Denic testet sicheres DNS
Das Domain Name System (DNS) ist das Rückgrat des Internets, kann allerdings manipuliert werden. So zeigte der Sicherheitsexperte Dan Kaminsky im vergangenen Jahr einen Angriff, mit dem einem DNS Cache relativ leicht falsche Daten untergeschoben werden konnten. Mit DNSSEC gibt es zwar ein Reihe von standardisierten Erweiterungen für DNS, über die die Authentizität der zwischen DNS-Server und Client ausgetauschten Daten überprüft werden kann, doch die konnten sich bislang nicht durchsetzen.
Dabei »brächte die breite Einführung von DNSSEC … durch die Sicherung der Datenintegrität eine Steigerung der Zuverlässigkeit im gesamten DNS«, wie die Denic im PDF DNSSEC Testbed für Deutschland schreibt. Wichtig wäre das vor allem, weil immer mehr Anwendungen auf das DNS zugreifen – etwa die Antispam-Technologien DomainKeys und SPF, die Schlüssel im DNS ablegen, oder VoIP-Anwendungen wie Asterisk, die über ENUM aus dem DNS die Informationen zum Vermitteln von Telefongesprächen beziehen. Da in der Regel kein Benutzer mehr an der Interaktion beteiligt ist, »hat die Verlässlichkeit des DNS-Systems hierbei eine noch höhere Bedeutung als beim Zugriff auf Webseiten«, so die Denic.
Gemeinsam mit dem BSI und dem eco will sie nun schrittweise den Testbetrieb von DNSSEC aufnehmen, um das System in der Praxis zu erproben. So sollen Probleme aufgespürt und wirtschaftliche wie organisatorische Fragen geklärt werden. Dafür baut man ab Juli eine parallele DNS-Infrasturktur für die TLD .de auf – bis dahin sammelt man unter anderem Infos über Endgeräte und Software, die DNSSEC unterstützen. Anfang 2011 sollen die Tests voraussichtlich abgeschlossen sein. (Daniel Dubsky)