Wer einen authoritativen Nameserver betreibt sollte die eigenen Zonen mit DNSsec sichern. Hier zeige ich euch, wie ihr einen rekursiven Nameserver so einrichtet, dass der DNSsec-Signaturen prüft. Was ist der Unterschied? Authoritative Nameserver sorgen beim Besitzer einer Domain, dass diese gefunden werden kann. Rekursive Nameserver suchen für einen Internetanschluss die richtige Verbindung zu fremden Domains.

Warum soll ich DNSsec aktivieren?

• Ich schütze mich damit gegen Angriffe auf Schwachstellen des DNS-Protokolls. 2008 entdeckte Dan Kaminsky eine Sicherheitslücke bei der über Cache Poisoning DNS-Einträge gefälscht werden können. Ohne DNSsec ist man nicht mehr sicher, dass das DNS die richtige IP-Adresse zu einer Domain liefert.
• Ich kann das DNS nutzen um andere Daten gegen Manipulation geschützt ablegen. Die ssh-Fingerprints-Einträge im DNS sind nicht mehr fälschbar; das Zertifikat für meinen Webserver lässt sich auch überprüfen, wenn ich der ausstellenden Zertifizierungsstelle nicht vertraue. Sogar selbst signierte Zertifikate lassen sich überprüfen. DANE oder TLSA heißt der Standard. Er hat das Potential die Verbreitung von Kryptografie im Internet zu fördern. Das erste Mal überhaupt können nun [Zertifikate beim Mailserverbetrieb wirklich getestet werden.)[https://www.heise.de/netze/meldung/Verschluesselter-Mail-Transport-Posteo-setzt-als-erster-Provider-DANE-ein-2187144.html) Zuvor musste ein Mailserver jedem Zertifikat vertrauen oder konnte nur Verbindungen zu einem engen Zirkel anderer Provider testen.
• DNSsec schützt gegen Spam, den der Provider anzeigt, wenn ich mich bei einer Webadresse vertippe. Immer mehr Provider fälschen DNS-Ergebnisse und zwingen ihre Nutzer bei Tippfehlern in der Webadresse damit auf die eigenen Werbeseiten. Im Web nervt dies nur, andere Dienste haben viel größere Probleme, wenn eine nicht existierende Domain aufgelöst werden kann. Das Internet ist nicht nur Web!
• Ich lerne mehr über die Technik, die ich nutze. Ganz nach persönlicher Einstellung kein Argument oder das wichtigste von allen. Im Moment sind Admins, die sich mit DNSsec auskennen, ihren Kollegen noch zwei Kopflängen voraus. Wer Erfahrung hat kann damit als Experte punkten und blickt in die Zukunft des Internets.

weiterlesen | read more | lee mas | lê mais | 閱讀更多 »

Vor ein paar Tagen habe ich bereits über einen Teil meines Nameserver-Setups mit Bind geschrieben. Ich habe erklärt, wie DDNS mit bind verwendet werden kann um beispielsweise Kunden die Möglichkeit zu geben Änderungen an Ihren Zonen über ein standardisiertes Protokoll durchzuführen oder die sich häufiger ändernde IP des Internetanschlusses zuhause immer aktuell im DNS zu hinterlegen. Dabei habe ich erwähnt, dass ein interessantes Argument für den Einsatz von DDNS zum Updaten von Zonen auch ist, dass bind in diesem Fall sich automatisch darum kümmert diese erneut zu signieren. Wie dieses Setup funktioniert möchte ich in diesem Artikel beschreiben.

weiterlesen | read more | lee mas | lê mais | 閱讀更多 »

Der Nameserver Bind bringt von Hause aus die Möglichkeit mit, dass Änderungen in Zonen dynamisch durchgeführt werden können. Dies kann zum Beispiel genutzt werden um selbst etwas wie DynDNS zu realisieren. In der Tat nennt sich das was Bind da implementiert auch DDNS. Spezifiziert ist das Protokoll in RFC 2136: Dynamic Updates in the Domain Name System (DNS UPDATE).

Da ich heute eh den größten Teil dieses Textes als Mini-HOWTO für einen Kollegen geschrieben habe, möchte ich ihn auch hier auf meinem Weblog für andere zur Verfügung stellen. Alle hier verwendeten Befehle sind Befehle von Bind. Unter Debian sind diese Utility-Befehle im Paket dnsutils verpackt. Aktuell benutze ich die Version 9.8.4 von Bind.

Ich zeige in diesem Artikel:

1. wie man einen kryptografischen Schlüssel zur Sicherung des Zugriffs erstellt,
2. wie die Konfiguration von Bind angepasst wird,
3. wie dynamische Updates an Bind geschickt werden und
4. was zu beachten ist, wenn weiterhin auch klassische Updates an der Zone durchgeführt werden sollen.

weiterlesen | read more | lee mas | lê mais | 閱讀更多 »