# DNSSEC Deep Dive: Kryptografische Sicherheit für das DNS
TL;DR / Management Summary Klassisches DNS ist unsicher – Antworten können manipuliert werden (DNS Cache Poisoning). DNSSEC (DNS Security Extensions) fügt jeder Antwort eine digitale Signatur hinzu. Der Resolver kann so mathematisch beweisen, dass die IP-Adresse wirklich vom rechtmäßigen Besitzer der Domain stammt. Ein Senior Admin aktiviert DNSSEC für seine öffentlichen Zonen und nutzt validierende Resolver (Unbound, Artikel 579), um sein Unternehmen vor Phishing und Umleitungs-Angriffen zu schützen.
# 1. Das Problem: DNS Spoofing
Vertrauen ohne Beweis.
Ohne DNSSEC glaubt Ihr PC jede Antwort auf Port 53.
- Der Angriff: Ein Hacker schickt eine gefälschte Antwort an Ihren DNS-Server, bevor der echte Server antwortet.
- Die Folge: User landen auf einer gefälschten Bank-Webseite, obwohl die URL korrekt in den Browser getippt wurde.
# 2. Wie DNSSEC funktioniert
Die Vertrauenskette (Chain of Trust).
DNSSEC nutzt Public-Key-Kryptografie:
- Signing: Der Besitzer der Domain signiert seine Records (A, MX, etc.) mit einem privaten Schlüssel.
- RRSIG Record: Die Signatur wird als neuer Record-Typ in der Zone gespeichert.
- DS Record: Der Hash des öffentlichen Schlüssels wird beim Registrar (z.B. DENIC) hinterlegt.
- Validierung: Der Resolver prüft die Signatur gegen den DS-Record beim Parent. Dieser Prozess geht hoch bis zur Root-Zone ( . ).
# 3. Die Schlüssel-Hierarchie
ZSK und KSK.
Um die Sicherheit zu erhöhen, nutzt DNSSEC zwei Schlüsselpaare:
- ZSK (Zone Signing Key): Signiert die eigentlichen Daten (A, MX). Wird oft rotiert (z.B. alle 3 Monate).
- KSK (Key Signing Key): Signiert nur den ZSK. Wird seltener rotiert (z.B. alle 1-2 Jahre). Der Fingerabdruck des KSK landet im DS-Record beim Provider.
# 4. Day-2 Operations: Zonen signieren in OPNsense
Sicherheit per Plugin.
Wenn Sie das BIND-Plugin (Artikel 580) nutzen:
- Gehen Sie zu
Services -> BIND -> DNS -> Master Zones. - Aktivieren Sie
DNSSEC. - Klicken Sie auf
Save. - Aktion: Kopieren Sie den generierten DS-Record und tragen Sie ihn im Kundenportal Ihres Domain-Registrars ein.
# 5. Troubleshooting & “War Stories”
Wenn die Sicherheit das Netz sperrt.
# Top 3 Fehlerbilder
-
Symptom: “BOGUS” Status im Resolver. Die Domain ist weltweit nicht mehr erreichbar.
- Ursache: Die Signaturen in der Zone sind abgelaufen (RRSIG Expiration).
- Lösung: Zone neu signieren oder automatische Rotation prüfen.
-
Symptom: “Insecure” Status.
- Ursache: DNSSEC ist in der Zone aktiv, aber der DS-Record wurde beim Registrar nicht korrekt hinterlegt.
-
Symptom: DNS-Auflösung scheitert nur auf einem Host.
- Fix: Systemzeit (NTP) prüfen! DNSSEC-Validierung schlägt fehl, wenn die Uhrzeit um mehr als ein paar Minuten abweicht.
# “War Story”: Das “Verschollene” DS-Update
Ein Admin aktivierte DNSSEC und trug den DS-Record beim Registrar ein. Später migrierte er die Zone auf einen neuen Server und generierte neue Schlüssel. Er vergaß jedoch, den DS-Record beim Registrar zu aktualisieren. Das Ergebnis: Genau in dem Moment, als die TTL der alten DS-Einträge ablief, war die Webseite weltweit offline. Resolver meldeten einen “Sicherheitsangriff”, da die neue Signatur nicht zum alten Fingerabdruck passte. Lehre: Ein Wechsel der DNS-Infrastruktur bei aktivem DNSSEC erfordert eine präzise Schlüssel-Rotation (Zuerst den neuen Key publizieren, dann den DS-Record ändern, dann den alten Key löschen).
# 6. Monitoring & Reporting
Integritäts-Audit.
# DNSSEC-Validierung testen (Shell)
Nutzen Sie delv (Domain Entity Lookup & Validation):
# Prüft die DNSSEC Kette für eine Domain
delv @8.8.8.8 wiki.de- KPI: Status
fully validated.
# 7. Fazit & Empfehlung
DNSSEC ist kein “Nice-to-have” mehr, sondern ein integraler Bestandteil der IT-Sicherheit.
- Empfehlung: Signieren Sie alle Ihre öffentlichen Domains. Fast alle modernen Registrare unterstützen dies via API.
- Wichtig: Aktivieren Sie die DNSSEC-Validierung in Ihrem internen Resolver (Unbound), um Ihre User vor Angriffen auf externe Webseiten zu schützen.
# Anhang: Cheatsheet (DNSSEC Record Typen)
| Typ | Zweck |
|---|---|
| DNSKEY | Enthält den öffentlichen Schlüssel der Zone |
| RRSIG | Die digitale Signatur eines Resource Records |
| DS | Delegation Signer (Hash des Schlüssels beim Parent) |
| NSEC/NSEC3 | Beweis der Nicht-Existenz (Schutz vor NXDOMAIN Attacken) |