DNSSEC-Testbed für Deutschland
Das DNSSEC-Testbed für Deutschland
Gemeinsam mit dem BSI und eco hatte DENIC im Juni 2009 ein Testbed für die Domain Name Security Extensions (DNSSEC) ins Leben gerufen, um die Einführung von DNSSEC für .de-Domains zu evaluieren. DNSSEC zielt darauf ab, Sicherheitslücken im Internet - wie Cache-Poisoning, DNS-Umleitungen und DNS-Spoofing - zu schließen. Innerhalb einer von DENIC bereitgestellten Testumgebung konnten operative und technische Erfahrungen gesammelt und geprüft werden, um zu beurteilen, welche Auswirkungen DNSSEC auf die Sicherheit und Zuverlässigkeit im Internet hat. Ziel war es, durch ausführliche Tests mögliche Risiken im Betrieb von DNSSEC frühzeitig auszuschließen und gleichzeitig die Akzeptanz zu prüfen. Die Testbedinfrastruktur wurde noch bis Juli 2011 weiterbetrieben und dann endgültig abgeschaltet.
DNSSEC Testbed Meetings
5. DNSSEC-Testbed-Meeting am 8. Februar 2011
Finales Meeting zieht kompakte Bilanz
Das fünfte und letzte DNSSEC-Testbed-Meeting am 8. Februar 2011 bildete den Abschluss für das von BSI, DENIC und eco initiierte DNSSEC-Testbed.
Das Testbed bot Gelegenheit, um operative und technische Erfahrungen zu sammeln, Risiken einzuschätzen und die Akzeptanz zu prüfen. Die vergangenen Meetings haben hierzu detailliert informiert, viele offene Fragen adressiert und beantwortet. Im abschließenden Meeting zogen die Initiatoren in kompakter Form Bilanz und DENIC präsentierte die geplanten Schritte zur Umsetzung von DNSSEC in der Praxis. Als Termin für die Einführung wurde der 31. Mai 2011 bekannt gegeben.
DNSSEC-Testbed-Abschlussbericht
Präsentationen
- Testbed: DNSSEC für DE - Abschlussbericht
Peter Koch / Marcos Sanz Grossón, DENIC eG - DNSSEC-Testbed: Fazit
Dr. Lothar Eßer, BSI - Registrar Atlas 2011
Thomas Rickert, eco
Live-Mitschnitte der Veranstaltung
- Testbed: DNSSEC für DE - Abschlussbericht
Peter Koch, DENIC eG - DNSSEC-Testbed: Fazit
Dr. Lothar Eßer, BSI - Registrar Atlas 2011
Thomas Rickert, eco
4. DNSSEC-Testbed-Meeting am 24. November 2010
Agenda
- DNSSEC@DENIC: Aktueller Stand im Testbed
Peter Koch / Marcos Sanz Grossón, DENIC eG - Erfahrungsbericht eines Testbed-Teilnehmers
Andreas Schulze, DATEV eG - DNSSEC im globalen Kontext: Aktueller Stand
Thorsten Dietrich, BSI - DNSSEC-Validierung unter MS Windows
Carsten Strotmann, Men & Mice - Tools & Emerging Services im DNSSEC-Umfeld:
- Nominum DNSSEC Packs – Ralf Weber, Nominum Inc.
- GSLB / Global Service Loadbalancing – Ralf Brünig, F5 Networks GmbH
- Nixu NameSurfer Suite – Jürgen Joswig & Toni Lampela, Nixu Ltd.
- Exanames – Kariem Hussein & Wolfgang Nagele, Exabit GmbH
- OpenDNSSEC – Carsten Strotmann, Men & Mice
- Die Infoblox DNSSEC-Lösung - Dominic Stahl, Infoblox Inc.
Präsentationen
- DNSSEC@DENIC: Endspurt für das DNSSEC-Testbed
- Peter Koch / Marcos Sanz Grossón, DENIC eG
- DNSSEC im globalen Kontext: Aktueller Stand
- Thorsten Dietrich, BSI
- DNSSEC-Validierung unter MS Windows
- Carsten Strotmann, Men & Mice
- Nominum DNSSEC Packs
- Ralf Weber, Nominum Inc.
- GSLB / Global Service Loadbalancing
- Ralf Brünig, F5 Networks GmbH
- Nixu NameSurfer Suite
- Jürgen Joswig / Toni Lampela, Nixu Ltd.
- Exanames
- Kariem Hussein / Wolfgang Nagele, Exabit GmbH
- OpenDNSSEC
- Carsten Strotman, Men & Mice
- Die Infoblox DNSSEC-Lösung
- Dominic Stahl, Infoblox Inc.
Live-Mitschnitte der Veranstaltung
- DNSSEC@DENIC: Aktueller Stand im Testbed
- Peter Koch / Marcos Sanz Grossón, DENIC eG
- Erfahrungsbericht eines Testbed-Teilnehmers
- Andreas Schulze, DATEV eG
- DNSSEC im globalen Kontext: Aktueller Stand
- Thorsten Dietrich, BSI
- DNSSEC-Validierung unter MS Windows
- Carsten Strotmann, Men & Mice
- Nominum DNSSEC Packs
- Ralf Weber, Nominum Inc.
- GSLB / Global Service Loadbalancing
- Ralf Brünig, F5 Networks GmbH
- Nixu NameSurfer Suite
- Jürgen Joswig / Toni Lampela, Nixu Ltd.
- Exanames
- Kariem Hussein / Wolfgang Nagele, Exabit GmbH
- OpenDNSSEC
- Carsten Strotmann, Men & Mice
- Die Infoblox DNSSEC-Lösung
- Dominic Stahl, Infoblox Inc.
3. DNSSEC-Testbed-Meeting am 16. Juni 2010
Agenda
- DNSSEC@DENIC: "Halbzeit" im Testbed
(Peter Koch / Marcos Sanz Grossón, DENIC eG) - Teilnahme am Testbed und Messungen zu NSEC3: Ein Erfahrungsbericht
(Florian Obser, Hostserver GmbH) - DNSSEC am Leibniz-Rechenzentrum
(Bernhard Schmidt, LRZ – Rechenzentrum der Münchener Hochschulen und Forschungseinrichtungen) - DNSSEC-Einführung in "bund.de"
(Thorsten Dietrich, Bundesamt für Sicherheit in der Informationstechnik) - DNSSEC als Sicherheitskomponente im Heimnetzwerk der FRITZ!Box
(Martin Duzy, AVM GmbH) - Die Signierung der Rootzone: "Anpfiff" zum Finale
(Peter Koch, DENIC eG) - DNSSEC@Earth: Blick über den Tellerrand
(Carsten Strotmann, Men & Mice) - Softwareunterstützung für DNSSEC
(Ralf Weber, Nominum Inc.) - DNSSEC-Erweiterungen aus Registrarsicht
(Volker Janzen, InterNetX GmbH) - Domain-Transfer unter DNSSEC
(Samuel Benz, SWITCH – Serving Swiss Universities)
Präsentationen
- DNSSEC@DENIC: "Halbzeit" im Testbed
- Peter Koch / Marcos Sanz Grossón, DENIC eG
- Teilnahme am Testbed und Messungen zu NSEC3: Ein Erfahrungsbericht
- Florian Obser, Hostserver GmbH
- DNSSEC am Leibniz-Rechenzentrum
- Bernhard Schmidt, LRZ – Rechenzentrum der Münchener Hochschulen und Forschungseinrichtungen
- DNSSEC-Einführung in "bund.de"
- Thorsten Dietrich, Bundesamt für Sicherheit in der Informationstechnik
- DNSSEC als Sicherheitskomponente im Heimnetzwerk der FRITZ!Box
- Martin Duzy / Jan Schöllhammer, AVM GmbH
- Die Signierung der Rootzone: "Anpfiff" zum Finale
- (Link zur Informationsseite Root DNSSEC von ICANN und VeriSign)
- Peter Koch, DENIC eG
- DNSSEC@Earth: Blick über den Tellerrand
- Carsten Strotmann, Men & Mice
- Softwareunterstützung für DNSSEC
- Ralf Weber, Nominum Inc.
- DNSSEC-Erweiterungen aus Registrarsicht
- Volker Janzen, InterNetX GmbH
- Domain-Transfer unter DNSSEC
- Samuel Benz, SWITCH – Serving Swiss Universities
Live-Mitschnitte der Veranstaltung
- DNSSEC@DENIC: "Halbzeit" im Testbed
- Peter Koch / Marcos Sanz Grossón, DENIC eG
- Teilnahme am Testbed und Messungen zu NSEC3: Ein Erfahrungsbericht
- Florian Obser, Hostserver GmbH
- DNSSEC am Leibniz-Rechenzentrum
- Bernhard Schmidt, LRZ – Rechenzentrum der Münchener Hochschulen und Forschungseinrichtungen
- DNSSEC-Einführung in "bund.de"
- Thorsten Dietrich, Bundesamt für Sicherheit in der Informationstechnik
- DNSSEC als Sicherheitskomponente im Heimnetzwerk der FRITZ!Box
- Martin Duzy / Jan Schöllhammer, AVM GmbH
- Die Signierung der Rootzone: "Anpfiff" zum Finale
- Peter Koch, DENIC eG
- DNSSEC@Earth: Blick über den Tellerrand
- Carsten Strotmann, Men & Mice
- Softwareunterstützung für DNSSEC
- Ralf Weber, Nominum Inc.
- DNSSEC-Erweiterungen aus Registrarsicht
- Volker Janzen, InterNetX GmbH
- Domain-Transfer unter DNSSEC
- Samuel Benz, SWITCH – Serving Swiss Universities
2. DNSSEC-Testbed-Meeting am 26. Januar 2010
Agenda
- Einführung und aktueller Stand DNSSEC (optional)
(Peter Koch, DENIC) - Begrüßung
(Sabine Dolderer, DENIC) - Vorstellung DNSSEC-Testbed bei DENIC
(Peter Koch / Marcos Sanz Grossón, DENIC) - Mit DNSSEC um die Welt: Der Stand in anderen TLDs
(Hans Peter Dittler, BRAINTEC Netzwerk-Consulting) - DNSSEC in der Schweiz: Erste Erfahrungen im Produktivbetrieb
(Samuel Benz, SWITCH) - DNSSEC-Unterstützung durch Heimrouter
(Thorsten Dietrich, BSI) - Signierung der Rootzone
(Wolfgang Nagele, RIPE NCC) - DNSSEC Zonenverwaltung mit dem OpenSource Tool ZKT
(Holger Zuleger, HZNET)
Präsentationen
- Vorstellung DNSSEC-Testbed bei DENIC
- Peter Koch / Marcos Sanz Grossón, DENIC eG
- Mit DNSSEC um die Welt: Der Stand in anderen TLDs
- Hans Peter Dittler, Braintec-Netzwerk-Consulting
- DNSSEC in Sweden: Five Years' Practical Experience
- Anne-Marie Eklund Löwinder, .SE
- DNSSEC in der Schweiz: Erste Erfahrungen im Produktivbetrieb
- Samuel Benz, SWITCH
- DNSSEC-Unterstützung durch Heimrouter
- Thorsten Dietrich, BSI
- Signierung der Rootzone
- Wolfgang Nagele, RIPE NCC
- DNSSEC Zonenverwaltung mit dem OpenSource Tool ZKT
- Holger Zuleger, HZNET
Live-Mitschnitte der Veranstaltung
- Vorstellung DNSSEC-Testbed bei DENIC
- Peter Koch / Marcos Sanz Grossón, DENIC
- Mit DNSSEC um die Welt: Der Stand in anderen TLDs
- Hans Peter Dittler, BRAINTEC Netzwerk-Consulting
- DNSSEC-Unterstützung durch Heimrouter
- Thorsten Dietrich, BSI
- Signierung der Rootzone
- Wolfgang Nagele, RIPE NCC
- DNSSEC Zonenverwaltung mit dem OpenSource Tool ZKT
- Holger Zuleger, HZNET
DNSSEC-Testbed: Startmeeting am 2. Juli 2009
Agenda
- Grußwort (BSI)
- Vorstellung des Projekts und Zeitplans (Sabine Dolderer)
- Hintergrund und Einführung DNSSEC (Hans Peter Dittler)
- DNSSEC für .de – Vorstellung der Testumgebung und des Setups (Dr. Jörg Schweiger)
- DNSSEC für einen ISP/Registrar - Was muss ein ISP/Registrar tun, um seine Infrastruktur DNSSEC-ready zu machen und am Testbed teilzunehmen (Ralf Weber, COLT)
- DNSSEC bei Netzzugangsgeräten - Inwieweit unterstützen Zugangssoftware/Router bereits DNSSEC? Vorstellung Studie (BSI)
- Diskussions- und Fragerunde zum Thema DNSSEC Testbed für .de (Moderation: Thomas Rickert)
Präsentationen
- Das DNSSEC Testbed (Sabine Dolderer, DENIC eG)
- Hintergrund und Einführung DNSSEC (Hans Peter Dittler, BRAINTECNetzwerk-ConsultingGmbH)
- Das DNSSEC Testbed der DENIC (Jörg Schweiger, DENIC eG)
- DNSSEC für Internet Service Provider (Ralf Weber, COLT Telecom GmbH)
- DNSSEC bei Netzzugangsgeräten (Thorsten Dietrich, Bundesamt für Sicherheit in der Informationstechnik)
Einführung von DNSSEC für die .de-Zone
Die Einführung von DNSSEC für die .de-Zone erfolgte in Anlehnung an das DURZ-Verfahren für die Rootzone. Die DUdeZ (deliberately unvalidatable DE zone) enthielt DS-Records auf Basis der im Registrierungssystem hinterlegten Key Signing Keys (KSKs) und war auch sonst vollständig signiert. Allerdings wurden die DNSKEY-RRs durch solche mit gleichem Key-Tag ersetzt, die ausdrücklich keine Validierung ermöglichten. Mit diesen Daten wurden die 16 Name Server Locations schrittweise versorgt.
DENIC hatte aus Gründen der internen Konsistenz der Abläufe für einen kurzen Übergangszeitraum und dann im Rahmen der DUdeZ bereits in der unsignierten .de-Zone die DS-Records für die bis dato registrierten Key Signing Keys von Second Level Domains veröffentlicht. Betroffen waren ca. 180 Teilnehmer an der der Einführung vorgeschalteten Testphase, dem so genannten DNSSEC-Testbed. Diese Records waren nicht nutzbar, da sie nicht signiert waren, aber ansonsten unschädlich, da die gängigen validierenden Resolver nur dann Anfragen nach DS-Records stellen, wenn Aussicht auf Erfolg besteht.
Am 31. Mai 2011 – dem offiziellen Tag der DNSSEC-Einführung – wurde das DNSKEY-RRSet veröffentlicht und der DS-RR an IANA versand. Dieser DS-RR erschien am 7. Juni 2011 erstmals in der Rootzone. Seit diesem Zeitpunkt ist die Validierung von .de-Domains möglich.
Weiterführende Links und Dokumente
DNSSEC-Testbed-Abschlussbericht als PDF
Strategiepapier DNSSEC Testbed für Deutschland
Dokument zur Provisionierung von DNSSEC-Schlüsselmaterial
Bundesamt für Sicherheit in der Informationstechnik - BSI