DNSSEC: Wartungsintervalle

Sichere DNS-Auskunft per Kryptographie

Praxis & Tipps | Praxis

Seite 3: DNSSEC: Wartungsintervalle

Den größten Unterschied zwischen einem "normalen" DNS-Server und einem DNSSEC-Server stellt der ständige Bedarf an Aufmerksamkeit dar. Eine kleine Zone mit nur wenigen Updates, etwa Änderungen von IP-Adressen, kann viele Jahre ohne Administratoreingriffe auf einem DNS-Server laufen. Mit DNSSEC wird das anders, denn DNSSEC signiert alle DNS-Daten, und weil alle Signaturen nur eine begrenzte Lebensdauer haben, müssen sie regelmäßig erneuert werden. Sicherlich könnte man die Lebensdauer auch auf zehn Jahre setzen, aber das würde die Sicherheit einer Zone kompromittieren, sodass man dann DNSSEC ebensogut abschalten könnte.

Der Administrator einer Domain signiert die Einträge seiner Zonendatei mit seinem privaten ZSK, der wiederum mit seinem privaten KSK signiert ist. Eine derart signierte Zone gilt dann als vertrauenswürdig, wenn der übergeordnete Administrator den zugehörigen öffentlichen KSK signiert und in seiner eigenen Zonendatei zum Abruf hinterlegt hat (Chain of Trust).

Um die repetitive Verwaltung zu vereinfachen, braucht es also neue, möglichst automatische Abläufe. Aus Sicherheitsgründen geht aber nicht alles automatisch. So sollte man keine privaten Schlüssel auf dem DNSSEC-Server speichern, denn ein Einbrecher könnte so Zugriff auf die Zonendaten erhalten. Vielmehr sollten die Schlüssel auf einem mobilen Datenspeicher liegen (USB-Stick, CD …) – was bedeutet, dass man ihn zum Signieren jedes Mal aufs Neue auf dem Server mounten und anschließend entfernen muss. Gleiches gilt für kommerzielle DNSSEC-Appliances, bei denen der Schlüssel zum Beispiel auf einer Smartcard gespeichert wird. Zwar sind die Daten auf einer Smartcard ziemlich sicher aufbewahrt, aber die Einträge der Zonendatei müssen wiederum manuell signiert werden – und das ist nur bei Zonen mit wenigen Änderungen praktisch. Eine Registry oder ein großer Hoster muss den Vorgang automatisieren, was gegenwärtig mit Smartcards nicht geht.

Bei hohen Sicherheitsanforderungen empfiehlt es sich, die Zonendatei auf einem anderen Rechner zu signieren; die signierte Datei kopiert man dann zurück zum DNSSEC-Server – womit der Aufwand damit noch ein wenig zunimmt.

Die Top Level Domain .SE führt zum Beispiel einen eigenen Server, der nur für die Übertragung von Zonendateien im Netzwerk genutzt werden kann; das stellt eine spezielle Firewall-Konfiguration sicher. Alle zwei Stunden holt sich der Server eine neue Zonendatei, signiert sie und kopiert das Ergebnis zurück. Allen übrigen Netzwerkverkehr von und zu der Maschine unterbindet die Firewall. Änderungen zum Beispiel des Schlüssels sind nur auf der lokalen Konsole des Administrators in einem zutrittsgesicherten Raum möglich.

Kommentare

Anzeige