WorNet sichert Domains mit DNSSEC


Kann Ihre Domain DNSSEC? Schnell geprüft:
http://dnssec-debugger.verisignlabs.com/

DNS ist eines der zentralen Systeme des Internets. Umso erstaunlicher ist die Tatsache, dass DNS immer noch weitestgehend ungesichert betrieben wird. Verschlüsselung oder Signierung bei DNS? Fehlanzeige! Für DNS existiert allerdings seit einigen Jahren ein Standard namens  DNSSEC, der eigentlich für Sicherheit sorgen sollte. Dies geschieht bei DNSSEC mit Hilfe von kryptografisch signierten DNS-Records. Die Schlüsselkette muss dabei von allen an einer DNS-Rekursion beteiligten Nameservern bis zum Trust-Anchor bei den Top-Level-Registraren konsistent sein, so, dass der Empfänger die Herkunft von DNS-Antworten eindeutig validieren kann. Bislang können DNS-Abfragen ohne DNSSEC abgefangen und beliebig verändert werden. Damit könnte ein Angreifer beispielsweise durch Manipulation von DNS-Paketen eMails oder HTTP-Anfragen auf einen anderen Server umleiten. Diese Signierung verhindert nun unbemerktes Verändern der DNS-Inhalte.

Weiterlesen

DNS-Bug


Kundeninformation, August 2008
Protokollschwäche im Domain Name Service

Durch einen Fehler in einem der grundlegenden Internetprotokolle (Domain Name Service, DNS) ist es Angreifern möglich, Zugriffe auf Webseiten auf fremde Server umzuleiten.

Die WorNet-DNS-Server sind schnellstmöglich aktualisiert worden. Ebenso natürlich die von uns betreuten Firewalls.

Um festzustellen ob die von Ihnen verwendeten DNS-Server sicher sind, besuchen Sie bitte eine Test-Seite, z.B.:

https://www.dns-oarc.net/oarc/services/dnsentropy

Der Domain Name Service ist eine verteilte Datenbank für Rechnernamen und IP-Adressen. Da kein Rechner im Internet alle Information über Namen und IP-Adressen kennt müssen sich die Nameserver diese Informationen zusammensuchen und sich auf die Antwort des für eine Domain oder einen Adressbereich zuständigen Nameservers verlassen.

Leider ist es durch eine Schwäche bei der Definition des DNS-Protokolls für Angreifer leicht, so viele gefälschte Antworten an einen Nameserver zu schicken, dass eine davon vom Nameserver akzeptiert wird. Damit lassen sich z.B. Zugriffe auf Webseiten umleiten.

Bei Fragen rund um IT-Sicherheit und Entwicklung sicherheitsrelevanter Software stehen wir
Ihnen gerne zur Verfügung.