Mit E-Mail-Diensten muss sich jeder Administrator früher oder später einmal beschäftigen. Das zur CeBIT erscheinende ADMIN 02/2012 gibt dazu Praxis-Tipps und ... (mehr)

Möglichkeiten und Grenzen von DNSSEC

Durch die Signatur der Root-Zone ist die letzte große Hürde für DNSSEC gefallen. Die Performance-Probleme sind nicht so gravierend wie ursprünglich befürchtet. Nun ist es nur noch eine Frage der Zeit, bis alle wichtigen Zonen signiert sind. Durch NSEC3 ist nun auch das Risiko des Zone-Walking gelöst. Die Herausforderungen verlagern sich zunehmend auf die organisatorischen Fragen wie die Schlüsselverwaltung.

Durch DNSSEC for Humans ermöglicht der DNS-Server BIND9 ab der Version 9.7 eine einfache und automatisierte Schlüsselverwaltung. Es bleiben zwei naturgegebene Grenzen: Zum einen muss der Resolver seinerseit DNSSEC unterstützen – hierauf haben die Domainbetreiber keinerlei Einfluss – zum anderen verfolgt DNSSEC architekturbedingt nur die Sicherheitsziele Authentizität und Integrität, nicht aber Vertraulichkeit. Über diesen Umstand sollte sich jeder Administrator im Klaren sein, bevor er DNSSEC in seinem Unternehmensnetz implementiert. (ofr)

Infos

  1. Measuring The Resource Requirements Of DNSSEC: http://www.ripe.net/ripe/docs/ripe-352
  2. RFC 5155 "DNS Security (DNSSEC) Hashed Authenticated Denial of Existence": http://tools.ietf.org/html/rfc5155
  3. Using the root DNSSEC key in BIND 9 resolvers: http://www.isc.org/community/blog/201007/using-root-dnssec-key-bind-9-resolvers
  4. RFC 5974 "DNSSEC Lookaside Validation": http://tools.ietf.org/html/rfc5074
  5. ISCs DLV Registry: http://www.isc.org/solutions/dlv

Der Autor

Eric Amberg ist Geschäftsführer der ATRACON GmbH ( http://www.atracon.de ) und seit vielen Jahren im Bereich IT-Infrastruktur als Trainer und Consultant tätig und verfügt über langjährige Projekterfahrung. Sein besonderer Fokus liegt auf Netzwerk-Themen. In seinen Seminaren legt er großen Wert auf eine praxisnahe Schulung.

comments powered by Disqus
Mehr zum Thema

Was bringt DNSSEC?

Seit einigen Monaten unterstützen alle Root-Server im Domain Name System die Signierung per DNSSEC. Dieser Artikel verrät, was es bringt und wie man es Client-seitig einrichtet.
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023