Thema: Großangriff auf DNS-Rootserver

[SiLæncer]

Am gestrigen Mittwoch stellte der letzte der 13 autoritativen Rootserver für das Domain Name System auf das Sicherheitsprotokoll DNS Security Extensions (DNSSEC) um. Alle 13 Server liefern nun eine signierte Variante der Rootzone. Validiert werden kann die Signatur vorerst allerdings noch nicht, da der öffentliche Teil des Schlüsselpaares verborgen ist. Mit dieser Vorsichtsmaßnahme soll eine Rückkehr zur unsignierten Rootzone vorerst noch möglich bleiben. DNSSEC soll in der Zukunft DNS-Manipulationen wie Cache Poisening verhindern.

Unmittelbar nachdem die von Prag aus sichtbare Instanz des J-Rootserver von VeriSign die DNSSEC-Signatur  auslieferte, gab es noch keine Meldungen zu irgendwelchen Problemen. Experten beim 60. RIPE-Treffen in Prag hatten praktisch übereinstimmend gesagt, es sei nicht mit Schwierigkeiten zu rechnen, nachdem der sukzessive Start auf den übrigen 12 Rootservern im Lauf der letzten Monate problemlos über die Bühne gegangen war. Ein wenig Endzeitstimmung verbreitete lediglich ein Countdown, mit dem auf das bevorstehende Ende der unsignierten Rootzone hingewiesen wurde.

Sterben musste mit der gestrigen Umstellung allerdings die .root-Zone. Der Betreiber des Masterservers für die Rootzone Verisign hatte über Jahre ein einzelnen Eintrag unter .root genutzt, der zur Prüfung der Übertragung der sperrigen Root-Zone diente. Dr Auslöser für die Schaffung des .root-Eintrages war ein Komplettausfall der .com-Zone nach einem Übertragungsfehler gewesen, sagte Jaap Akkerhuis, DNS-Experte von nl.netLabs. Die rigiden Prozeduren des DNSSEC-Betriebs machen diesen Kniff für den Rootserverbetrieb durch VeriSign und der Internet Corporation for Assigned Names and Numbers (ICANN) obsolet.

Dazu gehört auch eine für Juni geplante Schlüssel-Zeremonie (PDF Dokument), an der 21 so künftige ehrenamtliche "Crypto-Officers" (PDF Dokument) und Notfall-Schlüsselwächter ("Recovery Key Share Holder") teilnehmen sollen. Ein Teil der insgesamt 14 Crypto-Officer muss jeweils anreisen, um die Generierung neuer Zone Signing Keys für den Betrieb durch VeriSign mit dem ICANN-Masterschlüssels freizuschalten. ICANN-Mitarbeiter Rick Lamb berichtete von 61 Bewerbungen für diese Posten, die zwar ehrenvoll aber auch kostspielig sind: die Reisekosten und den Arbeitsausfall müssen die Schlüsselhüter selbst tragen. Die angespannte Lage beim ICANN-Budget könnte ein Grund dafür sein, diese Kosten abzuwälzen.

Aus Afrika und Lateinamerika haben sich folglich nur vier beziehungsweise fünf Kandidaten gemeldet, aus Asien immerhin zehn. Europäische und US-amerikanische Unternehmen und Organisationen schicken dagegen jeweils 20 Kandidaten ins Rennen. Bei ICANN werde nun darüber nachgedacht, ob weniger US- und mehr Beteiligung  aus anderen Ländern den Umstand kompensieren, dass alle Schlüssel ausschließlich an den beiden US-Standorten generiert werden sollen, erläutert Lamb. Nach Ansicht vieler RIPE-Experten sei dazu aber ein Standort außerhalb der USA unabdingbar.

"Blockiert die US-Verwaltung das?", wollte Daniel Karrenberg, Chefwissenschaftler beim RIPE in Prag wissen. "Blockieren ist ein starkes Wort", entgegnete Lamb darauf. Ein dritter Standort werde bereits diskutiert. Das seit Jahren die .se-Zone signierende und einen der 13 Rootserver betreibende Schweden sei einer der möglichen, logischen Orte. "Stellen wir uns nur einmal vor, was passiert wenn der US-Luftraum wegen eines Zwischenfalls wie kürzlich in Island oder wegen Terroralarms gesperrt ist", sagte Jim Reid, Chef der DNS-Arbeitsgruppe beim RIPE. Ohne korrekt signiertes und genau nach Plan ausgeliefertes Schlüsselmaterial würde es im DNS finster.

Quelle : www.heise.de

[SiLæncer]

Als Initiatoren des DNSSEC-Tests  zogen Denic, das BSI und der eco-Verband auf einem Treffen in Frankfurt am Dienstag eine vorsichtig positive Halbzeitbilanz. Und das trotz offener Fragen beim Software-Support und in der Administration sowie noch bescheidener Zahlen – aktuell haben die 34 am Test beteiligten Registrare nur 700 Second-Level-Domains registriert.

Von DNSSEC (DNS Security Extension) erwarten sich die Experten mehr Sicherheit gegen Angriffe auf das Domain Name System (DNS), da Antworten des Systems über den Abgleich eines Schlüsselpaares auf ihre Authentizität überprüft werden können. Seit Anfang Januar bietet die deutsche Registry Denic eine signierte Variante der de-Zone auf einer eigenen Infrastruktur an.

Langsam formiert sich auch der Support bei Hardware- und Software. In Frankfurt kündigte Jan Schöllhammer von AVM die Unterstützung von DNSSEC im nächsten Release der Fritzbox an. Die Anpassung von DNS-Software wie BIND und Unbound auf DNSSEC macht Fortschritte oder wird zumindest von den Entwicklern in Aussicht gestellt. Produkte wie OpenDNSSEC sollen zusätzlich helfen, das aufwändige Schlüsselmanagement zu automatisieren.

Ohne passende Softwareunterstützung laufen Registrare im Live-Betrieb Gefahr, dass Domains aus dem Netz verschwinden. Anders als bei SSL-Zertifikaten führen abgelaufene DNSSEC-Signaturen dazu, dass die entsprechenden Domains verworfen werden. Immer wieder passiere dies bei der von den US-Behörden genutzten .gov-Zone, berichtete Bernhard Schmidt vom Münchner Leibniz-Rechenzentrum. Auch die DNSSEC-gesicherte Domain der abgelaufenen tschechischen EU-Präsidentschaft war jüngst über Tage nicht erreichbar, berichtete Thorsten Dietrich vom BSI.

Die Experten berichteten in Frankfurt übereinstimmend, dass es bei der Validierung und der Auslieferung einer signierten Zone kaum zu Lastverschiebungen komme. "Keine signifikanten Auswirkungen auf den produktiven Systemen der neueren Generation" hat das BSI bei der Signierung der Zone bund.de feststellen können. Bei älteren Systemen sei die CPU-Last um 2 bis 3 Prozent gestiegen, das Transfervolumen durch die Auslieferung um 5,5 Prozent. Die über TCP statt über UDP abgewickelten Anfragen seien von 0,3 Prozent auf 0,9 Prozent gestiegen.

Neben den notwendigen Software-Anpassungen gibt es noch zahlreiche administrative Fragen zu klären. So kann ein Providerwechsel auch den weniger einfachen Umzug von Schlüsseln notwendig machen. Dabei ist der Domainkunde auf die Kooperation seines bisherigen Providers angewiesen. Die Schweizer Switch will zunächst Transfers nur erlauben, wenn der neue Provider DNSSEC unterstützt. Denic-Chefin Sabine Dolderer hält eine solche Bevormundung des Kunden für fragwürdig.

Für die DNS-Rootzone wurde am Dienstag in einer siebenstündigen Signierungs-Zeremonie das erste Schlüsselset für den zentralen Key Signing Key (KSK) generiert. Ab 15. Juli wird die zentrale Rootzone nur noch signiert verteilt. Bis alle Glieder der Kette eingerastet sind, dürfte noch viel Zeit vergehen. Bei der Denic soll im vierten Quartal über einen möglichen Start des operativen Betriebs von DNSSEC für de entschieden werden.

Quelle : www.heise.de

[SiLæncer]

Die Public Internet Registry (PIR) hat heute auf dem 38. Treffen der Internet Corporation for Assigned Names and Numbers (ICANN) in Brüssel verkündet, ab sofort von jedem signierte Domainnamen entgegenzunehmen. Mit der für den 15. Juli geplanten Veröffentlichung eines aktiven Schlüssels für die zentrale Rootzone steht damit den acht Millionen .org-Domaininhabern eine lückenlose Absicherung ihrer Adressen gegen Cache-Poisoning und Man-in-the-Middle-Angriffe zur Verfügung. DNSSEC (DNS Security Extensions) sei ein großer Schritt zu einem sichereren DNS, allerdings kein magisches Allheilmittel, sagte ICANN-Präsident Rod Beckstrom. DDoS-Angriffe oder auch Phishing bleiben eine Bedrohung.

Seit zwei Jahren, seit der Demonstration des sogenannten Kaminsky-Bugs, läuft unter Hochdruck die Umsetzung der kryptografischen Absicherung des Domain Name System mittels DNSSEC. Dan Kaminsky lobte heute DNSSEC als "richtige Lösung", die das zunächst rasch verwendete "Pflaster" ersetzen müsse. Das Protokoll, das den öffentlichen Schlüssel einer Zone mit dem privaten abgleicht, sei im Prinzip einfach und sein Einsatz müsse nicht teuer sein.

PIR-Geschäftsführerin Alexa Raad merkte an, dass Zonenbetreiber mit Blick auf die Infrastruktur ohnehin ständig nachzurüsten hätten. Einen wesentlich größeren Kostenpunkt sieht sie bei der Aufklärung der Kunden, denn nur die erlaube den Registraren, DNSSEC an den Mann zu bringen. Einen DNSSEC-Start "in mehreren Phasen" kündigte in Brüssel GoDaddy an, der weltweit größte Domain-Registrar. CEO Warren Adelman erläuterte gegenüber heise online, dass GoDaddy zunächst allerdings nur von Kunden selbst signierte Namen an PIR weitergebe. Ein Angebot, in dessen Rahmen GoDaddy das Signieren für die Kunden erledigt, werde es erst im September geben.

Als erste .org-Domain wurde heute laut Raad die Adresse der Internet Society signiert (isoc.org). Ausgerechnet dabei kam es zu einem Vertipper, der die Validierung für kurze Zeit unmöglich machte. Das Problem sei sofort behoben worden und die Domain ununterbrochen erreichbar gewesen, versicherte ISOC-Chefin Lynn St. Amour. Für bereits validierende Server freilich ergab sich eine Fehlermeldung. Roland van Rijswijk von SURFnet, das die DNSSEC-Validierungen gezielt beobachtet und auch den ISOC-Fehler umgehend bemerkt hatte, verwies auf zahlreiche weitere kleine Zwischenfälle, etwa bei DNSSEC-signierten .gov-Adressen. Ein Grund für Ausfälle sei das Auslaufen von Schlüsseln, erklärte Ram Mohan vom PIR-Backend-Provider Afilias. Für .org – ebenso wie für die signierte Variante der .de-Zone – kämen daher Schlüssel mit überlappenden Gültigkeitszeiträumen zum Einsatz. Das sei aber nicht überall der Fall.

Trotz viel Enthusiasmus und Aufbruchstimmung in Brüssel ziehen es allerdings viele Marktteilnehmer vor, abzuwarten. Und das muss nicht nur am Aufwand für die Einführung liegen: DNSSEC erlaubt keine Umleitungen, die manche Provider zu Werbezwecken nutzen oder Behörden als mögliche Sperrmaßnahmen ins Auge fassen.

Quelle : www.heise.de

[SiLæncer]

Am gestrigen Donnerstag ist die voll digital signierte Rootzone gestartet. Alle Antworten der 13 für das Domain Name System (DNS) autoritativen Rootserver liefern nun einen DNSSEC-Schlüssel (DNS Security Extensions) mit, der eine Authentifizierung der Zone und damit die Identifizierung manipulierter Antworten erlaubt, etwa beim Cache Poisening . "Wir validieren", meldete Wolfgang Nagele Service Manager für den K-Root-Server beim RIPE NCC in Amsterdam, gestern Abend kurz nach 23 Uhr. Vom K-Root aus gesehen lief die Umstellung auf die wegen der angehängten DNSSEC-Schlüssel größeren Antwortpakete zunächst reibungslos.

DNS-Resolver in aller Welt, die entgegen herrschender Standards nur kleinere Antwortpakte (kleiner als 512 bytes) verarbeiten können, funktionierten zwar weiterhin, allerdings könnten manche Domains nicht mehr aufgelöst werden, warnte der DNS-Experte des RIPE NCC, Anand Buddhdev, Anfang der Woche noch einmal. Nagele wies an gestrigen Donnerstag aber noch einmal darauf hin, dass eventuelle Probleme mit den Paketgrößen spätestens seit der Umstellung des letzten Root-Servers auf DNSSEC am 5. Mai offenbar geworden wären.

Die Internet Corporation for Assigned Names and Numbers, Root-Betreiber VeriSign und das US-Handelsministerium hatten auf eine Einführung von DNSSEC in Phasen bei den 13 Root-Servern gesetzt, dabei allerdings zunächst keine Validierung zugelassen. Diese ist seit der Nacht vom gestrigen Donnerstag auf den heutigen Freitag möglich. Nach rund einem Jahrzehnt Entwickungsarbeit ist damit DNSSEC in der Root angekommen. Lob für die ICANN, VeriSign und die federführende Behörde beim US-Handelsministerium, die National Telecommunications and Information Administration (NTIA) gab es kurz vor dem Start schon mal von Handelsminister Gary Locke (PDF-Datei). Allerdings dürften wohl noch einmal Jahre vergehen, bis DNSSEC auch in den Top Level Domains (TLD) und auf der Ebene der Endnutzer angekommen ist und die Signaturen im großen Stil validiert werden.

Nagele wies darauf hin, dass zwar bereits jetzt rund 50 Prozent der DNS-Anfragen, die beim K-Root-Server ankommen, DNSSEC mit abfragen. Das liege allerdings vor allem daran, dass viele moderne DNS-Resolver DNSSEC standardmäßig eingeschaltet hätten. Wie viele der dahinter arbeitenden Anbieter DNSSEC wirklich beherrschten und nutzten, sei nicht klar. Wegen der großen Zahl von DNSSEC-Anfragen erwartet Nagele mit der Umstellung auch keinen großen Ausschlag durch neu hinzu kommende validierende Resolver.

Wer bereits validiert, muss zudem auf absehbare Zeit die Schlüssel einzelner TLDs, wie etwa des DNSSEC-Pioniers .se, noch eigens abfragen. Vorerst sind lediglich sieben TLD-Schlüssel in der signierten Root hinterlegt, und das sind .bg, .br, .cat, .cz, .na, .tm., und .uk. Vorerst werde sich daher etwa mancher schwedische Provider noch damit begnügen, den .se-Schlüssel in seine Abfragen einzubauen, schätzt Peter Koch, einer der Leiter der DNS-Arbeitsgruppe bei der Internet Engineering Task Force (IETF). Wer .de-Adressen validieren will, kann dies vorerst nur im laufenden Test tun.

Der durch die Signierung der Rootzone erreichte Sicherheitsvorteil sei erst einmal begrenzt auf die TLDs, die DNSSEC bereits produktiv eingeführt hätten, sagte Thorsten Dietrich, DNSSEC-Experte beim Bundesamt für Sicherheit in der Informationstechnik. Auf jeden Fall setze der Start der digitalen Signaturen in der Root "ein Zeichen und ermöglicht erstmalig die einfache Verbreitung von DNSSEC-Schlüsselmaterial". Experten rechnen sogar damit, dass die DNS-Zertifikate andere Zertifizierungssysteme ablösen könnten.

Die ICANN rechnet fest damit, dass die Zahl der Nutzer, die DNSSEC als Sicherheitsfeature einsetzen, mit der Zahl der signierten Zonen wächst. Sicherlich gebe es viele Spielarten, wie DNS-Betreiber DNSSEC einsetzen könnten, teilte Joe Abley, Director DNS Service bei der ICANN mit. Abley räumte ein, dass trotz erheblicher Anstrengungen, DNSSEC bekannt zu machen, kaum abzuschätzen sei, wie viele DNS Betreiber noch nichts davon gehört hätten.

Quelle : www.heise.de

[SiLæncer]

Am 15. Juli wurde ein laut Rod Beckstrom, Chef der ICANN (Internet Corporation for Assigned Names and Numbers) "historischer Schritt" in Sachen Internetsicherheit bewältigt: Die Rootzone des DNS wurde per DNSSEC gesichert. Auf dieser Grundlage können jetzt die Betreiber der Top Level Domains (TLDs) wie .de, .com oder .cn ihre Domains ebenfalls nach und nach auf DNSSEC umstellen.

"Die Rootzone ist signiert. Ist das Internet jetzt sicher?", fragte Beckstrom vor Kurzem auf der IT-Sicherheitskonferenz Black Hat 2010 in Las Vegas. Und antwortete: "Nein. Aber das Internet kann jetzt sicher werden." Dem ICANN-Chef zufolge sollen auf bisher zwölf DNSSEC-fähigen TLDs wie .co.uk, .org oder .br in den kommenden Wochen noch weitere Domains folgen.

Die TLD .net soll laut Beckstrom noch in diesem Jahr umgestellt werden, .com soll dem Verisign-Chef Mark McLaughlin zufolge dann bis März 2011 folgen. Auf Nachfrage von heise Securiy sagte Beckstrom: "Ich gehe davon aus, dass innerhalb der kommenden zwölf Monate die Top Level Domains DNSSEC-fähig sein werden, die zusammen 50 Prozent aller Domains ausmachen."

Damit DNSSEC auch von Betreibern von DNS-Servern und Internet Providern schnell angenommen wird, müssen brauchbare Tools bereit stehen. Mit gutem Beispiel voran gehen will das Unternehmen Recursion Ventures, in dem Dan Kaminsky als Chef-Wissenschaftler verantwortlich zeichnet.

Kaminsky entdeckte die schwerwiegende Lücke im DNS, die letztlich zum schnellen Einsatz des seit 18 Jahren entwickelten DNSSEC führte. Nachdem er DNSSEC erst als zu komplex und somit zu teuer abkanzelte, ist der Bug-Finder inzwischen ein erklärter Anhänger der Schutztechnik.

Der Hacker demonstrierte verschiedene auf DNSSEC basierende Tools, die vor allem den Einsatz der Technik erleichtern sollen. "Als ich den DNS-Bug präsentierte, war das Implementieren von DNSSEC eine Katastrophe und viel zu kompliziert. Heute kann eine Domain innerhalb von zwei Minuten DNSSEC-fähig werden", sagte Kaminsky.

Dafür sorgt das von Kaminsky vorgeführte DNSSEC-Tool Phreebird. Es akzeptiert auch über http getunnelte DNS-Anfragen. Damit sollen Probleme vermieden werden, wie sie beispielsweise in Hotel-Netzwerken oder öffentlichen WLAN-Hotspots auftauchen, wenn die zwischengeschaltete Hardware die über UDP übertragenen DNS-Pakete nicht ordentlich weiterleitet. Phreebird ist noch nicht öffentlich verfügbar. Kaminsky verschickt jedoch auf Anfrage eine frühe Beta-Version, die "voller fürchterlicher, auch remote ausnutzbarer Bugs" sei.

Weitere demonstrierte DNSSEC-Tools waren beispielsweise Phoxie, ein DNSSEC-Proxy für Browser wie Firefox oder Internet Explorer, oder Phreeload. Phreeload fügt die DNSSEC-Verfikation hinzu für openSSL-fähige Tools wie Apache, Curl, MySQL, Postfix, Postgress oder Wget. Die Phreeshell soll die Zusammenarbeit zwischen verschiedenen Gruppen erleichtern, indem sie den passwortlosen openSSH-Login auf Basis der Nutzeridentität ermöglicht, anstatt hierfür Keys zu verwenden.

Obwohl der sonst eher zu Jeans und schrillen Motiv-T-Shirts neigende Kaminsky seinen Black-Hat-Vortrag erstmals in einem Anzug bestritt, ist ihm das Hacken nicht fremd geworden. Er rief den anwesenden IT-Sicherheitsexperten zu: "Es ist Zeit, DNSSEC zu knacken. Ich hoffe, dass wir die Probleme schnell finden."

Quelle : www.heise.de

[SiLæncer]

Zum 31. Mai dieses Jahres wird die de-Domain signiert und so gegen Manipulationen von DNS-Antworten abgesichert. Das kündigte DeNIC-Vorstandsmitglied Sabine Dolderer heute zum Abschluss des DNSSEC-Tests in Frankfurt an. DNSSEC – Domain Name System Security Extensions – sichert mittels kryptografischer Schlüssel DNS-Antworten so ab, dass der Empfänger sowohl deren Unversehrtheit als auch die Vertrauenswürdigkeit des Senders überprüfen kann. Beides ist im herkömmlichen DNS nicht möglich. Die Prüfungen kann beispielsweise ein validierender Resolver für ein LAN vornehmen und die geprüften Antworten zum Beispiel verschlüsselt an Clients im LAN weitergeben. Damit sind die Empfänger von DNS-Nachrichten gegen Angriffstypen wie Cache-Poisoning abgesichert. Gegen Phishing, bei dem Nutzer den Angreifern vertrauenswürdige Daten aus Gutgläubigkeit übermitteln, hilft DNSSEC natürlich nicht.

Die Ankündigung sei nach dem positiven Testverlauf keine große Überraschung mehr, sagte Dolderer, die DNSSEC noch vor ein paar Jahren eher skeptisch gegenüber stand. Dass DNSSEC eine zweite Hierarchie der Internet-Verwaltung etabliert, an deren Spitze das Trio aus US-Handelsministerium, ICANN und VeriSign als Schlüsselwächter stehen, hatte lange für Diskussionen gesorgt, bis ein Kompromiss über die Schlüsselverwaltung die Wogen glättete. Entspannung vermelden auch die Serverbetreiber, die DNSSEC zunächst als Rechenzeitfresser ablehnten: Auf aktuellen Servern lasse sich die nicht gerade kleine de-Zone innerhalb weniger Minuten komplett signieren, berichtete Peter Koch, einer der beiden DNSSEC-Projektleiter bei der DeNIC.

Als die DeNIc, der eco Verband und das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor zwei Jahren den DNSSEC-Test ins Leben riefen, habe es lediglich fünf andere signierte Domains gegeben, sagte Lothar Eßer vom BSI. Inzwischen sind es 67 Top-Level-Domains und nach der de-Zone fehle nur noch eine einzige der 10 weiltweit größten Zonen: die chinesische Domain .cn; die Root-Zone ist seit dem vergangenen Jahr signiert. Einen beträchltichen Anteil am Entschluss zur Signierung hatte auch das BSI, das die Signierung der Domain bund.de fest eingeplant hatte und die Signierung weiterer Zonen der Bundesverwaltung vorantreiben will.

Den Grundstock innerhalb de-Domain machen nun die 800.000 Domains aus, die die Denic selbst verwaltet und die 110 Sub-Domains der Unternehmen, die am Test beteiligt waren. Bis aber alle de-Subdomains signiert sind – derzeit 14 Millionen –, sei es noch ein weiter Weg, sagte Dolderer. Thomas Rickert vom eco Verband berichtete aus einer aktuellen Umfrage unter deutschen Domainanbietern, dass 10 Prozent der Befragten DNSSEC bereits beherrschen. 27 Prozent planen, DNSSEC bald zu nutzen.

Angebote an Domain-Endkunden, ihre Domains zu signieren, fehlen aber ebenso noch wie validierende Resolver bei den Providern. Es gebe auch noch einzelne Tücken bei der DNSSEC-Nutzung, sagte Koch. Nicht zuletzt wechsle man von einem sehr toleranten DNS-System zu einem abgesicherten, das Fehler weniger verzeiht.

Quelle : www.heise.de

[spoke1]

Die DENIC hat damit begonnen, die 16 für die Top Level Domain .de authoritativen Name-Server mit einer DNSSEC-signierten Zone zu versorgen, ganz nach dem Modell der bereits signierten Rootzone des Domain Name System (DNS). Dabei werden die jeweils aktuellen Zonendaten mit einer Signatur versehen und können per Schlüsselabgleich auf ihre Authentizität überprüft werden. DNSSEC – das DNS Security Extension Protokoll – soll eine Reihe von Man-in-the-Middle-Angriffe, wie etwa das Cache-Poisoning, unmöglich machen. Um die eigene Domain vollends zu schützen, müssen de-Nutzer schließlich noch ihre eigene Domain signieren.

Allerdings verhindert die DENIC bis zum eigentlichen DNSSEC-Start Ende des Monats die Validierung der Antworten, indem sie einen unlesbaren Schlüssel ablegt. So kann das Ausliefern der Signaturen geprüft werden. Statt des tatsächlich zur Signierung verwendeten Schlüssels enthält die verwendete Schlüsselphrase aber unter anderem den Hinweis "THIS/IS/AN/INVALID/KEY/THAT/WILL/NOT/VALIDATE.//" Der "verschleierte Schlüssel" verhindert so, dass die Anfragenden den Schlüsselabgleich vornehmen können.

Wie schon beim Start von DNSSEC in der Rootzone dient die Maßnahme laut Informationen der DENIC dazu, "sämtliche Einflüsse der DNSSEC-Information in den DNS-Antworten auf die gesamte DNS-Infrastruktur zu beobachten und zu analysieren". Bei größeren Schwierigkeiten könnte so auch der Rückzug zum unsignierten Betrieb der de-Zone angetreten werden. (Monika Ermert) / (hos)


Quelle

[SiLæncer]

Die deutsche Registrierungsstelle DeNIC hat am heutigen Dienstag ihren zweiten Schritt zur Absicherung des Domain Name System mittels DNSSEC für de-Domain vollzogen: die .de-Zone wurde mit einem zur Validierung einsetzbaren öffentlichen Schlüssel bestückt. Der erst kürzlich gestartete öffentliche DNSSEC-Betrieb lief im ersten Schritt testweise ohne einen validierbaren Schlüssel.

Mittels DNSSEC können Empfänger von DNS-Antworten (Replys) sowohl die Unversehrtheit der Nachricht als auch die Vertrauenswürdigkeit der Quelle anhand von mitgesendeten kryptografischen Daten überprüfen (validieren). Beides geht mit herkömmlichen DNS-Antworten nicht, sodass Man-in-the-Middle-Attacken wie Cache Poisoning möglich sind. Sicherheitsfachleute sehen die Umleitung der Bankverbindung eines Browsers zu einem präparierten Server als Worst-Case-Szenario: Der Nutzer gibt dabei zwar die korrekte DNS-Adresse im Browser ein, eine von außen manipulierte DNS-Information leitet den Browser jedoch auf eine ganz andere IP-Adresse als die der gesuchten Bank.

Vor der de-Domain sind bereits eine Vielzahl anderer Domains mittels DNSSEC abgesichert worden, darunter .se oder auch .com. Bis auch die de-Domain validiert werden kann, vergehen freilich noch einige Tage, denn im letzten Schritt muss nun die Internet Assigned Numbers Authority (IANA) den neuen Eintrag der de-Domain in der Rootzone eintragen (DS-Record), damit er für Validierungszwecke abgerufen werden kann. Die DeNIC rechnet mit Mitte Juni.

Sobald der neue DS-Record in der Rootzone erscheint, können auch Second-Level-Domains der .de-Domain validiert werden. Eine solche Domain kann der Web- oder Domaindienstanbieter signieren oder auch der Domaininhaber selbst. Der Vorgang schließt die Schlüsselerzeugung, Signierung der Zonendaten und auch die regelmäßige Neusignierung vor Ablauf der Signaturgültigkeit sowie den regelmäßigen Schlüsselwechsel ein. Eine DNSSEC-Absicherung können Nutzer bereits jetzt bei ihrem Provider beantragen. Dieser übernimmt dann auch die Registrierung der Schlüssel, erklärt die DeNIC.

Um die Vorteile von DNSSEC nutzen zu können, benötigt man einen validierenden Resolver, der die DNS-Antworten prüfen kann und entsprechende Software, die die Ergebnisse auswertet. Resolver betreiben in der Regel die Provider selbst, allerdings sind längst nicht alle bereits jetzt für die Validierung ausgelegt. Einen solchen kann man aber auch im eigenen LAN zum Beispiel mit dem DNS-Server BIND aufsetzen – beispielsweise so, wie in einem c't-Praxisbeitrag beschrieben (kostenpflichtiger Download). Die validierten Informationen werten derzeit noch wenige Applikationen aus, aber immerhin schon der verbreitete Browser Firefox unter Zuhilfenahme des kostenlosen Add-Ons DNSSEC Validator.

Quelle : www.heise.de

[SiLæncer]

Zahlreiche Angriffsszenarien der letzten Zeit beruhen auf der Ausnutzung von Sicherheitslücken im Domain Name System (DNS). Angesichts dieser Tatsache erwägt die zentrale deutsche Domain-Vergabestelle Denic, die Zahl möglicher Antworten auf .de-Domainanfragen zu begrenzen.

Bei sogenannten Amplification-Attacken werden die DNS-Server ausgenutzt, um eine große Zahl von Antworten an die Adresse eines Opfers auszulösen. Dadurch werden die Systeme des Opfers - und unter Umständen auch der Nameserver selbst - überlastet.

Diesen Attacken will die Denic nun womöglich durch Einschränkung der Anzahl versendeter Antworten begegnen. "Wir behalten uns vor, in Einzelfällen über begrenzte Zeit Response Rate Limiting (RRL) zum Schutz unserer Infrastruktur einzusetzen", erklärte die Registrierstelle für .de-Domains in einer Antwort auf eine Anfrage des IT-Newsportals heise online.

RRL wird in letzter Zeit zunehmend von Domain-Registries eingesetzt. Die Maßnahme ist allerdings umstritten, da sie dem Grundsatz von DNS widerspricht, jede Anfrage ohne Unterschied zu beantworten. Zudem besteht das Risiko von "False Positives", also legitimen Anfragen, die aus Sicherheitsgründen nicht beantwortet werden.

Derzeit ist die Denic noch dabei, Angriffe zu analysieren und sich um die Erkennung von Mustern zu bemühen. Man habe vorsorglich auch schon "die einschlägigen Werkzeuge und Vorgehensweisen geprüft", so die Denic gegenüber heise online.

Derzeit, so die Denic, sei es noch zu früh, um über dieses Thema eine fundierte und informierte Diskussion zu führen. "Im derzeitigen Stadium sind wir bestrebt, zunächst eigene Erkenntnisse zu sammeln, zu analysieren", so Pressesprecherin Stefanie Welters. Vorerst sei die Denic bestrebt, "Handlungsoptionen zu prüfen". Dies geschehe "stets unter der Prämisse, den laufenden Betrieb sicherzustellen, möglichst diskriminierungsfrei zu handeln und trotzdem die Einbeziehung unserer Systeme in solche Angriffe nicht über einen längeren Zeitraum hinweg zu ermöglichen."

Eine ideale Lösung für das Problem ist derzeit nicht in Sicht. Das DNS ist konzeptionsbedingt für Angriffe anfällig, was sich Angreifer zunehmend zunutze machen. Die Denic und andere um die Sicherheit des Systems besorgte Akteure haben nun die undankbare Aufgabe, aus mehreren nicht idealen Optionen die am wenigsten schädliche auszuwählen. Welche das ist, darüber werden sich die Beteiligten womöglich nach den derzeit laufenden Analysen eher im Klaren sein.

Quelle : www.gulli.com

[SiLæncer]

Drei niederländische Webhoster waren am 5. August Ziel einer neuartigen Attacke auf das Domain Name System (DNS) einer Registry, wie das Internet Storm Center (ISC) berichtet. Aufgefallen war die Attacke, als Aufrufe der viel besuchten Website conrad.nl (der niederländischen Tochterfirma des deutschen Elektronik-Versenders) mit einer "Under Construction"-Seite beantwortet wurden. Diese Webpage wurde nicht von conrad.nl, sondern von einem anderen Host geliefert. Sie enthielt ein iFrame mit Schadcode, der ein Java-Exploit nutzte und den Rechner mit einem Trojaner infizierte.

Laut Beobachtungen des Security-Unternehmens Fox IT waren Anfragen nach Websites betroffen, die bei einem der drei Webhoster Digitalus, VDX und Webstekker liegen. In einer Stellungnahme verwies Digitalus auf die niederländische Registry SIDN. In deren DNS seien die Einträge zu den Hostern durch Verweise zu externen DNS-Servern ersetzt worden, die wiederum zu der Schadseite führten. Dadurch seien Anfragen nach tausenden von Websites zu der "Under Construction"-Seite umgeleitet worden.

Weil die DNS-Server vieler Endkunden-Provider nur alle 24 Stunden ihren Cache erneuern, funktionierte die Umleitung mancherorts auch noch lange, nachdem die Einträge aus dem Registry-DNS entfernt waren. Das ISC verbindet die Meldung mit der Besorgnis, dass Angreifer offensichtlich nicht mehr davor zurückschrecken, direkt kritische Netz-Infrastruktur ins Visier zu nehmen: "Dies sollten wir alle im Hinterkopf behalten."

Quelle : www.heise.de