Fenster mit Auskunft

Windows 7 prüft DNS-Antworten mittels DNSSEC

Praxis & Tipps | Praxis

Wenn Windows-Rechner IP-Adressen abfragen, verlassen sie sich auf ungesicherte und damit nicht vertrauenswürdige Auskünfte des Domain Name System. Dabei gewinnt die kryptografisch abgesicherte DNS-Auskunft allmählich an Verbreitung und um diese zu nutzen, genügt schon der sehr einfach einzurichtende DNS-Server GbDns. Damit bewehrt, kann ein Windows-PC das ganze LAN mit abgesicherten DNS-Auskünften versorgen.

Microsoft hat sich als einer der ersten Betriebssystemhersteller um eine Implementierung der DNSSEC-Technik gekümmert, die kryptografisch abgesicherte DNS-Auskünfte liefert. Aber die Firma hat seinerzeit ihren DNSSEC-fähigen Server (z. B. im Windows Server 2008) nur auf die besonderen Anforderungen des US-Militärs ausgelegt – und ließ deshalb den SHA-256-Kryptografiealgorithmus weg.

Genau mit diesem hat aber die Internet Corporation for Assigned Names and Numbers (ICANN) ihren Hauptschlüssel fürs Domain Name System erzeugt (DNS-Key der Root Zone) und nur mit diesem Hauptschlüssel lässt sich prüfen, ob eine DNS-Auskunft von einem vertrauenswürdigen DNS-Server stammt (siehe Kasten „Wegweiser mit Schlüssel“). So kann der in Windows Server 2008 eingebaute DNS-Server lediglich die erste DNSSEC-Funktion nutzen, nämlich die DNS-Auskünfte daraufhin checken, ob sie den Transport unverfälscht überstanden haben. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

weiterführende Links

Anzeige