Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
DNSSEC (Domain Name System Security Extensions) ist eine Sammlung von Erweiterungen zur Erhöhung der Sicherheit des DNS-Protokolls durch die Überprüfung von DNS-Antworten. DNSSEC stellt Ursprungsautorität, Datenintegrität und authentifizierte Bestätigung der Abwesenheit bereit. Mit DNSSEC ist das DNS-Protokoll weniger anfällig für bestimmte Angriffsformen, insbesondere DNS-Spoofingangriffe.
Funktionsweise von DNSSEC
DNS-Zonen können mit DNSSEC unter Verwendung eines Prozesses namens Zonensignatur geschützt werden, wenn sie mit einem autoritativen DNS-Server verwendet werden, der DNSSEC unterstützt. Die Zonensignatur mit DNSSEC fügt einer Zone Überprüfung hinzu, ohne dass der grundlegende Mechanismus von DNS-Abfragen und -Antworten geändert werden muss.
Die Überprüfung von DNS-Antworten erfolgt mithilfe digitaler Signaturen, die in DNS-Antworten enthalten sind. Diese digitalen Signaturen sind in DNSSEC-bezogenen Ressourceneinträgen enthalten, die während der Zonensignierung erstellt und der Zone hinzugefügt werden.
Die wichtigsten DNSSEC-Erweiterungen werden in den folgenden RFCs (Request for Comments) erläutert.
- RFC 4033: DNS-Sicherheit – Einführung und Anforderungen
- RFC 4034: Ressourceneinträge für die DNS-Sicherheitserweiterungen
- RFC 4035: Protokolländerungen für die DNS-Sicherheitserweiterungen
Die folgende Abbildung zeigt ein Beispiel für DNS-Ressourceneinträge in der Zone „contoso.com“ vor und nach dem Signieren der Zone.
Weitere Informationen zu diesen Ressourceneinträgen finden Sie unter DNSSEC-Ressourceneinträge.
DNSSEC-Ressourceneinträge
Die folgende Tabelle zeigt die Ressourceneintragstypen, die mit DNSSEC verwendet werden.
| Typ des Ressourcendatensatzes | Beschreibung |
|---|---|
| Ressourcendatensatzsignatur (RRSIG) | Signaturen, die mit DNSSEC generiert wurden, sind in RRSIG-Einträgen enthalten. Jeder RRSIG-Datensatz wird mit einem anderen Datensatz in der Zone verglichen, für den er eine digitale Signatur bereitstellt. Wenn von einem Resolver eine Abfrage für einen Namen ausgegeben wird, wird in der Antwort mindestens ein RRSIG-Datensatz zurückgegeben. |
| Next Secure (NSEC) | Ein NSEC-Datensatz wird zum Nachweisen von fehlenden DNS-Namen verwendet. NSEC-Einträge verhindern Spoofingangriffe, bei denen einem DNS-Client vorgetäuscht wird, dass ein DNS-Name nicht vorhanden ist. |
| Next Secure 3 (NSEC3) | NSEC3 ist ein Ersatz für oder eine Alternative zu NSEC und verhindert Zone Walking. Bei Zone Walking handelt es sich um wiederholte NSEC-Abfragen, um alle Namen in einer Zone abzurufen. Ein DNS-Server mit Windows Server 2012 oder einem neueren Betriebssystem unterstützt NSEC und NSEC3. Eine Zone kann mit NSEC oder NSEC3 signiert werden, jedoch nicht mit beiden. |
| Next Secure 3-Parameter (NSEC3PARAM) | Der NSEC3PARAM-Eintrag wird verwendet, um festzustellen, welche NSEC3-Einträge in Antworten auf nicht vorhandene DNS-Namen enthalten sein sollen. |
| DNS-Schlüssel (DNSKEY) | In einem DNSKEY-Ressourceneintrag wird ein öffentlicher Kryptografieschlüssel gespeichert, der zum Überprüfen einer Signatur verwendet wird. Der DNSKEY-Datensatz wird im Rahmen der Überprüfung von einem DNS-Server verwendet. DNSKEY-Datensätze können öffentliche Schlüssel für einen Zonensignaturschlüssel (ZSK) oder einen Schlüsselsignaturschlüssel (KSK) speichern. |
| Delegierungssignaturgeber (DS) | Ein DS-Eintrag ist ein DNSSEC-Eintragstyp, der verwendet wird, um eine Delegierung zu schützen. DS-Datensätze werden verwendet, um Authentifizierungsketten mit untergeordneten Zonen zu erstellen. |
Mit Ausnahme des DS-Eintrags werden alle diese Einträge automatisch einer Zone hinzugefügt, wenn diese mit DNSSEC signiert wird. Der DS-Datensatz ist ein spezieller Datensatz, der manuell einer übergeordneten Zone hinzugefügt werden kann, um eine sichere Delegierung für eine untergeordnete Zone zu erstellen. Beispielsweise kann die Zone „contoso.com“ einen DS-Eintrag für „secure.contoso.com“ enthalten. Dieser Eintrag muss jedoch entweder in der übergeordneten Zone oder in einer untergeordneten Zone erstellt und dann an die übergeordnete Zone weitergegeben werden. Der DS-Eintrag wird nicht automatisch erstellt, wenn Sie eine Zone signieren.
NSEC- oder NSEC3-Datensätze werden einer Zone automatisch während der Zonensignatur hinzugefügt. Allerdings kann eine signierte Zone nicht gleichzeitig über NSEC- und NSEC3-Einträge verfügen. Der hinzugefügte Datensatztyp (NSEC oder NSEC3) hängt von der Konfiguration der Zonensignatur ab. Im vorherigen Beispiel ist die Zone mit NSEC3 signiert.
Vertrauensanker
DNSKEY- und DS-Ressourcendatensätze werden auch Vertrauensanker oder Vertrauenspunkte genannt. Ein Vertrauensanker muss an alle nicht autoritativen DNS-Server verteilt werden, die DNSSEC-Überprüfung der DNS-Antworten für eine signierte Zone ausführen. Wenn der DNS-Server auf einem Domänencontroller ausgeführt wird, werden die Vertrauensanker in der Verzeichnispartition der Gesamtstruktur in Active Directory-Domänendienste (Active Directory Domain Services, AD DS) gespeichert und können auf allen Domänencontrollern in der Gesamtstruktur repliziert werden. Auf eigenständigen DNS-Servern werden Vertrauensanker in einer Datei mit dem Namen TrustAnchors.dns gespeichert.
Verwenden Sie Windows PowerShell, um die Vertrauensanker für eine Zone mithilfe des Befehls Get-DnsServerTrustAnchor anzuzeigen. Verwenden Sie zum Anzeigen der aktuellen Vertrauenspunkte auf einem Server den PowerShell-Befehl Get-DnsServerTrustPoint. Auf einem DNS-Server unter Windows Server 2012 oder einem neueren Betriebssystem werden konfigurierte Vertrauensanker auch in der DNS-Manager-Konsolenstruktur im Container Vertrauenspunkte angezeigt.
Nächste Schritte
Weitere Informationen dazu, wie DNSSEC Ressourceneinträge zum Überprüfen und Schützen von DNS-Antworten verwendet, finden Sie unter Überprüfen und Schützen von DNS-Antworten mithilfe von DNSSEC.