Um nach Eingabe eines Domainnamens in den Webbrowser auf der passenden Webseite zu landen muss der Browser die IP Adresse des dazu passenden Servers kennen. Diese Adresse erfragt er beim im System hinterlegten DNS-Server.

In den meisten Fällen wird der Antwort des DNS-Systems einfach vertraut. Eine Überprüfung ob die erhaltene IP Adresse tatsächlich die ist auf der der gewünschte Webseite läuft findet häufig nicht statt. Wenn der DNS Server der angefragt wird kompromittiert ist, kann man von diesem einfach auf eine völlig andere Seite umgeleitet werden.

Um dies zu verhindern wurde bereits 2010 die Erweiterung DSNSSEC umgesetzt. Hierbei wird die Übertragung der DNS Records mittels digitaler Signaturen abgesichert. DNSSEC ist somit win wirksames Mittel gegen Cache-Poisoning.

Damit DNSSEC funktioniert müssen alle beteiligten Systeme dies unterstützen. Die Topleveldomain .de wird seit 2010 entsprechend signiert. Ob die secondleveldomain (also z.B. techgrube) unterstützt wird hängt vom Hoster und Domainbesitzer ab. Außerdem müssen die DNS-Server des genutzten ISP (z.B. Telekom, Vodafone…) sowie auch der heimische Router, welcher häufig als erster Nameserver genutzt wird ) DNSSEC unterstützen.

Die Nameserver meines Internetanbieters unterstützen dies nicht, die Nameserver von Google tun dies, ebenso wie aktuelle Fritzboxen.

Um zu testen ob eine Webseite oder das eigene System DNSSEC unterstützen können z.B. folgende Dienste genutzt werden.

1. Browserplugin von cz.nic

Die Tschechische Domainregitry hat ein Browserplugin für Firefox und Chrome erstellt, mit dem sich die Verfügbarkeit und Nutzung von DNSSEC und DANE überprüfen lassen. Durch verschiedenfarbige Symbole in der Adressleiste wird angezeigt ob diese Techniken verfügbar sind und genutzt werden.

Die Einstellungen des Plugins erreicht man über einen Rechtsklick auf die Icons.

Um zu testen ob eine Webseite generell DNSSEC unterstützt sollte man hier einen Nameserver eintragen von dem man weiß dass er dies auch tut, z.B. Googles 8.8.8.8.

Um zu überprüfen ob das eigene System die Technologien auch unterstützt sollte man den Punkt „Systemeinstellungen benutzen“ auswählen und anschließend auf validieren klicken.

dnssec-1

dnssec-2

2. dnssectest.sidnlabs.nl Testseite

Wenn man sich auf einem System befindet auf welchem man kein Plugin installieren kann oder möchte, kann man den Onlinetest unter https://dnssectest.sidnlabs.nl nutzen um die DNSSEC fähigkeit des genutzten Systems zu testen. Wenn alle beteiligten Systeme DNSSEC unterstützen erhält man einen grünen Haken. Wenn ein System dies nucht tut, (z.B. bei benutzung des DNS-Servers meines Internetanbieters) erscheint ein rotes X.

dnssec-3

3. DNS Einträge einer Webseite überprüfen

Wenn man testen möchte ob eine Webseite DNSSEC unterstützt, ohne dass das eigene System und die vom eigenen System verwendeten Nameserver zu berücksichtigen dann kann man den Onlinetest von http://dnscheck.iis.se verwenden.

dnssec-4


Dieser Text ist lizensiert unter einer Creative Commons Namensnennung 4.0 International Lizenz

Comments are closed.