OpenDNS zeigt mit einer Mac-Software, wie sich sämtlicher DNS-Datenverkehr verschlüsselt und damit geschützt vor dem Zugriff Dritter übertragen lässt.
Internetbranche und Bürgerrechtler laufen Sturm gegen zwei neue Gesetzesinitiativen, die den Urheberrechtsverletzungen im Netz unter anderem mit Internetsperren auf DNS-Ebene begegnen wollen.
Domain-Betreiber debattieren derzeit über die Entscheidung des Internet Software Consortium (ISC), den DNS-Server BIND mit DNS-Umleitungen und Filter-Optionen auszurüsten. Einige nennen ISC bereits "einen Waffenhändler für das Netz".
Die prinzipiell gute Idee, Internet-Routen per RPKI kryptografisch zu sichern, rief Kritiker auf den Plan: Staatliche Stellen könnten darüber Verkehrswege kapern. Dennoch hat sich das RIPE entschieden, an der nötigen Infrastruktur weiterzuarbeiten.
Zu BIND und NSD gesellen sich Knot DNS und Yadifa. Die Alternativen sollen bei großen DNS-Betreibern wie nationalen Registries etwa höhere Ausfallsicherheit schaffen und flinkere Antworten garantieren.
Paul Mockapetris warnte bei einer Konferenz zur "Gesundheit des DNS" vor Designfehlern in der DNS-Erweiterung DNSSEC, rät aber gleichzeitig und trotz seiner Vorbehalte zur raschen und umfassenden DNSSEC-Einführung.
Bekannte Netz-Entwickler wie Steve Crocker, Paul Vixie und Dan Kaminsiki warnen in ungewöhnlich scharfer Form vor den US-Gesetzesentwurf zm Protect-IP Act, der bei Urheberrechtsverletzungen Netzsperren über das Domain Name System vorsieht.
Google, OpenDNS und verschiedene Content-Delivery-Network-Betreiber wollen das Domain Name System erweitern, sodass es Anfragen anhängig vom Standort des Nachfragenden beantworten kann.
Die DeNIC-Registry liefert seit heute einen gültigen, also überprüfbaren kryptografischen Schlüssel mit ihren DNS-Antworten mit. In Kürze können dann Surfer DNS-Antworten auf Unversehrtheit und Vertrauenswürdigkeit überprüfen.
Wenn ein Bind-Nameserver als Cache läuft, ist er anfällig für einen DoS-Angriff, der den Server zum Absturz bringen kann. Der Hersteller stellt Updates bereit, die den Fehler beseitigen.
Die Hüter der Top Level Domain .de haben damit begonnen, ihre Name Server mit einer DNSSEC-signierten Zone zu versorgen.
Das Konzept für sichere Internet-Verbindungen ist nicht erst seit dem SSL-Desaster von Comodo angeschlagen. Derzeit werden eine Reihe Vorschläge zur Verbesserung der Situation diskutiert.
Laut einer Umfrage des eco-Verbands unter 200 deutschen Registraren wollen immerhin 44 Prozent der Anbieter DNSSEC innerhalb der nächsten zwölf Monate einführen.
Damit wird die Achillesferse des Internet, das DNS-System, nicht nur in der Root-Zone, sondern noch in 67 weiteren Top-Level-Domains gegen DNS-Angriffe immunisiert sein und unter den zehn größten Domains der Welt fehlt dann nur noch eine.
Unter dem einheitlichen Domainnamen Wikileaks.de stellen Freiwillige bereits fast 200 WikiLeaks-Spiegelserver zur Verfügung. Der Einsatz von DNSSEC soll gewährleisten, dass Anwender nur authentische Inhalte zu Gesicht bekommen.
Dan Kaminsky hat ein Tool in Arbeit, mit dem Domainverwalter DNSSEC einfach einschalten und alle ihre Zonen im Nu signieren können. DNSSEC sichert DNS-Antworten kryptografisch ab, sodass Empfänger die Vertrauenswürdigkeit der DNS-Nachrichten sicherstellen können.
Ab dem 9. Dezember sollen .net-Domains mit im Domain Name System (DNS) hinterlegten Schlüsseln auf der Basis des neuen DNSSEC-Protokolls authentifiziert werden. Die Signierung der .com-Zone soll im März folgen.
Auf der IETF-Tagung in Maastricht befassten sich mehrere Arbeitsgruppen mit dem Chaos durch unterschiedliche Authentifizierungsverfahren. Abhilfe könnte unter anderem aus dem DNS kommen.
Zwei Wochen, nachdem DNSSEC in der Rootzone gestartet wurde, gibt es erste Tools für die Sicherungstechnik. Gleichzeitig ruft der Promi-Hacker und DNSSEC-Experte Dan Kaminsky dazu auf, sich den DNS-Schutz zur Brust zu nehmen.
Alle Antworten der 13 für das Domain Name System (DNS) autoritativen Rootserver liefern nun einen DNSSEC-Schlüssel (DNS Security Extensions) mit, der eine Authentifizierung der Zone und damit die Identifizierung manipulierter Antworten erlaubt.
Ab sofort lassen sich beliebige Domainnamen unter .org, einer der großen generischen Top Level Domains, mittels DNSSEC signieren und damit vor Fälschungen schützen. Die zuständige Public Internet Registry plant, die Erweiterung im Juli freizuschalten.
DNSSEC macht langsam Fortschritte, trotz offener Fragen beim Software-Support und in der Administration sowie noch bescheidener Zahlen - derzeit sind beim deutschen Test nur 700 Second-Level-Domains registriert.
Der letzte der autoritativen Rootserver für das Domain Name System wurde am gestrigen Mittwoch auf das Sicherheitsprotokoll DNS Security Extensions (DNSSEC) umgestellt. Probleme tauchten dabei bislang nicht auf.
Die Adresszone des Bundes beteiligt sich an dem von BSI, Denic und eco-Verband initiierten DNSSEC-Test für die .de-Zone.
DNS Security Extensions, kurz DNSSEC, soll für mehr Sicherheit im Domain Name System des Internets sorgen. Eine schrittweise Umstellung der DNS-Rootserver (drei weitere Server liefern nun DNSSEC-Zonen) soll dafür sorgen, dass nicht etwa Teile des Netzes für User unerreichbar werden.
Mit seiner Warnung vor einer akuten Gefährdung des Domain Name Systems zieht sich ICANN-Chef Rod Beckstrom den Unmut der Domainbetreiber zu. Die fürchten, die Regierungen könnten die falsche Schlüsse ziehen.
Am Wochenende beginnt in Kenias Hauptstadt Nairobi das 37. Treffen der Internet Corporation for Assigned Names and Numbers. Erste Workshops kommen bereits am Freitag zusammen.
Angesichts einiger Berichte aus Schweden und der Schweiz rechnen Experten damit, dass auch die DNS-Zone für die Toplevel-Domain .de bei Einführung der Sicherungserweiterung DNSsec für einige Zeit ausfallen könnte.
Laut einer bislang unveröffentlichten Studie des Bundesamts für Sicherheit in der Informationstechnik können nur neun von 38 getesteten Heimrouter mit der DNS-Sicherung DNSsec umgehen.
Ohne das Domain Name System, das jedem surfenden PC den Weg zu Servern weist, ist das heutige Internet kaum vorstellbar. Doch das DNS wurde noch im Internet-Pleistozän entwickelt, als man sich um Hacker noch keine Gedanken machte. Nun soll mit der DNSsec-Spezifikation das bisher vermisste Sicherheitskonzept gegen manipulierte DNS-Auskünfte Einzug halten.
ONLINE MARKT
Werbung
