Domain Name System Security Extensions (kurz DNSSEC)
ist eine Erweiterung des DNS, mit der Authentizität und Datenintegrität von DNS-Transaktionen gewährleistet werden. Ein DNS-Teilnehmer kann damit verifizieren, dass die durch den Server, mit dem er kommuniziert, gelieferten Zonendaten auch tatsächlich identisch mit denen sind, die der für die Zone autorisierte und die Zone signierende Server ausliefert. DNSSEC wurde als Mittel gegen Cache-Poisoning entwickelt, Serverauthentifizierung findet nicht statt. Eine Verschlüsselung von DNS-Daten ist in Rahmen von DNSSEC nicht vorgesehen.
Bild 1: Normaler Betrieb des Domain-Namen-Systems, bei dem verschiedene Server befragt werden, bevor der Nutzer zur gewünschten Seite www.berlin.de kommt.
Bild 2: Damit die Anfrage nach der Seite www.berlin.de nicht jedes mal um den Globus läuft, wird die IP-Nummer von www.berlin.de lokal oder beim Internetprovider im so genannten Cache gespeichert.
Bild 3: Beim so genannten Cache Poisoning gaukelt ein Angreifer/Hacker dem Cache durch massierte Anfragen eine andere IP-Nummer für die Seite www.berlin.de vor, was dazu führt, dass man auch nächstes Mal mit dem Short Cut auf den Server des Angreifers zugreift.
Bild 4: DNSSEC schafft eine zertifizierte Zone, die ein sicheres Surfen im Internet ermöglicht
Weiter Infos:
DNSsec Testbed für Deutschland