DNSSEC Dienst

Schützen Sie Ihre Domain vor Cache Poisoning.



DNSSEC verstehen


Ein DNS Server dient dazu, die zu einem Domainnamen (bzw. einer URL im Falle einer Webseite) gehörende IP-Adresse zu erfahren; die Funktionsweise ist mit einem Telefonbuch vergleichbar. Ihr Browser benötigt die IP-Adresse, um den Web-Server zu kontaktieren, der für die gewünschte Domain zuständig ist. Die IP-Adresse identifiziert eindeutig jede mit dem Internet verbundene Maschine, genau wie bei einer Telefonnummer. Es handelt sich also um einen kleinen, aber entscheidenden Bestandteil der Sicherheit im Internet.


In den letzten Jahren haben Hacker Methoden entwickelt, um DNS Server zu "vergiften", was es ihnen erlaubt, den Traffic auf ihre Server umzuleiten (für Phishing usw.), indem sie die Antworten verfälschen, die das DNS zurückgibt.

Aktivieren Sie DNSSEC mit 1 Klick für Ihr Shared Hosting und überprüfen Sie die Aktivierung mit Ihrem Browser über folgenden Hilfe.


Wie Sie eine DNSSEC Zone auf Ihrem Rootserver konfigurieren erfahren Sie in folgender Hilfe.







Wozu dient das DNS?



Der Benutzer gibt die Adresse www.ovh.de in seinem Internet-Browser ein. Daraufhin wird eine Anfrage an den DNS Server gesandt, der die dazugehörige IP-Adresse zurückgibt: 213.186.33.34.





Der Internet-Browser kennt nun die IP-Adresse des Servers, der die Seite www.ovh.deenthält. Er sendet dann eine Anfrage an diese IP-Adresse, woraufhin ihm der Inhalt der Seite übermittelt wird.











Die Gefahr: Cache Poisoning



Ein Hacker hat eine Sicherheitslücke im DNS Server entdeckt. Er verschafft sich Zugang zum Server und ersetzt die zu www.ovh.de gehörende Adresse durch die IP eines Servers, der ihm gehört: 203.0.113.78.










Wenn der Benutzer die Adresse www.ovh.deeingibt, dann wendet sich sein Browser an den DNS Server, um die dazugehörige IP-Adresse zu erhalten, und das infizierte DNS gibt die von Hacker injizierte Adresse zurück: 203.0.113.78.













Der Browser verwendet diese IP-Adresse, um den Inhalt der Seite abzurufen. Der Hacker-Server sendet ihm eine Seite zurück, die ähnlich aussieht wie www.ovh.deum beispielsweise seine persönlichen Daten abzugreifen (Phishing).









Wozu dient DNSSEC?



DNSSEC erlaubt es, die Authentizität einer DNS Antwort sicherzustellen. Wenn der Browser eine Anfrage versendet, dann wird mit der Antwort ein Authentifizierungs-Schlüssel zurückgegeben, der garantiert, dass die übermittelte IP korrekt ist.










Der Nutzer kann somit sicherstellen, dass er auf die richtige Seite gelangt, wenn er eine per DNSSEC validierte IP übermittelt bekommt











Wenn ein Hacker versucht, die in einem mit DNSSEC abgesicherten DNS Server enthaltene Tabelle zu verändern, dann lehnt dieser die Anfrage ab, da die übermittelten Angaben nicht signiert sind.








Mehr Informationen


Interview mit Stéphane Lesimple, dem Verantwortlichen für Domainnamen bei OVH.