DNSSEC Dienst

Schützen Sie Ihre Domain vor Cache Poisoning.

DNSSEC verstehen

Ein DNS Server dient dazu, die zu einem Domainnamen (bzw. einer URL im Falle einer Webseite) gehörende IP-Adresse zu erfahren; die Funktionsweise ist mit einem Telefonbuch vergleichbar. Ihr Browser benötigt die IP-Adresse, um den Web-Server zu kontaktieren, der für die gewünschte Domain zuständig ist. Die IP-Adresse identifiziert eindeutig jede mit dem Internet verbundene Maschine, genau wie bei einer Telefonnummer. Es handelt sich also um einen kleinen, aber entscheidenden Bestandteil der Sicherheit im Internet.

In den letzten Jahren haben Hacker Methoden entwickelt, um DNS Server zu "vergiften", was es ihnen erlaubt, den Traffic auf ihre Server umzuleiten (für Phishing usw.), indem sie die Antworten verfälschen, die das DNS zurückgibt.

DNSSEC aktivieren

In der folgenden Anleitung erfahren Sie, wie Sie eine DNSSEC Zone auf Ihrem Dedicated Server einrichten.

Zur Anleitung

Wozu dient das DNS?

Der Benutzer gibt die Adresse www.ovh.de in seinem Internet-Browser ein. Daraufhin wird eine Anfrage an den DNS Server gesandt, der die dazugehörige IP-Adresse zurückgibt: 213.186.33.34.

Der Browser kennt nun die IP-Adresse des Servers, der die Website www.ovh.de enthält. Er sendet dann eine Anfrage an diese IP-Adresse, woraufhin ihm der Inhalt der Seite übermittelt wird.

Die Gefahr: Cache Poisoning

Ein Hacker hat eine Sicherheitslücke im DNS Server entdeckt. Er verschafft sich Zugang zum Server und ersetzt die zu www.ovh.de gehörende Adresse durch die IP eines Servers, der ihm gehört: 203.0.113.78.

Wenn der Benutzer die Adresse www.ovh.de eingibt, wendet sich sein Browser an den DNS Server, um die dazugehörige IP-Adresse zu erhalten. Das infizierte DNS gibt die von Hacker injizierte Adresse zurück: 203.0.113.78.

Der Browser verwendet diese IP-Adresse, um den Inhalt der Seite abzurufen. Der Hacker-Server sendet ihm eine Seite zurück, die ähnlich aussieht wie www.ovh.de, um beispielsweise seine persönlichen Daten abzugreifen (Phishing).

Wozu dient DNSSEC?

DNSSEC erlaubt es, die Authentizität einer DNS Antwort sicherzustellen. Wenn der Browser eine Anfrage versendet, wird mit der Antwort ein Authentifizierungs-Schlüssel zurückgegeben, der garantiert, dass die übermittelte IP korrekt ist.

Der Nutzer kann somit sicherstellen, dass er auf die richtige Seite gelangt, wenn ihm eine per DNSSEC validierte IP übermittelt wird.

Wenn ein Hacker versucht, die in einem mit DNSSEC abgesicherten DNS Server enthaltene Tabelle zu verändern, lehnt dieser die Anfrage ab, da die übermittelten Angaben nicht signiert sind.