Dnssec Grundlagen: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(7 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 5: Zeile 5:
 
*Durch Überprüfung der zugehörigen Signatur können Sie verifizieren, ob ein angefragter DNS-Eintrag von seinem autorisierenden Nameserver stammt und unterwegs nicht verändert wurde
 
*Durch Überprüfung der zugehörigen Signatur können Sie verifizieren, ob ein angefragter DNS-Eintrag von seinem autorisierenden Nameserver stammt und unterwegs nicht verändert wurde
 
*Es dient zu Schutz von Man-in-the-Middle-Angriffen.
 
*Es dient zu Schutz von Man-in-the-Middle-Angriffen.
=DNS-Eintragstypen hinzu=
+
=Neue DNS-Eintragstypen=
 
*RRSIG: enthält eine kryptographische Signatur
 
*RRSIG: enthält eine kryptographische Signatur
 
*DNSKEY: enthält einen öffentlichen Signierschlüssel
 
*DNSKEY: enthält einen öffentlichen Signierschlüssel
Zeile 11: Zeile 11:
 
*NSEC und NSEC3: für die explizite Anerkennung der Nicht-Existenz eines DNS-Eintrags
 
*NSEC und NSEC3: für die explizite Anerkennung der Nicht-Existenz eines DNS-Eintrags
 
*CDNSKEY und CDS: für eine untergeordnete Zone zur Anfrage von Aktualisierungen des DS-Eintrags/der DS-Einträge in der übergeordneten Zone.
 
*CDNSKEY und CDS: für eine untergeordnete Zone zur Anfrage von Aktualisierungen des DS-Eintrags/der DS-Einträge in der übergeordneten Zone.
=Zone-Signing Keys=
+
=Keys=
==Signierung==
+
*[[Zone-Signing Keys]]
*Jede Zone in DNSSEC verfügt über ein Zone-Signing Key-Paar (ZSK)
+
*[[Key-Signing Keys]]
*Der private Teil des Schlüssels führt eine digitale Signatur für jedes RRset in der Zone durch.
+
*[[Dnssec Grundprintzip]]
*Der öffentliche Teil verifiziert die Signatur.
 
{{#drawio:Zone-Signing-Key-1}}
 
==Übertragung==
 
*Der Zonenbetreiber muss auch seinen öffentlichen ZSK verfügbar machen, indem er ihn in einem DNSKEY-Eintrag zu seinem Nameserver hinzufügt.
 
*Wenn nun ein Resolver einen Record-Typen angfragt, übergibt der Nameserver auch den öffentlichen Schlüssel des ZSK.
 
{{#drawio:Zone-Signing-Key-2}}
 
==Verifizierung==
 
{{#drawio:Zone-Signing-Key-3}}
 
  
 
=Quellen=
 
=Quellen=
 
https://www.cloudflare.com/de-de/dns/dnssec/how-dnssec-works/
 
https://www.cloudflare.com/de-de/dns/dnssec/how-dnssec-works/

Aktuelle Version vom 16. Februar 2023, 15:02 Uhr

Grundlegendes

  • DNSSEC schafft ein sicheres Domain Name System mit einer zusätzlichen Sicherheitsebene.
  • Dies wird erreicht indem kryptografische Signaturen zu bestehenden DNS-Einträgen hinzugefügt werden.
  • Diese digitalen Signaturen werden in DNS-Nameservern neben den üblichen Eintragstypen wie A, AAAA, MX, CNAME usw. gespeichert.
  • Durch Überprüfung der zugehörigen Signatur können Sie verifizieren, ob ein angefragter DNS-Eintrag von seinem autorisierenden Nameserver stammt und unterwegs nicht verändert wurde
  • Es dient zu Schutz von Man-in-the-Middle-Angriffen.

Neue DNS-Eintragstypen

  • RRSIG: enthält eine kryptographische Signatur
  • DNSKEY: enthält einen öffentlichen Signierschlüssel
  • DS: enthält den Hash eines DNSKEY-Eintrags
  • NSEC und NSEC3: für die explizite Anerkennung der Nicht-Existenz eines DNS-Eintrags
  • CDNSKEY und CDS: für eine untergeordnete Zone zur Anfrage von Aktualisierungen des DS-Eintrags/der DS-Einträge in der übergeordneten Zone.

Keys

Quellen

https://www.cloudflare.com/de-de/dns/dnssec/how-dnssec-works/

Abgerufen von „http://wiki.ixheim.de/index.php?title=Dnssec_Grundlagen&oldid=41697