Denic führt DNSSEC ein: neue Technik mit kleinen Tücken

Eine DNS-Antwort, die größer als 512 Byte ist, kommt durch einen üblichen Consumer-Router nicht durch. Die meisten Antworten sind trotz Signatur kleiner als 512 Byte, jedenfalls, wenn man eine spezifische Frage stellt.

Fragt man beispielsweise ab, an welche Server E-Mails an die Domain nlnetlabs.nl abgeliefert werden können, dann erhält man die Antwort, dass dies bei den Servern omvak.tednet.nl, xs4all.dacht.net und open.nlnetlabs.nl möglich ist. Diese Antwort passt in 174 Byte, siehe Bild 1.

Obwohl die Zone nlnetlabs.nl signiert ist, schickt der DNS-Server keine RRSIG-Records mit, weil er nicht danach gefragt wurde. Anders sieht es aus, wenn man eine ANY-Abfrage durchführt, siehe Bild 2. Das Ergebnis ist 2807 Byte lang. Man erkennt, dass der Client es zunächst über UDP versucht hat. Da die Antwort „abgeschnitten“ war, hat es der Client noch einmal über TCP versucht. Erst der zweite Versuch brachte das richtige Ergebnis.

Ferner sieht man an Bild 2, dass die Abfrage an den öffentlichen DNS-Server ns2.free-germany.com gestellt wurde. Das hat durchaus seinen Grund. Ein typischer Consumer-Level-NAT-Router hätte die Anfrage nicht beantworten können, da er DNS über TCP nicht beherrscht und die Antwort für DNS über UDP zu lang ist.

Im Beispiel von Bild 3 wurde ein Thomson-Speedport-Router mit der Adresse 192.168.0.1 getestet. Man erhält schlicht und einfach keine Antwort, weil der DSL-Router auf TCP-Port 53 gar nicht reagiert. Dieses Verhalten zeigen nahezu alle NAT-Router. Auch viele auf den Unternehmensmarkt zielende NAT-Router beherrschen kein DNS über TCP, etwa die Komponenten von Lancom.

Wer seine Rechner im Heimnetz auf „automatische Netzwerkkonfiguration“ eingestellt hat, kann möglicherweise eine böse Überraschung erleben, wenn einige DNS-Zonen damit beginnen, DNSSEC zu verwenden. Solange die Routerhersteller kein Firmware-Update liefern, muss man sich dieser Problematik bewusst sein und nach Alternativen suchen, insbesondere vor dem Hintergrund, dass die Denic ab dem 2. März Domaininhabern erlaubt, Schlüsselmaterial zu hinterlegen.

Wenn einzelne Domains damit beginnen, ihre Zonen zu signieren, kann es auch bei .de-Domains zu Problemen mit Consumer-NAT-Routern kommen. Dabei hilft auch die „Testbed-Umgebung“ der Denic nicht, da diese auf dieselben Nameserver delegiert wie die Produktivserver der Denic.

Themenseiten: Hacker, Kommunikation, Security-Analysen

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Denic führt DNSSEC ein: neue Technik mit kleinen Tücken

Kommentar hinzufügen
  • Am 23. Mai 2011 um 18:41 von Sydney

    DNSSEC & LANCON
    „Für DNSSEC ist DNS über TCP nicht zwingend erforderlich, solange alle Beteiligten
    mit UDP-Paketen umgehen können, die größer als 512 Bytes sind… Dafür gibt es 
    EDNS (RFC 2671) über das dem Empfänger mitgeteilt wird, wie groß Die DNS-
    Anfrage wirklich ist und wie viel Puffer er zur Verfügung stellen muß.

    DNSSEC-fähige Server und Resolver *müssen* EDNS unterstützen – siehe auch
    http://en.wikipedia.org/wiki/DNSSEC

    Daher ist es nicht nötig eine Auflösung über TCP zu unterstützen – und schon gar 
    nicht als Forwarder, der einfach nur Anfragen an den DNS-Server des Providers
    weiterleitet… Nun gibt es da das Problem, daß viele Forwarder in Routern nicht 
    mit Anfragen umgehen können, die länger als 512 Bytes sind. Ich kann dazu nur
    sagen, daß das LANCOM davon nicht betroffen ist – es forwarded Anfragen bis 
    zur Maximalgöße von 64K.“

  • Am 31. Januar 2010 um 18:34 von Martin

    Denic und DNSSEC
    Vielen Dank für Ihren lesenwerten und gut recherchierten Artikel!

    Was Denic in dieser Sache jedoch veranstaltet, ist unterirdisch! So wird auf http://www.denic.de/denic-im-dialog/pressemitteilungen/pressemitteilungen/2464.html im dritten Absatz vom „DNSSEC-Testbed für Deutschland“ gesprochen, und Denic als die deutsche Registry sollte für alle Deutschen und Computer zuständig sein, aber in der Resolver-Konfigurationsseite http://www.denic.de/domains/dnssec/status/resolver-konfiguration.html wird Windows – und damit ca. 90 % der Computerbenutzer – ausgeschlossen!
    Einem kompetenten Umternehmen in Frankfurt’s Kaiserstraße sollte bekannt sein, dass Windows seit Vista und Server 2008 natürlich auch DNSEC unterstützen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *