· IT-Infrastruktur  · 3 min read

DNSSEC konfigurieren: Sicherheit für DNS-Infrastruktur

DNSSEC sichert DNS-Antworten kryptografisch gegen Manipulation. Wer einen eigenen Resolver betreibt, muss Trust Anchors aktuell halten, sonst drohen Auflösungsfehler für alle gesicherten Domains.

DNSSEC sichert DNS-Antworten kryptografisch gegen Manipulation. Wer einen eigenen Resolver betreibt, muss Trust Anchors aktuell halten, sonst drohen Auflösungsfehler für alle gesicherten Domains.

DNSSEC konfigurieren: Sicherheit für DNS-Infrastruktur

DNSSEC (Domain Name System Security Extensions) ist ein Protokoll-Erweiterungsset, das DNS-Antworten mit digitalen Signaturen absichert. Resolver können damit prüfen, ob eine DNS-Antwort von einem autorisierten Nameserver stammt und ob sie auf dem Weg manipuliert wurde. Standard-DNS liefert keine solche Integritätsprüfung.

Was DNS leistet und wo es angreifbar ist

Das Domain Name System übersetzt Domainnamen in IP-Adressen und bildet die Grundlage jeder Netzwerkkommunikation. Standard-DNS-Antworten kommen ohne Integritätsnachweis. Angreifer können DNS-Antworten fälschen (DNS Spoofing oder Cache Poisoning) und Nutzer auf manipulierte Server umleiten, ohne dass der Nutzer es bemerkt.

DNSSEC schließt diese Lücke durch eine kryptografische Vertrauenskette: von der Root-Zone bis zur einzelnen Domain. Der Schlüssel am Anfang dieser Kette ist der Root-Key-Signing-Key (KSK), den ICANN verwaltet.

Root-KSK-Rollover: Was der Schlüsseltausch bedeutet

ICANN tauscht den Root-KSK periodisch aus, um die Sicherheit zu erhalten. Der erste öffentliche Root-KSK-Rollover fand am 11. Oktober 2018 statt.

Systeme, die DNSSEC-Validierung aktiv betreiben und den alten Schlüssel hartcodiert oder nicht automatisch aktualisiert hatten, erhielten nach dem Rollover Auflösungsfehler (SERVFAIL) für alle DNSSEC-gesicherten Domains. Das Muster wiederholt sich bei künftigen Rollovern.

Wer handeln muss

Betroffen sind Administratoren, die einen eigenen validierenden DNS-Resolver betreiben, konkret:

  • BIND mit aktivierter DNSSEC-Validierung
  • Unbound
  • Windows DNS Server mit DNSSEC-Validierung

Wer ausschließlich die DNS-Resolver des Internetanbieters oder Hosters nutzt, ist in der Regel nicht direkt betroffen.

Konfigurationsschritte

1. DNSSEC-Validierung prüfen

BIND-Befehl zur Prüfung:

named-checkconf -p | grep dnssec-validation

Erwarteter Wert: yes oder auto.

2. Trust Anchor auf Aktualität prüfen

Bei BIND liegt der Trust Anchor in named.conf oder einer separaten bind.keys-Datei. Sicherstellen, dass der aktuelle Root-KSK enthalten ist. Den aktuellen Schlüssel veröffentlicht ICANN unter iana.org/dnssec/files.

3. Automatische Aktualisierung aktivieren

RFC 5011 beschreibt einen Mechanismus, mit dem Resolver neue Trust Anchors automatisch übernehmen. In aktuellen BIND- und Unbound-Versionen ist dieser Mechanismus über managed-keys verfügbar:

managed-keys {
  . initial-key 257 3 8 "AwEAAaz...";
};

Bei korrekt aktiviertem RFC-5011-Mechanismus übernimmt der Resolver neue Schlüssel automatisch, sobald ICANN sie angekündigt hat.

4. Monitoring für DNS-Auflösungsfehler einrichten

  • SERVFAIL-Fehlercodes in Resolver-Logs gezielt auswerten
  • Externe DNS-Monitoring-Dienste einsetzen, die DNSSEC-Validierung testen
  • Event-Log auf Windows-DNS-Servern auf DNSSEC-Ereignisse überwachen

Eigene Domain mit DNSSEC absichern

Neben dem Resolver-Betrieb kann auch die eigene Domain mit DNSSEC signiert werden. Dazu muss der Domain-Registrar DNSSEC unterstützen und der DS-Record (Delegation Signer) im übergeordneten Nameserver eingetragen sein.

Vorteile für KMU: DNSSEC-gesicherte Domains schützen Besucher vor DNS-Spoofing-Angriffen, die auf gefälschte Webseiten umleiten. Das ist besonders relevant für Domains, über die sensible Daten übertragen werden (Kundendaten, Login-Seiten).

Lessons Learned aus dem KSK-Rollover 2018

Vorbereitete Systeme überlebten den Rollover ohne Unterbrechung. Systeme ohne automatische Trust-Anchor-Aktualisierung fielen für alle DNSSEC-validierten Domains aus. Fazit: Wer DNS-Infrastruktur betreibt, muss den Wartungszyklus dieser Systeme kennen und den RFC-5011-Mechanismus dauerhaft aktiv halten.

Techiota berät bei der Konfiguration und dem Monitoring von DNS-Infrastruktur. Sprechen Sie uns an: techiota.de

Was ist DNSSEC? DNSSEC (Domain Name System Security Extensions) erweitert das DNS-Protokoll um digitale Signaturen. Resolver können damit prüfen, ob DNS-Antworten authentisch und unmanipuliert sind. DNSSEC schützt vor DNS-Spoofing und Cache-Poisoning-Angriffen.

Muss ich als KMU DNSSEC aktivieren? Das hängt davon ab, ob Sie eigene DNS-Resolver oder Nameserver betreiben. Wer externe Resolver des Hosters nutzt, hat keinen direkten Handlungsbedarf beim Resolver. Empfehlenswert ist jedoch, die eigene Domain DNSSEC-signieren zu lassen, sofern der Registrar das unterstützt.

Was passiert, wenn der Trust Anchor veraltet ist? Veraltete Trust Anchors führen nach einem Root-KSK-Rollover zu SERVFAIL-Fehlern bei der Auflösung aller DNSSEC-validierten Domains. Für betroffene Systeme bedeutet das faktisch DNS-Ausfall, bis der Trust Anchor manuell aktualisiert wird.

Share:
Back to Blog

Related Posts

View All Posts »
Access-Schreibkonflikt mit MariaDB, MySQL oder MSSQL beheben

Access-Schreibkonflikt mit MariaDB, MySQL oder MSSQL beheben

Die Fehlermeldung "Dieser Datensatz wurde seit Beginn der Bearbeitung von einem anderen Benutzer geändert" tritt in Access-Frontends mit externem Backend häufiger auf als erwartet. Die Ursache liegt im Datentyp, die Lösung in einem TIMESTAMP-Feld.