. Für kleine bis mittlere Provider konzipiert, bietet diese von ihrem Entwickler Holger Zuleger (HZNET) im Detail erläuterte Software ZKT neben einem ressourcenschonenden Einstieg auch die erhebliche Erleichterung von Prozessketten bei der automatischen Zonenverwaltung mit DNSSEC.

Live-Vorführung eines Validators

Neben der Theorie kam am Veranstaltungstag aber auch die Praxis nicht zu kurz: So gaben in den Pausen angebotene Live-Vorführungen von Kryptographie-Spezialist Lutz Donnerhacke die Gelegenheit, einen Validator bei der operativen Überprüfung signierter DNS-Antworten zu erleben.

3. DNSSEC-Testbed-Meeting am 16. Juni

Am 16. Juni 2010 wird die dritte Auflage des DNSSEC-Testbed-Meetings über die bis dahin erzielten weiteren Fortschritte und Erfahrungen mit der .de-Zone berichten. CEO Sabine Dolderer von DENIC unterstrich, dass eine rege aktive Teilnahme zusätzlicher Interessenten am bereitgestellten Testbed ausdrücklich begrüßt werde, um die abschließende Bewertung unter Kosten-/Nutzen-Erwägungen auf eine möglichst breite Grundlage stellen zu können. Durch die Integration des Testbeds in die Produktionsumgebung hat DENIC die „Eintrittsschwelle“ zur Teilnahme ganz bewusst sehr niedrig angesetzt.

Die Vorträge und Referentenprofile der Veranstaltung stehen auf den DNSSEC-Seiten zum Download zur Verfügung.