Der DNSSEC-Day am 30. Juni: Eine Diskussion und Agenda
Die Diskussion rund um die DNS-Sicherheit hat begonnen und das Resümee ist überraschend: Es gibt bereits viele Nutzer die DNSSEC-validierende Resolver nutzen. Dieses positive Ergebnis ist ein wichtiger Bestandteil des anstehenden DNSSEC-Days.
DNSSEC (Domain Name System Security Extensions) ist ein Sicherheitsstandard der das Domain Name System (DNS) vor Angriffen schützt und die Integrität der DNS-Daten gewährleistet. Der DNSSEC-Day ist eine jährliche Veranstaltung, bei der Experten aus der ganzen Welt zusammenkommen um über die Bedeutung & Implementierung von DNSSEC zu diskutieren.
Bei der Diskussion rund um DNS-Sicherheit geht es darum, ebenso wie wir das Internet sicherer machen können. DNS-Angriffe sind eine der größten Bedrohungen für die Integrität des Internets. Durch Manipulationen der DNS-Daten können Angreifer Benutzer auf gefälschte Websites umleiten oder den Datenverkehr abfangen und manipulieren.
Der DNSSEC-Day dient dazu, Bewusstsein für DNSSEC zu schaffen und die Implementierung & Nutzung des Sicherheitsstandards voranzutreiben. Eine der wichtigsten Erkenntnisse der Diskussion ist, dass bereits viele Anwender DNSSEC-validierende Resolver nutzen. Dies zeigt, dass das Bewusstsein für DNS-Sicherheit in der Internetcommunity gestiegen ist und dass DNSSEC als effektive Sicherheitsmaßnahme anerkannt wird.
Die Agenda für den DNSSEC-Day am 30. Juni steht bereits fest und umfasst eine Vielzahl von Themen. Es wird über die aktuellen Entwicklungen & Herausforderungen bei der Implementierung von DNSSEC diskutiert. Darüber hinaus werden Best Practices für die Konfiguration und Verwaltung von DNSSEC-Infrastrukturen vorgestellt und diskutiert.
Ein weiterer wichtiger Punkt auf der Agenda ist die Zusammenarbeit zwischen verschiedenen Stakeholdern wie Regierungen, Internetdienstanbietern & Unternehmen um eine breitere Akzeptanz von DNSSEC zu erreichen. Nur wenn alle Akteure an einem Strang ziehen – kann DNSSEC seine volle Wirkung entfalten und das Internet sicherer machen.
Der DNSSEC-Day am 30. Juni ist eine wichtige Gelegenheit die Diskussion über DNS-Sicherheit voranzutreiben und die Implementierung von DNSSEC weiter voranzutreiben. Es ist motivierend zu sehen, dass bereits viele Anwender DNSSEC-validierende Resolver nutzen. Dies ist ein Schritt in die richtige Richtung – um das Internet sicherer und vertrauenswürdiger zu machen.
Das Bundesamt für Sicherheit (BSI) die Registrierungsstelle für Domains mit .de-Endungen (DENIC) und der IT-Nachrichtendienst heise online, stellen DNSSEC am 30. Juni von 14 bis 18 Uhr ausführlich vor.
Kern des DNSSEC-Day am kommenden Dienstag ist ein Video-Live-Streaming auf heise online ? den genauen Link zum Stream veröffentlichen wir zum Start der Veranstaltung. In das Thema führen Screencast-Einspielungen in mehreren kurzen Kapiteln ein. In der anschließenden Live-Diskussion erklären Fachleute die Vorteile der Technik aus Sicht von Anwendern & Administratoren und behandeln Fragen der Zuschauer und Leser aus dem heise-online-Forum. Zusätzlich ergänzt die heise-netze-Redaktion die unter heise.de/netze/dnssec-day veröffentlichten Grundlagen- & Praxisartikel um weitere Beiträge. Neu auf der Seite hinzugekommen ist ein kurzes Stück zum Thema Einrichtung von Clients und Client-Netzen und ebenfalls ein umfassender Beitrag für Administratoren zur Konfiguration von DNSSEC & DANE auf Linux-Servern. Mehr zum Thema DNSSEC finden Sie auf der Themenseite von heise online.
Agenda des DNSSEC-Day
Das Streaming ist in vier Themenblöcke unterteilt. Start des Streaming-Events ist um 14:00 Uhr:
? DNSSEC: Wofür man die Technik braucht wie sie in Grundzügen funktioniert
? Die Anwendersicht: Wie setzen Clients DNSSEC ein welche Provider und DNS-Server sind ratsam
? Handreichungen für Administratoren: Eigene Domäne absichern, Registrare finden, Fallstricke vermeiden
? DNSSEC-Spezialitäten: Wie DNSSEC im Zusammenspiel mit weiteren Techniken Man-in-the-Middle-Attacken drastisch erschwert und die Mail-Verschlüsselung vereinfacht: OPENPGPKEY, SMIME/A, SSH Fingerprinting, IPSec
Bisher geplante Screencasts:
DNSSEC Kurzeinfuehrung
DNSSEC Resolver mit Unbound unter Windows installieren
DNSSEC Resolver mit Unbound unter Linux installieren
DNSSEC Resolver mit Windows 2012
Benutzung DNSSEC-Trigger unter Windows/Linux
DNSSEC Fehlersuche mit "dig"
DNSSEC Fehlersuche mit Internet-Diensten (DNSViz, Zonemaster ...)
DNS Zone signieren mit BIND 9
DNS Zone signieren mit Windows 2012
Überraschend viele Nutzer in Deutschland erhalten laut dieser Statistic des APNIC bereits validierte DNS-Auskünfte. Offenbar haben etliche Netzbetreiber validierende DNS-Resolver stillschweigend eingeführt.
Bild: APNIC
Kontroverse jedoch fruchtbare Diskussion
In der begonnenen Diskussion anlässlich des DNSSEC-Day spiegelt sich die Ausgangslage der Technik in Deutschland wieder: Besonders unter technikaffinen Nutzern sind die Vorteile bekannt, aber mangels breiter Diskussion gibt es eine Annahme. Dass DNSSEC, beziehungsweise das Validieren von DNS-Atworten, unter Anwendern kaum in Gebrauch ist. Im Forum moniert heise-Online-Leser EarthwormJim zurecht dass das Ganze erst dann Sinn ergibt wenn die Signaturen auch geprüft werden. Das "Deployment von DNSSEC-Verifiern auf Clients" liegt dieser Wahrnehmung nach jedoch praktisch bei Null.
Der im weiteren spannende Austausch liefert am Ende auch erfreuliche Statistiken zum DNSSEC-Deployment: Ohne es zu wissen, nutzen offenbar viele Teilnehmer bereits validierende Resolver ? was teilweise schlicht daran liegt – das Netzbetreiber validierende Resolver stillschweigend einführen. Die "letzte Meile" von einem solchen Resolver zum Nutzer bleibt zwar oft ungesichert, aber dagegen haben Administratoren wirksame Werkzeuge, schreibt heise-Online-Leser schnaba.
Absichern der letzten Meile
Warum ist heise.de nicht per DNSSEC abgesichert, fragt ho-Leser "Mein Herz schlägt links" unter Verweis auf eigene signierte Zonen. Eine Antwort auf die Frage die zugleich die Vorgehensweise bei anderen großen Produktivsystemen erklären kann, finden Sie im Beitrag DNSSEC bei heise online: Einführung in Etappen.
Unterdessen tauschen sich manche User auch schon über Erfahrungen mit Resolvern aus die sie selbst betreiben. Wir steuern diesen Link zu einer Statistik bei die validierende Anfragen erfasst und zwar getrennt nach Google- und sonstigen Resolvern. Wie diese Zahlen einzuschätzen sind, worin Vorteile von Google-Resolvern liegen könnten und überhaupt Fragen und Antworten zum Thema DNSSEC liefern am kommenden Dienstag Markus de Brün vom BSI, Peter Koch, DENIC, Patrick Koetter von sys4 sowie Carsten Strotmann von Men&Mice.
Kommentare