Wer DNSSEC (Domain Name System Security Extensions) in einer DNS-Zone aktiviert, schützt diese aktiv vor Missbrauchsversuchen des Domain Name Systems (DNS). Wie das gelingt, das erläutert Patrick Koetter, Leiter der eco Kompetenzgruppen E-Mail und Anti-Abuse, im Interview und in einem zweitägigen DNSSEC Hands-On Workshop im September 2023.
Patrick, warum ist ein DNSSEC Hands-On Workshop notwendig und wen sprecht ihr damit an?
Traditionelles DNS, so wie es heute meistens genutzt wird, folgt dem Ansatz „Wer nichts weiß muss alles glauben“. Das heißt die Antworten, welche DNS-Resolver von DNS-Servern erhalten, sind bestenfalls richtig. Erst wer DNSSEC einsetzt, verfügt über die Möglichkeit, unbemerkt und voll automatisiert zu prüfen und zu verifizieren, dass die Antworten von den dazu bestimmten, „autoritativen“ DNS-Servern stammen und dass die Antworten während der Übermittlung nicht verändert wurden.
Das ist wichtig, denn so gut wie jede Aktion unserer Rechner im Internet beginnt damit, dass ein Rechner einen DNS-Dienst etwa danach fragt, unter welcher IP-Adresse der anzusteuernde Dienst zu erreichen sei. Nutzt ein Rechner gefälschte Informationen, steuert er den falschen Dienst an und übergibt dort beispielsweise Anmeldeinformationen. Mit diesen Information kann sich ein Angreifer dann beim richtigen Dienst anmelden und etwa E-Mails lesen, versenden, Dateien herunterladen und vieles mehr. Mit unseren Workshop sprechen wir vor allem Techniker:innen an, welche DNSSEC in den DNS-Zonen der Domain(s) ihrer Organisation aktivieren wollen.
Welches Know-how werdet ihr vermitteln?
Im Workshop zeigen wir den Teilnehmer:innen, wie sie DNSSEC in einer beispielhaften DNS-Zone aktivieren können. Wir zeigen ihnen wie sie, ausgestattet mit Bordmitteln, erkennen und gegebenenfalls prüfen können, ob eine DNS-Zone DNSSEC aktiviert hat, worauf sie bei der Aktivierung einer DNS-Zone in einem DNS-Server achten sollten und welche DNS-Resolver sie nutzen können und sollten, damit ihre DNS-Anfragen fortan DNSSEC-verifiziert stattfinden. Am Ende des Workshops verfügen sie über das Wissen, um ihre Organisation verlässlich vor DNS-Missbrauch und dessen Folgen zu schützen.
Wie wird das praktisch vor Ort aussehen?
Der Workshop ist untergliedert in sich abwechselnde Theorie- und Praxisteile. In der Theorie erarbeiten wir schrittweise ein Verständnis für die DNS-Resolver (auch: Client) und die Server-Seite. In den unmittelbar anschließenden Praxis-Teilen üben die Teilnehmer:innen das soeben Erlernte. Bei Problemen stehen wir zur Seite und zeigen diese gegebenenfalls auch der ganzen Gruppe, weil wir so die Fehlersuche einüben können.
Für die Dauer des Workshops stellen wir allen Teilnehmer:innen zwei (virtuelle) Server zur Verfügung, welche diese in den Übungen entsprechend vorgegebener Arbeitsschritte mit Software versehen, konfigurieren und dort eine DNSSEC-signierte Zone einrichten.
Patrick, vielen Dank für das Interview!
Jetzt zum DNSSEC Hands-On Workshop anmelden
