Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Domain Name System Security Extensions (DNSSEC) ist eine Suite von Erweiterungen, die dem DNS-Protokoll (Domain Name System) Sicherheit hinzufügen, indem DNS-Antworten überprüft werden können. DNSSEC stellt Ursprungsautorität, Datenintegrität und authentifizierte Bestätigung der Abwesenheit bereit. Mit DNSSEC ist das DNS-Protokoll weniger anfällig für bestimmte Angriffsformen, insbesondere DNS-Spoofingangriffe.
Funktionsweise von DNSSEC
DNS-Zonen können mit DNSSEC gesichert werden, indem ein Prozess namens Zonensignierung verwendet wird, wenn er mit einem autorisierenden DNS-Server verwendet wird, der DNSSEC unterstützt. Das Signieren einer Zone mit DNSSEC fügt eine Überprüfungsunterstützung zu einer Zone hinzu, ohne den grundlegenden Mechanismus einer DNS-Abfrage und -Antwort zu ändern.
Die Überprüfung von DNS-Antworten erfolgt mithilfe digitaler Signaturen, die in DNS-Antworten enthalten sind. Diese digitalen Signaturen sind in DNSSEC-bezogenen Ressourceneinträgen enthalten, die während der Zonensignierung generiert und der Zone hinzugefügt werden.
Die kernen DNSSEC-Erweiterungen werden in der folgenden Anforderung für Kommentare (RFCs) angegeben.
- RFC 4033: "DNS Security Introduction and Requirements"
- RFC 4034: "Ressourceneinträge für die DNS-Sicherheitserweiterungen"
- RFC 4035: "Protokolländerungen für die DNS-Sicherheitserweiterungen"
Die folgende Abbildung zeigt ein Beispiel für die DNS-Ressourceneinträge für die Zone contoso.com vor und nach der Zonensignierung.
Weitere Informationen zu jedem dieser Ressourceneinträge finden Sie unter DNSSEC-Ressourceneinträge.
DNSSEC-Ressourceneinträge
In der folgenden Tabelle sind die Ressourceneintragstypen aufgeführt, die mit DNSSEC verwendet werden.
| Ressourcendatensatztyp | Beschreibung |
|---|---|
| Ressourcendatensatzsignatur (RRSIG) | Signaturen, die mit DNSSEC generiert werden, sind in RRSIG-Einträgen enthalten. Jeder RRSIG-Eintrag wird mit einem anderen Datensatz in der Zone abgeglichen, für den er eine digitale Signatur bereitstellt. Wenn ein Resolver eine Abfrage für einen Namen ausgibt, werden ein oder mehrere RRSIG-Datensätze in der Antwort zurückgegeben. |
| Next Secure (NSEC) | Ein NSEC-Eintrag wird verwendet, um zu beweisen, dass kein DNS-Name vorhanden ist. NSEC-Einträge verhindern Spoofingangriffe, die einen DNS-Client dazu bringen sollen, zu glauben, dass kein DNS-Name vorhanden ist. |
| Next Secure 3 (NSEC3) | NSEC3 ist ein Ersatz oder eine Alternative zu NSEC, die das Zone Walking verhindert. Zone Walking ist der Prozess, NSEC-Anfragen zu wiederholen, um alle Namen in einer Zone abzurufen. Ein DNS-Server mit Windows Server 2012 oder höher unterstützt sowohl NSEC als auch NSEC3. Eine Zone kann entweder mit NSEC oder NSEC3 signiert werden, aber nicht mit beiden. |
| Next Secure 3 Parameter (NSEC3PARAM) | Der NSEC3PARAM-Eintrag wird verwendet, um zu bestimmen, welche NSEC3-Einträge in Antworten für nicht vorhandene DNS-Namen eingeschlossen werden sollen. |
| DNS-Schlüssel (DNSKEY) | Ein DNSKEY-Ressourceneintrag speichert einen öffentlichen kryptografischen Schlüssel, der zum Überprüfen einer Signatur verwendet wird. Der DNSKEY-Eintrag wird während des Überprüfungsprozesses von einem DNS-Server verwendet. DNSKEY-Einträge können öffentliche Schlüssel für einen Zonensignaturschlüssel (Zone Signing Key, ZSK) oder einen Schlüsselsignaturschlüssel (Key Signing Key, KSK) speichern. |
| Delegierungssignaturgeber (DS) | Ein DS-Eintrag ist ein DNSSEC-Eintragstyp, der zum Sichern einer Delegierung verwendet wird. DS-Datensätze werden verwendet, um Authentifizierungsketten mit untergeordneten Zonen zu erstellen. |
Mit Ausnahme des DS-Eintrags werden alle diese Einträge automatisch zu einer Zone hinzugefügt, wenn sie mit DNSSEC signiert wird. Der DS-Datensatz ist ein spezieller Datensatz, der manuell einer übergeordneten Zone hinzugefügt werden kann, um eine sichere Delegierung für eine untergeordnete Zone zu erstellen. Die Zone contoso.com kann z. B. einen DS-Eintrag für secure.contoso.com enthalten. Dieser Eintrag muss jedoch entweder in der übergeordneten Zone oder in einer untergeordneten Zone erstellt und dann an die übergeordnete Zone weitergegeben werden. Der DS-Eintrag wird nicht automatisch erstellt, wenn Sie eine Zone signieren.
NSEC- oder NSEC3-Datensätze werden während der Zonensignierung automatisch zu einer Zone hinzugefügt. Eine signierte Zone kann jedoch nicht über NSEC- und NSEC3-Einträge verfügen. Der Typ des Datensatzes (NSEC oder NSEC3), der der Zone hinzugefügt wird, hängt davon ab, wie die Zonensignierung konfiguriert ist. Im vorherigen Beispiel wird die Zone mit NSEC3 signiert.
Vertrauensanker
DNSKEY- und DS-Ressourceneinträge werden auch als Vertrauensanker oder Vertrauenspunkte bezeichnet. Ein Vertrauensanker muss an alle nicht autoritativen DNS-Server verteilt werden, die dnsSEC-Überprüfung von DNS-Antworten für eine signierte Zone ausführen. Wenn der DNS-Server auf einem Domänencontroller ausgeführt wird, werden die Vertrauensanker in der Verzeichnispartition der Gesamtstruktur in Active Directory-Domänendienste (Active Directory Domain Services, AD DS) gespeichert und können auf allen Domänencontrollern in der Gesamtstruktur repliziert werden. Auf eigenständigen DNS-Servern werden Vertrauensanker in einer Datei mit dem Namen TrustAnchors.dnsgespeichert.
Verwenden Sie Windows PowerShell, um die Vertrauensanker für eine Zone mithilfe des Befehls "Get-DnsServerTrustAnchor " anzuzeigen. Um alle aktuellen Vertrauenspunkte auf einem Server anzuzeigen, verwenden Sie den PowerShell-Befehl "Get-DnsServerTrustPoint ". Ein DNS-Server mit Windows Server 2012 oder einem höheren Betriebssystem zeigt auch konfigurierte Vertrauensanker in der DNS-Manager-Konsolenstruktur im Trust Points-Container an .
Nächste Schritte
Weitere Informationen dazu, wie DNSSEC Ressourceneinträge zum Überprüfen und Sichern von DNS-Antworten verwendet, finden Sie unter Überprüfen von DNS-Antworten.