DNSSEC: Schützen Sie Ihre Domain

Schützen Sie Ihre Domain vor Cache Poisoning

In den letzten Jahren haben Hacker ihre Methoden zum Poisoning (z. Dt. „Vergiften“) von DNS-Servern perfektioniert, um Traffic auf ihre eigenen Server umzuleiten (Phishing etc.), indem sie vom DNS-Verzeichnis ausgegebene Antworten fälschen. Dank unserer DNSSEC-Lösung können Sie Ihre DNS-Server ab sofort vor dieser Bedrohung schützen.

Ablaufdatum

Details

DNSSEC

Inklusive

Ablaufdatum

Details

- Sicheres DNS
- Schutz vor Cache Poisoning
- Über Ihr Kundencenter aktivierbar

Domain bestellen
An_DNS-Server_versendete_Anfrage

Angriffsablauf und Schutz durch DNSSEC

Der Benutzer gibt die Adresse www.ovhcloud.com in seinen Internetbrowser ein. Daraufhin wird eine Anfrage an den DNS-Server versendet, der die dazugehörige IP-Adresse zurückgibt: 213.186.33.34.

Bestätigte_IP

Der Browser kennt nun die IP-Adresse des Servers, der die Website www.ovhcloud.com enthält. Er sendet eine Anfrage an diese IP-Adresse, woraufhin ihm der Inhalt der Seite übermittelt wird.

Ein Hacker_hat_eine_Schwachstelle_im_DNS-Server_entdeckt

Die Gefahr: Cache Poisoning

Ein Hacker hat eine Schwachstelle im DNS-Server entdeckt. Es gelingt ihm, auf den Server einzudringen und die zu www.ovhcloud.com gehörige Adresse durch die IP seines eigenen Servers zu ersetzen: 203.0.113.78.

Infiziertes_DNS

Sobald der Benutzer die Adresse www.ovhcloud.com eingibt, wendet sich sein Browser an den DNS-Server, um die zugehörige IP-Adresse zu erhalten. Das infizierte DNS gibt die durch den Hacker eingetragene Adresse zurück: 203.0.113.78.

Gehackte_Website

Der Browser nutzt diese IP-Adresse, um den Inhalt der Website aufzurufen. Der Server des Hackers gibt ihm eine Website zurück, die www.ovhcloud.com ähnlich sieht, um so an die persönlichen Daten des Benutzers zu gelangen (Phishing).

DNSSEC_bestätigt_die_Authentizität_von_DNS-Antworten

Wozu dient DNSSEC?

DNSSEC beweist die Authentizität von DNS-Antworten. Wenn der Browser eine Anfrage sendet, wird mit der Antwort ein Authentifizierungsschlüssel zurückgegeben, der garantiert, dass die übermittelte IP korrekt ist.

Bestätigte_IP

Dem Benutzer wird so durch Erhalt einer per DNSSEC bestätigten IP versichert, dass er auf die richtige Website zugreift. Das Ziel ist, Unstimmigkeiten in den Antworten sichtbar zu machen.

Durch_DNSSEC_geschütztes_DNS

Wenn ein Hacker versucht, die in einem mit DNSSEC abgesicherten DNS-Server enthaltene Informationstabelle zu verändern, lehnt dieser die Anfrage ab, da die übermittelten Angaben nicht signiert sind.

DNSSEC aktivieren

Antworten auf die häufigsten Fragen

Wie kann ich meinen DNS-Server schützen?

Um gegen die oben genannte Bedrohung zu schützen, nutzt das DNSSEC-Protokoll die Prinzipien der asymmetrischen Kryptografie und der digitalen Signatur, um die Authentizität von Daten sicherzustellen, sowie einen Nachweis der Nichtexistenz, wenn der angeforderte Eintrag nicht existiert und als betrügerisch angesehen werden könnte.

DNSSEC aktivieren

Wozu dient das Domain Name System?

Ein DNS-Server gibt die zu einer Domain gehörige IP-Adresse aus (bzw. die URL im Falle einer Website). Es handelt sich also um eine Art Verzeichnis. Der DNS-Dienst übersetzt Domains in IP-Adressen sowie in andere Arten von DNS-Einträgen. Ihr Browser benötigt die IP-Adresse, um den Webserver zu kontaktieren, der für die von Ihnen aufgerufene Website zuständig ist, denn die IP ist eine einzigartige Identifikationsnummer für jede mit dem Internet verbundene Maschine und funktioniert genau wie eine Telefonnummer. Dies stellt einen diskreten aber für die Sicherheit im Internet ungemein wichtigen Aspekt dar. Das bestbekannte Beispiel für einen DNS-Server ist der BIND-Server, der internetweit am häufigsten verwendet wird.

Zurzeit sind hauptsächlich IPv4-Adressen registriert und der Übergang zu IPv6-Adressen läuft allmählich an. Jede Verknüpfung einer Domain mit einer IP-Adresse ist einzigartig.

Die DNS-Server beinhalten eine Hierarchie. Das Wurzelverzeichnis (in der Regel durch einen Punkt gekennzeichnet) ist das hierarchisch höchste Zentrum. Innerhalb einer Domain können dann mehrere Subdomains angelegt werden, die ihrerseits weitere Subdomain-Delegierungen erstellen können, die auf anderen Servern gehostet werden. Delegierungen erstellen somit neue Zonen mit einem eigenen hierarchischen System. Die Domains, die sich direkt unter dem Wurzelverzeichnis befinden, sind die Hauptdomains bzw. Top-Level-Domains (TLDs). Updates werden auf dem Hauptserver der Domain durchgeführt. Der Zonentransfer besteht im Kopieren der Einträge des Hauptservers auf die Sekundärserver.

Was geschieht bei der Abfrage eines DNS-Servers?

Wenn ein Host eine Domain sucht, durchläuft er schrittweise die gesamte DNS-Hierarchie bis zur betreffenden Domain. Ein Internetanbieter stellt seinen Kunden rekursive Server zur Verfügung, die derartige Suchvorgänge durchführen. Wenn ein solcher Server eine Suche für eine bestimmte IP-Adresse ausführt, sendet er die Anfrage an die Root-Server. Aus diesen wählt er einen Server aus, der ihm die gesuchte Antwort liefern kann. Ist der erste Server nicht dazu in der Lage, wählt der rekursive Server einen anderen aus usw. Es kann also sein, dass mehrere Server durchsucht werden, bevor die Anfrage erfolgreich abgeschlossen werden kann.

Im Fall einer umgekehrten Auflösung (Reverse DNS), das heißt, wenn eine Suchanfrage mit einer IP-Adresse gestartet wird, wird der Vorgang über einen PTR-Eintrag durchgeführt. Dieser gibt an, welcher Hostname zur Adresse des betreffenden Servers gehört. Ist der PTR-Eintrag angegeben, enthält er den umgekehrten Eintrag für einen DNS-A- oder DNS-AAAA-Record. Anfragen von Online-Mailservern enthalten keinen PTR-Eintrag, weshalb es eher vorkommen kann, dass diese nicht aufgelöst werden.

Welche DNS-Server-Einträge gibt es?

Ein weiterer DNS-Eintrag ist zum Beispiel der SOA Record (Start of Authority Record), der wichtige Angaben zur Zone enthält: Hauptserver, Kontakt-E-Mail, verschiedene Zeitangaben wie z. B. das Verfallsdatum, Seriennummer der Zone etc. Er ist gewissermaßen das Ausweisdokument des DNS-Servers. Die in diesem Eintrag enthaltene Seriennummer wird mit jeder Änderung der Zonendatei fortlaufend erhöht.

Darüber hinaus gibt es auch den TXT Record, der es Administratoren ermöglicht, Text in einem DNS-Eintrag zu erstellen. Jedem Eintragstyp wird außerdem eine TTL (Time to Live) zugewiesen, die der Lebensdauer entspricht; sie gibt also an, wie lange der Eintrag in einem Cache-Server gespeichert werden darf. Es ist genau diese Stelle, an der eine DNS-Cache-Poisoning-Attacke angreifen kann.

Was ist Cache Poisoning?

DNS-Cache-Vergiftung oder DNS-Cache-Poisoning ist eine Hackermethode zur Täuschung eines DNS-Servers, indem diesem der Erhalt einer rechtmäßigen und authentischen Antwort auf eine Anfrage vorgegaukelt wird. Der auf diese Weise kontaminierte DNS-Server legt die erhaltene Information im Cache ab. Benutzer werden daraufhin auf dubiose Websites weitergeleitet, die insbesondere für Phishing oder als Mittel zur Virus-Installation verwendet werden.

Dieser Angriff nutzt meistens eine Schwachstelle des DNS-Servers aus, die ungenaue oder fehlerhafte Anfragen annimmt. Die Opfer, die erwarten, zu einem bestimmten Inhalt weitergeleitet zu werden, sehen sich stattdessen mit einem anderen, potenziell gefährlichen Inhalt konfrontiert.

Ein DNS-Server verfügt in der Regel über einen Port 53. Die maximale Größe einer Antwort liegt bei 512 Bytes. Wird diese Grenze überschritten, wird die Anfrage an den TCP-Port 53 weitergeleitet. Eine derartige Weiterleitung ist jedoch eher selten, da Hosting-Anbieter die Möglichkeiten zum DNS-Zonentransfer auf diese Weise einschränken.

DNSSEC aktivieren

Wie konfiguriere ich eine DNSSEC-Zone in meinem DNS für eine bei OVHcloud gehostete Domain?

Informationen zur Aktivierung von DNSSEC finden Sie in den nachstehenden Anleitungen:
DNS-Zone bearbeiten
DNS-Server konfigurieren