Startseite » Agro » DNSSEC-Day am 30. Juni: Start der Diskussion und Agenda

DNSSEC-Day am 30. Juni: Start der Diskussion und Agenda

Gepostet am Jun 29, 2015 in Agro

Unerwartet viele Anwender nutzen bereits DNSSEC-validierende Resolver. Das ist eines der Resümees, das man aus der begonnenen Diskussion rund um DNS-Sicherheit anlässlich des kommenden DNSSEC-Day ziehen kann.

DNSSEC kann verhindern, dass Kriminelle den Aufruf einer Webseite auf manipulierte Server umleiten und anschließend Passwörter oder die Eingaben beim Online-Banking ausspionieren. Das Bundesamt für Sicherheit (BSI), die Registrierungsstelle für Domains mit .de-Endungen (DENIC) und der IT-Nachrichtendienst heise online, stellen DNSSEC am 30. Juni von 14 bis 18 Uhr ausführlich vor.

Kern des DNSSEC-Day am kommenden Dienstag ist ein Video-Live-Streaming auf heise online ? den genauen Link zum Stream veröffentlichen wir zum Start der Veranstaltung. In das Thema führen Screencast-Einspielungen in mehreren kurzen Kapiteln ein. In der anschließenden Live-Diskussion erklären Fachleute die Vorteile der Technik aus Sicht von Anwendern und Administratoren und behandeln Fragen der Zuschauer und Leser aus dem heise-online-Forum. Zusätzlich ergänzt die heise-netze-Redaktion die unter heise.de/netze/dnssec-day veröffentlichten Grundlagen- und Praxisartikel um weitere Beiträge. Neu auf der Seite hinzugekommen ist ein kurzes Stück zum Thema Einrichtung von Clients und Client-Netzen sowie ein umfassender Beitrag für Administratoren zur Konfiguration von DNSSEC und DANE auf Linux-Servern. Mehr zum Thema DNSSEC finden Sie auf der Themenseite von heise online.

Agenda des DNSSEC-Day

Das Streaming ist in vier Themenblöcke unterteilt. Start des Streaming-Events ist um 14:00 Uhr:

? DNSSEC: Wofür man die Technik braucht, wie sie in Grundzügen funktioniert

? Die Anwendersicht: Wie setzen Clients DNSSEC ein, welche Provider und DNS-Server sind ratsam

? Handreichungen für Administratoren: Eigene Domäne absichern, Registrare finden, Fallstricke vermeiden

? DNSSEC-Spezialitäten: Wie DNSSEC im Zusammenspiel mit weiteren Techniken Man-in-the-Middle-Attacken drastisch erschwert und die Mail-Verschlüsselung vereinfacht: OPENPGPKEY, SMIME/A, SSH Fingerprinting, IPSec

Bisher geplante Screencasts:

DNSSEC Kurzeinfuehrung
DNSSEC Resolver mit Unbound unter Windows installieren
DNSSEC Resolver mit Unbound unter Linux installieren
DNSSEC Resolver mit Windows 2012
Benutzung DNSSEC-Trigger unter Windows/Linux
DNSSEC Fehlersuche mit „dig“
DNSSEC Fehlersuche mit Internet-Diensten (DNSViz, Zonemaster …)
DNS Zone signieren mit BIND 9
DNS Zone signieren mit Windows 2012

APNIC
Überraschend viele Nutzer in Deutschland erhalten laut dieser Statistic des APNIC bereits validierte DNS-Auskünfte. Offenbar haben etliche Netzbetreiber validierende DNS-Resolver stillschweigend eingeführt.
Bild: APNIC

Kontroverse, aber fruchtbare Diskussion

In der begonnenen Diskussion anlässlich des DNSSEC-Day spiegelt sich die Ausgangslage der Technik in Deutschland wieder: Besonders unter technikaffinen Nutzern sind die Vorteile bekannt, aber mangels breiter Diskussion gibt es eine Annahme, dass DNSSEC, beziehungsweise das Validieren von DNS-Atworten, unter Anwendern kaum in Gebrauch ist. Im Forum moniert heise-Online-Leser EarthwormJim zurecht, dass das Ganze erst dann Sinn ergibt, wenn die Signaturen auch geprüft werden. Das „Deployment von DNSSEC-Verifiern auf Clients“ liegt dieser Wahrnehmung nach jedoch praktisch bei Null.

Der im weiteren spannende Austausch liefert am Ende auch erfreuliche Statistiken zum DNSSEC-Deployment: Ohne es zu wissen, nutzen offenbar viele Teilnehmer bereits validierende Resolver ? was teilweise schlicht daran liegt, das Netzbetreiber validierende Resolver stillschweigend einführen. Die „letzte Meile“ von einem solchen Resolver zum Nutzer bleibt zwar oft ungesichert, aber dagegen haben Administratoren wirksame Werkzeuge, schreibt heise-Online-Leser schnaba.

Absichern der letzten Meile

Warum ist heise.de nicht per DNSSEC abgesichert, fragt ho-Leser „Mein Herz schlägt links“ unter Verweis auf eigene signierte Zonen. Eine Antwort auf die Frage, die zugleich die Vorgehensweise bei anderen großen Produktivsystemen erklären kann, finden Sie im Beitrag DNSSEC bei heise online: Einführung in Etappen.

Unterdessen tauschen sich manche User auch schon über Erfahrungen mit Resolvern aus, die sie selbst betreiben. Wir steuern diesen Link zu einer Statistik bei, die validierende Anfragen erfasst und zwar getrennt nach Google- und sonstigen Resolvern. Wie diese Zahlen einzuschätzen sind, worin Vorteile von Google-Resolvern liegen könnten und überhaupt Fragen und Antworten zum Thema DNSSEC liefern am kommenden Dienstag Markus de Brün vom BSI, Peter Koch, DENIC, Patrick Koetter von sys4 sowie Carsten Strotmann von Men&Mice. (dz)

hier im Ratgeber lesen Sie hier im Ratgeber

NEWS ONLINE

Domain Name System: Weniger US-Übermacht, mehr Sicherheit durch mehr DNS-Rootserver? Mehr Rootserver für das DNS möchte das CNNIC, um alten Streit um die geografische Verteilung der DNS-Root zu beenden. Technisch machbar, heißt es bei der IETF. […]
Boomende Städte – Explodierende Einwohnerzahlen: Diesen Städten droht der Kollaps Den Städten steht in den kommenden Jahren laut einer Studie des Instituts der deutschen Wirtschaft (IW) eine Zuzugswelle bevor. Bis 2030 dürften in den 14 deutschen […]
Das Rechenzentrum steht ? jetzt beginnt der Betrieb Rechenzentrumsbetreiber stehen immer wieder vor dem Problem: Das große Projekt wie der Umbau oder Neubau eines Rechenzentrums ist erfolgreich gemeistert, der Bau […]
Industrie 4.0: Risiken durch IT-Sicherheitslücken liegen noch im Dunkel Manfred Hauswirth (Bild: heise online / Stefan Krempl) Die Wissenschaft stochere im Nebel, wenn sie Gefahren erkundet, die der vernetzten Industrie durch IT-Angriffe […]
Breitband-Internet: CDU will bis 2018 überall mindestens 50 MBit/s Überall in Deutschland sollen die Menschen einen Anspruch darauf haben, schnell im Internet unterwegs zu sein, sagt die CDU-Programmkommission. Die CDU will allen […]
Kluge E-Mail Adressen Validation Beim Ausfüllen eines Formulars wird oftmals - absichtlich oder unabsichtlich - eine Falsche E-Mail Adresse angegeben. Ein kleines Script kann Ihnen helfen zu prüfen, ob […]