(0) exportieren Drucken
Alle erweitern

Übersicht über DNSSEC

Veröffentlicht: Juni 2012

Letzte Aktualisierung: Juni 2012

Betrifft: Windows Server 2012

In Umgebungen ohne Sicherheitstechnologien wie IPsec oder HTTPS ist das DNS-Protokoll aufgrund fehlender Authentifizierung und Überprüfung der Daten, die zwischen DNS-Servern ausgetauscht oder für DNS-Clients bereitgestellt werden, unter Umständen anfällig für Angriffe. DNSSEC (Domain Name System Security Extensions) ist eine Sammlung von Erweiterungen zur Erhöhung der Sicherheit des DNS-Protokolls, die DNS-Servern die Überprüfung von DNS-Antworten ermöglicht. Mit DNSSEC werden Ressourcendatensätze mit digitalen Signaturen versehen. Diese digitalen Signaturen werden generiert, wenn DNSSEC im Rahmen einer so genannten Zonensignierung auf eine DNS-Zone angewendet wird. Gibt ein Resolver eine DNS-Abfrage für einen Ressourcendatensatz in einer signierten Zone aus, wird mit der Antwort eine digitale Signatur zurückgegeben, um eine Validierung zu ermöglichen. Ist die Validierung erfolgreich, wurden die Daten nicht geändert oder manipuliert.

Von DNSSEC wird mithilfe von digitalen Signaturen und Kryptografieschlüsseln die Authentizität von DNS-Antworten überprüft. In den folgenden Abschnitten wird kurz auf die Verwaltung dieser Signaturen sowie auf die Ausführung der Validierung eingegangen.

Mit DNSSEC generierte Signaturen sind innerhalb der DNS-Zone in neuen Ressourcendatensätzen enthalten. Diese neuen Ressourcendatensätze werden als Resource Record Signature-Datensätze (kurz: RRSIG-Datensätze) bezeichnet. Wenn von einem Resolver eine Abfrage für einen Namen ausgegeben wird, wird in der Antwort mindestens ein RRSIG-Datensatz zurückgegeben. Die Signatur wird mithilfe eines öffentlichen Kryptografieschlüssels überprüft, der in einem DNSKEY-Ressourcendatensatz gespeichert ist. Der DNSKEY-Datensatz wird im Rahmen der Validierung von einem DNS-Server abgerufen.

Durch Signieren einer Zone mit DNSSEC versehen Sie jeden Datensatz in der Zone mit einer eigenen Signatur. Da jeder Datensatz eine eigene Signatur besitzt, können Sie Datensätze in der Zone hinzufügen, ändern oder löschen, ohne die gesamte Zone neu signieren zu müssen. Stattdessen müssen nur die aktualisierten Datensätze neu signiert werden.

Wird eine Abfrage vom DNS-Server mit der Information beantwortet, dass kein passender Ressourcendatensatz gefunden wurde, muss auch diese Antwort auf ihre Authentizität hin überprüft werden. Da jedoch kein Ressourcendatensatz vorhanden ist, gibt es auch keinen RRSIG-Datensatz. Die Lösung für dieses Problem ist der Next Secure-Datensatz (kurz: NSEC-Datensatz). Mithilfe von NSEC-Datensätzen wird eine Kette von Links zwischen signierten Ressourcendatensätzen erstellt. Der NSEC-Datensatz kann für ein Validierungssteuerelement als Beleg dafür fungieren, dass der Name nicht vorhanden ist oder dass der vorhandene Name keine Datensätze des angeforderten Typs enthält. Dies wird als authentifizierte Abwesenheit bezeichnet.

NSEC3 ist ein Ersatz für bzw. eine Alternative zu NSEC und verhindert zusätzlich das so genannte Zone Walking, bei dem NSEC-Abfragen wiederholt werden, um alle Namen in einer Zone abzurufen. Ein DNS-Server mit Windows Server® 2012 unterstützt NSEC und NSEC3. Eine Zone kann nur entweder mit NSEC oder mit NSEC3 signiert werden.

Bei einem Vertrauensanker handelt es sich um einen vorkonfigurierten öffentlichen Schlüssel, der einer bestimmten Zone zugeordnet ist. Der validierende DNS-Server muss mit mindestens einem Vertrauensanker konfiguriert sein, um die Validierung ausführen zu können. Ein Vertrauensanker ermöglicht dem DNS-Server die Überprüfung der DNSKEY-Ressourcendatensätze für die entsprechende Zone sowie die Erstellung einer Vertrauenskette mit untergeordneten Zonen (sofern vorhanden). Wird der DNS-Server auf einem Domänencontroller ausgeführt, können die Vertrauensanker in der Verzeichnispartition der Gesamtstruktur in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) gespeichert werden. Bei Verwendung dieser Option werden sie an alle DNS-Server repliziert, die auf Domänencontrollern in der Gesamtstruktur ausgeführt werden. Auf eigenständigen DNS-Servern werden die Vertrauensanker in einer Datei namens "TrustAnchors.dns" gespeichert. Bei einem DNS-Server mit Windows Server 2012 werden konfigurierte Vertrauensanker in der Konsolenstruktur des DNS-Managers im Container Vertrauenspunkte angezeigt. Vertrauensanker können auch mithilfe von Windows PowerShell oder "Dnscmd.exe" angezeigt werden. Die empfohlene Befehlszeilenmethode zum Anzeigen von Vertrauensankern ist Windows PowerShell.

Beim Planen einer Strategie für die DNSSEC-Schlüsselverwaltung müssen folgende Punkte berücksichtigt werden: Schlüsselgenerierung, Schlüsselspeicherung, Schlüsselablauf und Schlüsselersetzung. Schlüsselablauf und -ersetzung in DNSSEC werden zusammengefasst als Schlüsselrollover bezeichnet. In Windows Server 2012 wurde die Schlüsselverwaltung dank einer einfachen und flexiblen Schlüsselgenerierung, Active Directory-Speicherung und -Replikation und einem automatischen Schlüsselrollover vereinfacht.

In Windows Server 2012 wird das Konzept eines DNSSEC-Schlüsselmasters eingeführt. Der Schlüsselmaster ist ein DNS-Server, von dem Signaturschlüssel für eine Zone mit DNSSEC-Schutz generiert und verwaltet werden. Jeder autorisierende DNS-Server mit Windows Server 2012, der eine primäre Kopie der Zone hostet, kann Schlüsselmaster sein. Jede Zone kann einen anderen Schlüsselmaster besitzen. Alternativ kann auch ein einzelner Server als Schlüsselmaster für mehrere Zonen fungieren. Der Schlüsselmaster muss ausgewählt werden, wenn die Zone erstmalig mit DNSSEC signiert wird. Die Schlüsselmasterrolle kann ggf. zu einem späteren Zeitpunkt auf einen anderen Server übertragen werden, der als Host für die Zone fungiert.

Wenn Sie eine Zone mit DNSSEC signieren möchten, müssen Sie mindestens einen Zonensignaturschlüssel (Zone Signing Key, ZSK) und einen Schlüsselsignaturschlüssel (Key Signing Key, KSK) auswählen. Es werden auch mehrere Schlüssel unterstützt. Üblicherweise wird eine Zone mit einem einzelnen ZSK und einem einzelnen KSK signiert. Die Signierung einer Zone mit mehreren Schlüsseln kann in folgenden Situationen sinnvoll sein:

  1. Von den DNS-Validierungssteuerelementen wird kein einzelner Kryptografiealgorithmus unterstützt.

  2. Die DNS-Infrastruktur wird auf die Verwendung neuer Signaturschlüsseleigenschaften umgestellt.

  3. Sie führen DNS-Zonen oder Netzwerkelemente mit unterschiedlichen Signaturschlüsseleigenschaften zusammen.

Beim Schlüsselsignaturschlüssel (Key Signing Key, KSK) handelt es sich um einen Authentifizierungsschlüssel, mit dem alle DNSKEY-Datensätze auf der Stammebene der Zone signiert werden. Außerdem ist er Teil der Vertrauenskette.

Wenn Sie einen neuen KSK generieren, können vom Schlüsselmaster ein aktiver Schlüssel und ein Standbyschlüssel erstellt werden. Eigenschaften für den KSK:

  • Kryptografiealgorithmus: Standardmäßig wird der Algorithmus "RSA/SHA-1 (NSEC3)" ausgewählt. Wenn Sie eine Zone mit NSEC3 signieren möchten, können Sie hierfür nicht den Algorithmus "RSA/SHA-1" verwenden. ("RSA/SHA-1 (NSEC3)" und "RSA/SHA-1" sind zwei unterschiedliche Algorithmen.)

  • Schlüssellänge: Standardmäßig wird eine Schlüsselgröße von 2048 Bit für Schlüssel verwendet, die den Algorithmus "RSA/SHA-1 (NSEC3)" verwenden. Aus Sicherheitsgründen besitzt der KSK üblicherweise eine größere Schlüssellänge als ein ZSK. Die Schlüssellänge des KSK wirkt sich nicht so stark auf die Dauer der Zonensignierung aus wie die Schlüssellänge des ZSK.

  • Schlüsselspeicheranbieter: Wenn Schlüssel mithilfe der Active Directory-Domänendienste verteilt werden, müssen Sie den Softwareschlüsselspeicher-Anbieter (Key Storage Provider, KSP) von Microsoft auswählen.

  • Signaturgültigkeitsdauer für DNSKEY RRSET: Dieser Wert ist standardmäßig auf 72 Stunden festgelegt. Signaturen, die mithilfe des KSK generiert wurden, besitzen im Gegensatz zu per ZSK generierten Signaturen unter Umständen eine längere Gültigkeitsdauer, um einen stabileren sicheren Einstiegspunkt für die Zone bereitzustellen.

  • Schlüsselrollover: Sie können auswählen, ob das automatische Rollover verwendet werden soll, und eine Rolloverhäufigkeit angeben. Die Verwendung des automatischen Schlüsselrollovers wird ausdrücklich empfohlen. Der erste Rollover kann auch um eine bestimmte Anzahl von Tagen verzögert werden.

Der Zonensignaturschlüssel (Zone Signing Key, ZSK) dient zum Signieren von Zonendaten. Der Rollover für Zonensignaturschlüssel erfolgt in der Regel in kürzeren Abständen als bei einem KSK. Eigenschaften für den ZSK:

  • Kryptografiealgorithmus: Standardmäßig wird der Algorithmus "RSA/SHA-1 (NSEC3)" ausgewählt. Wenn Sie eine Zone mit NSEC3 signieren möchten, können Sie hierfür nicht den Algorithmus "RSA/SHA-1" verwenden. ("RSA/SHA-1 (NSEC3)" und "RSA/SHA-1" sind zwei unterschiedliche Algorithmen.) Der ausgewählte Algorithmus hat unter Umständen Auswirkungen auf die erforderliche Zeit für die Zonensignierung.

  • Schlüssellänge: Standardmäßig wird eine Schlüsselgröße von 1024 Bit für Schlüssel verwendet, die den Algorithmus "RSA/SHA-1 (NSEC3)" verwenden. Üblicherweise besitzt der ZSK eine geringere Schlüssellänge als ein KSK. Die für den ZSK ausgewählte Schlüssellänge hat unter Umständen Auswirkungen auf die erforderliche Zeit für die Zonensignierung.

  • Schlüsselspeicheranbieter: Wenn Schlüssel mithilfe der Active Directory-Domänendienste verteilt werden, müssen Sie den Softwareschlüsselspeicher-Anbieter (Key Storage Provider, KSP) von Microsoft auswählen.

  • Signaturgültigkeitsdauer für DNSKEY: Dieser Wert ist standardmäßig auf 72 Stunden festgelegt.

  • Signaturgültigkeitsdauer für DS: Dieser Wert ist standardmäßig auf 72 Stunden festgelegt.

  • Gültigkeitsdauer für Zoneneintrag: Dieser Wert ist standardmäßig auf 240 Stunden festgelegt.

Der DNS-Clientdienst ist auch unter Windows® 8 und Windows Server 2012 ein Dienst ohne Überprüfung und mit Sicherheitsunterstützung und weist damit die gleichen Eigenschaften auf wie ein Computer unter Windows 7 und Windows Server 2008 R2. Wenn der DNS-Client eine Antwort auf eine DNS-Abfrage erhält, kann durch eine Untersuchung der Antwort ermittelt werden, ob sie von einem DNS-Server überprüft wurde. Vom DNS-Client selbst werden keine Überprüfungen vorgenommen. Beim Ausgeben von Abfragen ist der DNS-Client davon abhängig, dass vom lokalen DNS-Server die erfolgreiche Validierung bestätigt wird. Für den Fall einer nicht erfolgreichen Validierung durch den Server kann der DNS-Clientdienst so konfiguriert werden, dass keine Ergebnisse zurückgegeben werden. Ist die Überprüfung auf dem DNS-Server nicht erfolgreich, werden an den DNS-Client keine Ergebnisse zurückgegeben.

Bei der Richtlinientabelle für die Namensauflösung (Name Resolution Policy Table, NRPT) handelt es sich um eine Tabelle mit konfigurierbaren Regeln zum Angeben von DNS-Einstellungen oder bestimmtem Verhalten für Namen oder Namespaces. Die NRPT kann per Gruppenrichtlinie oder mithilfe von Windows PowerShell konfiguriert werden.

Beim Ausführen der DNS-Namensauflösung wird vom DNS-Clientdienst vor dem Senden einer DNS-Abfrage zunächst die NRPT überprüft. Enthält die NRPT einen entsprechenden Eintrag für eine DNS-Abfrage, wird der Eintrag gemäß den Einstellungen in der Richtlinie behandelt. Abfragen ohne entsprechenden NRPT-Eintrag werden normal verarbeitet. Mithilfe der NRPT können Sie festlegen, dass bei Abfragen im angegebenen Namespace die DNSSEC-Validierung für DNS-Antworten ausgeführt werden muss.

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft