Archiv für ‘DNSSEC’

DeNIC führt DNSSEC zum 31.05.2011 regulär ein

8. Februar 2011 16:33 | Autor: Marc | Keine Kommentare | Kategorie(n): Allgemeines

Nach dem Abschluss der DNSSEC-Testphase, von Mitte 2009 bis Ende 2010, hat die DeNIC nun beschlossen, die DNS-Protokollerweiterung zum 31.05.2011 regulär einzuführen.

Bisher hat sich die DeNIC allerdings nicht zu Plänen geäußert, den öffentlichen Schlüssel in der bereits signierten Root-Zone eintragen zu lassen.

 

Root-Zone signiert

17. Juli 2010 15:32 | Autor: Marc | Keine Kommentare | Kategorie(n): Allgemeines

Die Root-Zone "." ist wie geplant seit dem 15.07.2010 DNSSEC-signiert. Alle 13 Rootserver liefern seit diesem Tag signierte Antworten, sofern der Resolver solche anfordert.

Leider sind bisher nur die öffentlichen Schlüssel folgender TLDs in der Root-Zone hinterlegt: bg, br, cat, cz, na, tm, uk
Somit müssen weiterhin die Schlüssel einiger, signierter TLDs (gov, se, de (bei Nutzung des Testbed)) explizit importiert werden.

 

Das DNSSEC-Testbed der DeNIC nutzen

28. Mai 2010 09:21 | Autor: Marc | Keine Kommentare | Kategorie(n): Allgemeines

Seit 2. Juli 2009 testet die DeNIC zusammen mit dem BSI und verschiedenen Providern des eco die Signierung der de-Zone mittels DNSSEC im Rahmen eines eigenen Testbed.

Wer über einen Resolver verfügt, der den Algorithmus RSASHA256 beherrscht (Unbound ab 1.4 oder BIND ab 9.7), kann die beiden DNSSEC-Nameserver der DeNIC in Frankfurt und Amsterdam nutzen. Der Server in Frankfurt kann dabei auch IPv6. Konfigurationsbeispiele für BIND und Unbound sind auf der DeNIC-Seite angegeben.

Eigene de-Domains lassen sich natürlich auch signieren. Damit die Chain-of-Trust (im Idealfall sieht die folgendermaßen aus: . (Root-Zone) -> de. -> example.de.) vollständig ist, muss aber der öffentliche Teil des Schlüssels bei der DeNIC hinterlegt werden und hier spielen bisher leider nur wenige Provider mit. Mir ist aktuell nur Hostserver bekannt, der auch die Registration der Domain tech-nerds-dnssec.de übernommen hat. Die Domain ist selbstverständlich signiert und eignet sich so auch, um den eigenen Resolver zu testen. Das geht in gewohnter Weise mit dem Tool dig.
dig +dnssec tech-nerds-dnssec.de

Wenn dig hier das Flag ad ausgibt, konnte die Antwort erfolgreich authentifiziert werden.

dig +dnssec tech-nerds-dnssec.de

 

Signierte Root-Zone kommt später

27. Mai 2010 14:52 | Autor: Marc | Keine Kommentare | Kategorie(n): Allgemeines

Die ursprünglich für den 1. Juli 2010 geplante Veröffentlichung des öffentlichen Schlüsselteils (Key Signing Key) der Root-Zone ist auf den 15. Juli verschoben worden.

Wie auf root-dnssec.org zu lesen ist, ist die Terminverschiebung notwendig geworden, um ICANN und VeriSign (den Betreibern der signierten Root-Zone und der genannten Seite) mehr Zeit zu geben, die Sicherheit und Stablilität der DNSSEC-Implementierung zu geben.

Bereits seit 1. Dezember 2009 ist die Root-Zone signiert, liefert aber keine validierbaren Daten. Am 5. Mai 2010 wurde dann der letzte Root-Server mit DNSSEC ausgestattet.

 

DNSSEC mit BIND9

11. Juni 2009 00:00 | Autor: Marc | Keine Kommentare | Kategorie(n): Netzwerke, Sicherheit

Da die Verwendung von DNSSEC für die Root-Zone ja momentan heiß diskutiert wird, habe ich mir mal angesehen, wie ich denn meinem DNS-Resolver (BIND9) DNSSEC beibringe.

DNSSEC funktioniert, um es mal ganz grob zu umschreiben, mit zwei Schlüsselpaaren. Einem zone-signing-keypair (ZSK) und einem key-signing-keypair (KSK). Hiervon wird jeweils der öffentliche Schlüssel dem Resolver (aka Client) bekannt gemacht, indem dieser in das Zonefile auf einem DNS-Master integriert wird (hierzu später mehr).

Um das Ganze dann auch wirklich sicher zu machen, wird vom DNS-Resolver die trust-chain in der DNS-Hierarchie "nach oben" aufgelöst. So sucht der Resolver beim Auflösen einer DE-Domain nach den Schlüsseln für die Zone DE und danach für die Root-Zone "."

Klingt erstmal schlüssig. Nur sind weder DE-, noch Root-Zone mit entsprechenden Schlüsselpaaren signiert. Bis jetzt sind dies nur eine handvoll TLDs. Darunter .se, .pl, .gov, .museum und einige weitere. Um dennoch eine trust-chain zu schaffen, gibt es DLV (DNSSEC lookaside validation). Geht es in der normalen DNS-Hierarchie mit der trust-chain nicht weiter, versucht der DNS-Resolver per DLV einen trust-anchor zu finden.

In BIND9 (ab Version 9.3.3) wird das Ganze dann folgendermaßen implementiert (Dateinamen entsprechen Debian-Standardkonfiguration):

Zunächst den public key der ISC herunterladen, ggf. per wget. Ich habe diesen Key dann übersichtshalber in die Datei /etc/bind/named.conf.keys gespeichert. In der /etc/bind/named.conf.options werden dann folgende Zeilen hinzugefügt:
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside . trust-anchor dlv.isc.org.;

Natürlich muss dem BIND noch der public key der ISC bekannt gemacht werden. Und zwar durch folgende Zeile in der /etc/bind/named.conf:
include "/etc/namedb/named.conf.keys";

Nach einem BIND-restart kann nun per dig +dnssec iks-jena.de soa, bzw. dig iks-jena.de soa getestet werden, ob der Resolver DNSSEC spricht. Wird dig die Option +dnssec mitgegeben, sollten RRSIG-resource records ausgegeben werden.