1 / 12
🔒
🌐
🔐

DNSSEC

Domain Name System Security Extensions

Eine umfassende Einführung in die sichere DNS-Infrastruktur

Präsentation starten →

Was ist DNS?

Das Domain Name System (DNS) ist wie das Telefonbuch des Internets. Es übersetzt menschenlesbare Domainnamen in IP-Adressen.

DNS-Auflösung Demo

Beispiel: google.com → 172.217.16.142

DNS

Sicherheitsprobleme im DNS

🎭 Spoofing

Angreifer können gefälschte DNS-Antworten senden

🕳️ Cache Poisoning

Manipulation von DNS-Caches mit falschen Daten

👤 Man-in-the-Middle

Abfangen und Manipulieren von DNS-Anfragen

❌ Fehlende Authentifizierung

Keine Überprüfung der Datenintegrität

Was ist DNSSEC?

DNSSEC (Domain Name System Security Extensions) erweitert DNS um kryptographische Authentifizierung und Datenintegrität.

Kernprinzipien

🔐 Authentifizierung

Überprüfung der Herkunft

🛡️ Integrität

Schutz vor Manipulation

Kryptographische Grundlagen

DNSSEC verwendet Public-Key-Kryptographie mit digitalen Signaturen.

Private Key → Signierung der DNS-Daten Public Key → Verifikation der Signaturen

Signatur-Demo

Klicken Sie auf "Signieren", um den Prozess zu sehen

DNSSEC Resource Records

RRSIG

Resource Record Signature
Enthält die digitale Signatur für DNS-Daten

DNSKEY

DNS Public Key
Speichert öffentliche Schlüssel für Verifikation

DS

Delegation Signer
Verknüpft übergeordnete und untergeordnete Zonen

NSEC/NSEC3

Next Secure
Beweist die Nicht-Existenz von Domains

Chain of Trust (Vertrauenskette)

DNSSEC erstellt eine hierarchische Vertrauenskette vom Root bis zur Ziel-Domain.

Vertrauenskette Visualisierung

📍 Root (.) - Trust Anchor
├── 🔗 .com TLD
└── 🎯 example.com

DNSSEC Validierungsprozess

1. DNS-Anfrage senden 2. Signierte Antwort erhalten 3. Öffentlichen Schlüssel abrufen 4. Signatur überprüfen 5. Vertrauenskette validieren 6. Ergebnis: SECURE, INSECURE oder BOGUS

Bereit für Validierung

DNSSEC Konfiguration

Schlüsselgenerierung

# Zone Signing Key (ZSK) generieren dnssec-keygen -a RSASHA256 -b 1024 example.com # Key Signing Key (KSK) generieren dnssec-keygen -a RSASHA256 -b 2048 -f KSK example.com # Zone signieren dnssec-signzone -o example.com example.com.zone

Vorteile & Nachteile

✅ Vorteile

  • 🛡️ Schutz vor DNS-Spoofing
  • 🔐 Datenintegrität
  • 🎯 Authentifizierung
  • 🌐 Globaler Standard
  • 🔄 Rückwärtskompatibilität

⚠️ Nachteile

  • 📈 Erhöhter Traffic
  • ⚙️ Komplexe Konfiguration
  • 🔄 Schlüsselverwaltung
  • ⏱️ Zusätzliche Latenz
  • 💰 Höhere Kosten

Wissenstest

Was bedeutet DNSSEC?

A) Domain Name System Secure Connections
B) Domain Name System Security Extensions
C) Dynamic Network Security System Extensions
D) Distributed Name Service Security Control

Zusammenfassung

🎯 Ziel

Sichere DNS-Infrastruktur durch kryptographische Authentifizierung

🔧 Methode

Digitale Signaturen und hierarchische Vertrauenskette

📊 Status

Wachsende Adoption weltweit, aber noch nicht flächendeckend

🚀 Zukunft

Essentiell für sichere Internet-Infrastruktur

Vielen Dank für Ihre Aufmerksamkeit!

← Zurück
Weiter →