Sicherheitstechniken im Internet gewinnen durch die Häufung bekanntgewordener Fälle von Datenmissbrauch auch in Deutschland immer stärker an Aktualität. Eine mögliche Angriffsquelle stellt der Datenpfad zwischen DNS-Servern und -Resolvern durch Attacken wie Cache Poisoning, DNS-Umleitungen oder DNS-Spoofing dar. Mit einem nun in die nächste Phase gestarteten Testbed, in dem die Zuverlässigkeit erhöhter Übertragungssicherheit durch das Erweiterungsprotokoll DNSSEC (Domain Name Server Security Extensions) erprobt wird, trägt DENIC als zentrale Registrierungsstelle für Domains unterhalb der Top Level Domain .de dazu bei, den Schutz vor Angriffen wie diesen zu verbessern.

Den aktuellen Zwischenstand der Testbedumgebung wird das 2. DNSSEC-Testbed-Meeting bilanzieren, das am 26. Januar 2010 in der Geschäftsstelle der DENIC eG in Frankfurt am Main stattfindet. Fachwelt und interessierten Nutzern bietet die Veranstaltung die Gelegenheit, sich live und vor Ort über die neuesten Entwicklungen zum Thema DNSSEC und die damit verbundene Quellenauthentizität und Datenintegrität des Domain Name Systems in Deutschland wie auch auf internationaler Ebene zu informieren. Nach einem fakultativen Einführungsreferat zu Grundlagen und Bedeutung des Sicherheitsprotokolls DNSSEC werden deutsche und ausländische Referenten in einer Reihe von Fachvorträgen den Bogen von ersten Erfahrungen mit der seit 5. Januar 2010 im Testbetrieb aktiven signierten .de-Zone über den Stand des Produktivbetriebs in anderen TLDs bis hin zur Vorstellung DNSSEC-relevanter Tools spannen. Zusätzlich werden Live-Vorführungen Einblicke in die praktische Anwendung von DNSSEC vermitteln und den Gedankenaustausch mit Experten ermöglichen. Die Veranstaltung wendet sich an einen breiten Adressatenkreis von Anbietern und Nutzern des deutschen Internets. Über ein Livestreaming können auch Interessenten, die am Tag der Veranstaltung persönlich verhindert sind, das Meeting verfolgen.

Das “DNSSEC-Testbed für Deutschland“ hat inzwischen einen weiteren Meilenstein seiner Roadmap erreicht: Pünktlich zum 5.Januar 2010 stellte DENIC die signierte Version der .de-Zone in der DNSSEC-Testbedumgebung bereit. Zwei zuvor in Produktionsqualität aufgebaute Nameservercluster in Frankfurt und Amsterdam beantworten DNS-Abfragen ab sofort autoritativ und nicht-rekursiv. Damit ist die gesonderte Nameservice-Infrastruktur für .de-Domains, die seit Dezember 2009 zunächst ausschließlich zur Prüfung der Funktionalität des Parallelbetriebs von produktiver und Testumgebung im Einsatz war, nun auch für produktiven DNSSEC-Traffic nutzbar.

Einmal täglich signiert DENIC die jeweils aktuelle .de-Zonenversion aus der Produktionsumgebung und stellt sie in der DNSSEC-Testbedumgebung für DNS-Abfragen zur Verfügung. Teilnehmende Internet Service Provider und andere Unternehmen mit eigenen Resolving-Nameservern können nun durch spezielle Konfigurationsänderungen an ihren Nameservern auf die signierte .de-Zone zugreifen. Ebenso ermöglicht die fortgeschrittene Version des Test-Setups es unterdessen, den "Trust Anchor" – also eine Kopie des öffentlichen Teils des Key Signing Keys, der dem Resolver als "Trusted Key" angegeben wird – in einem validierenden Resolver zu konfigurieren. Auf einer https-gesicherten Webseite publiziert, behält dieser "Trust Anchor" oder "Secure Entry Point" bis auf Widerruf seine Gültigkeit. Neben dem 2048bit "Key Signing Key" kommt ein 1024bit "Zone Signing Key" zum Einsatz, der nach einem definierten Zeitintervall gewechselt wird. Beide Schlüssel erzeugen Signaturen nach dem standardi-sierten RSA/SHA256-Verfahren, in Übereinstimmung mit RFC5702. Durch die Signierung der .de-Zone mit Opt-Out in Kombination mit NSEC3-Records nach RFC5155 wird “Zone Walking“ unterbunden und ein maximaler Datenschutz erzielt.

Bis zum 2. März 2010 schließlich richtet DENIC Schnittstellen zur Registrierung und Verwaltung von Schlüsselinformationen in Form von DNSKEY-Records zu delegierten .de-Domains ein. Danach ist es auch Second-Level-Domains unterhalb von .de möglich, am Testbed teilzunehmen. DNS-Verkehr und Nutzung des Testbeds werden von DENIC kontinuierlich erfasst, ausgewertet und in regelmäßigen Abständen publiziert.

Hintergrund

Die DENIC eG

Die DENIC eG verwaltet als zentrale Registrierungsstelle die inzwischen mehr als 13 Millionen Domains unterhalb der Top Level Domain .de und stellt damit eine wesentliche Ressource für die Nutzer des Internets bereit. Mit der Mission, als neutraler und kompetenter Dienstleister für alle Domaininhaber und Internetnutzer zu agieren, legen die 121 Mitarbeiter/innen den Grundstein dafür, dass deutsche Internetseiten und E-Mail-Adressen weltweit erreichbar sind. Die über 270 Mitglieder der Genossen-schaft sind deutsche wie internationale Unternehmen aus dem IT-und TK-Bereich. Gemeinsam mit ihnen und anderen Kooperationspartnern setzt sich die DENIC für den sicheren Betrieb und die weltweite Weiterentwicklung des Internets ein. Dabei arbeitet sie ohne Gewinnerzielungsabsicht. Zu ihren Aufgaben gehört der Betrieb des automatischen elektronischen Registrierungssystems für die Mitglieder, der Betrieb der Domain-Datenbank für die Top Level Domain .de und die deutsche ENUM-Domain (.9.4.e164.arpa), der Betrieb des Nameserverdienstes für die .de-Zone an derzeit 15 Stand-orten auf der ganzen Welt sowie die Mitgestaltung der organisatorischen und technischen Weiter-entwicklung des Internets in Zusammenarbeit mit internationalen Gremien (z. B. ICANN, CENTR, IETF).

DNSSEC

DNSSEC ist eine Protokollerweiterung, die das Domain Name System (DNS) um Quellenauthenti-sierung und Datenintegrität ergänzt. Hierbei lässt sich mittels Public-Key-Technologie sicherstellen, dass eine Antwort des DNS exakt den Informationen entspricht, die der verantwortliche Zonenverwalter in das System eingepflegt hat.

Die Sicherung des Pfades zwischen DNS-Servern und DNSSEC-fähigen Klienten bindet auch dazwischen liegende Server und Resolver mit ihren Caches in die Sicherheitskette ein. Anhand kryptografischer Signaturen lässt sich prüfen, ob die beim Resolver eintreffenden Daten vollständig und unverändert sind.

Durch die Authentisierung des gesamten DNS-Verkehrs schließt das Verfahren unbemerkte Manipulationen an den Daten durch Dritte während des Datentransports aus und bietet dadurch Schutz vor potenziellen DNS-basierten Sicherheitsrisiken wie Cache-Poisoning, DNS-Umleitungen und Spoofing. Domain-Hijacking, Phishing oder Manipulationen bei der Domain-Registrierung lassen sich durch DNSSEC hingegen nicht unterbinden.

Das DNSSEC-Testbed für Deutschland

Das DNSSEC-Testbed für Deutschland wurde in einer konzertierten Aktion von DENIC, dem Verband der deutschen Internetwirtschaft e.V. (eco) und dem Bundesamt für Sicherheit in der Informations-technik (BSI) im Juli 2009 auf den Weg gebracht.

Das Testbed erlaubt es, sämtliche zukünftig praxisrelevanten Szenarien in einem gemeinsamen kooperativen Umfeld zu testen. Dazu zählen die Unterstützung von DNSSEC für .de-Domains, die Veröffentlichung von Trust-Anchors im Rahmen der Vertrauenskette, die notwendigen Prozesse für die Domainregistrierung, DNSSEC-spezifische Ergänzungen bei Prozeduren wie Providerwechseln und Nameserver-Updates sowie die Nutzung DNSSEC-gesicherter Informationen durch Endkunden über deren Internetzugang.

Innerhalb der von DENIC bereitgestellten Testumgebung werden operative und technische Erfahrungen gesammelt und geprüft, um zu beurteilen, welche Auswirkungen DNSSEC auf die Sicherheit und Zuverlässigkeit im Internet hat. Ziel ist es, durch ausführliche Tests mögliche Risiken im Betrieb von DNSSEC frühzeitig auszuschließen und gleichzeitig die Akzeptanz im Markt zu prüfen.

Bei Fragen wenden Sie sich bitte an:

DENIC eG Pressereferat
Stefanie Welters
Telefon: +49 69 27235-274
E-Mail: mailto:presse@denic.de