Experten warnen vor Konflikten zwischen DNSSEC und Internetsperren

Dieses Thema im Forum "Netzwelt" wurde erstellt von Melcos, 4. März 2009 .

  1. 4. März 2009
    Experten warnen vor Konflikten zwischen DNSSEC und Internetsperren


    Der Einbau des Sicherheitsprotokolls DNS Security Extensions (DNSSEC) könnte zu unerwarteten Effekten beim Betrieb der viel diskutierten DNS-Filter zum Beispiel gegen Kinder ografie führen. Darauf machte während des Nutzergipfels der Internet Corporation for Assigned Names and Numbers (ICANN) in Mexico City der DNS-Experte Lutz Donnerhacke vom IT-Provider IKS aufmerksam, der auf dem Nutzergipfel eine Arbeitsgruppe zur Sicherheit im DNS leitet.

    Donnerhacke warnt, DNS-Filter würden durch das DNSSEC, das vor Fälschungen und Spoofing schützen soll, zumindest beeinträchtigt. Die Beantwortung einer DNS-Anfrage durch den "falschen" Server könne je nach Implementierung dazu führen, dass die Antwort als "nicht-autoritativ" verworfen wird. Eine mögliche Stopp-Seite würde dann nicht angezeigt, die Filtermaßnahme wäre nicht mehr transparent. Der gewünschte Effekt, die Seite nicht zugänglich zu machen, würde davon in der Regel aber erst einmal nicht berührt. Das Szenario setzt voraus, dass die gefilterten Servernamen DNSSEC-signiert sind.

    DNSSEC-Experte Florian Weimer von BFK EDV Consulting in Karlsruhe geht davon aus, dass mindestens in den ersten Jahren DNSSEC auf Seiten der Internet Service Provider (ISP) implementiert werde. Dieser könne Filtermeldungen einbauen. Wenn die DNSSEC-Validierung aber zum Endnutzer wandere, werde es fürs Filtermodell spannend, meint Peter Koch, Chef des deutschen Chapters der Internet Society. Dann würde beim Kunden ein vollständiger rekursiver Resolver mit Validator betrieben. Der Resolver des Internet Service Provider mit seiner Filterliste käme dann nicht mehr zum Tragen. Die "Umgehung" einer Sperre wäre praktisch als eine Art Seiteneffekt eingebaut, sagt Koch.

    Donnerhacke wies beim Nutzergipfel noch auf ein anderes Problem bei der DNSSEC-Implementierung hin. Normalerweise werde per DNS Rewriting der Nutzer beispielsweise von einer Hotel-Website auf eine Bezahlseite gelenkt. Würde DNSSEC eine nicht-validierte Seite nicht nur monieren, sondern tatsächlich verwerfen, bekäme der Nutzer die Bezahlseite nie zu sehen. Das Bezahlseiten-Problem sei lösbar, meinen Weimer und Donnerhacke. Die Nutzer hätten sich ja schon daran gewöhnt, Seiten mit ungültigen Zertifikaten zu akzeptieren. Ungelöst sei dagegen, wie DNSSEC für mobile Endgeräte implementiert werden kann. Wenn auf Reisen kein transparentes DNS verfügbar sei, weil der Nutzer etwa hinter einem Hotelserver sitze, werde das Roaming unmöglich.

    Die ICANN soll solche Effekte analysieren lassen, fordern die ICANN-Nutzer. Außerdem solle die ICANN Anbietern strengere Regeln bei der Registrierung von Domains nahelegen, um Missbrauch und kriminelles Verhalten in den Griff zu bekommen.

    Quelle: heise.de - 04.03.2009
     
  2. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.