Denic führt DNSSEC ein: neue Technik mit kleinen Tücken

Wenn immer mehr Domains damit beginnen, DNSSEC einzuführen, kann das durchaus Probleme für Anwender geben, die einen Consumer-NAT-Router wie eine Fritzbox einsetzen. Durch DNSSEC werden die DNS-Antworten länger und überschreiten möglicherweise 512 Byte. Da in diesem Fall DNS über TCP verwendet werden muss, und die NAT-Router das derzeit nicht beherrschen, bekommen Clients keine Antwort mehr.

Um das Problem zu lösen, sind mehrere Beteiligte gefordert: Wer seine Domain mit DNSSEC absichert, sollte darauf achten, dass Antworten auf gezielte Fragen auch signiert in 512 Byte passen. Problematisch sind dabei vor allem lange TXT- und SPF-Records. Damit lässt sich das Problem auf ANY-Abfragen begrenzen, die von Clientsoftware nur äußerst selten verwendet werden.

Die Hersteller sollten ihre NAT-Router um DNS über TCP erweitern. Alternativ könnten NAT-Router auch ganz darauf verzichten, selbst DNS-Forwarder zu spielen. Das ist nämlich gar nicht notwendig. Stattdessen könnten sie die vom Provider vorgegebenen oder vom Benutzer konfigurierten DNS-Server per DHCP an ihre Clients weitergeben. Selbst, wenn sich an einem DSL-Anschluss die IP-Adresse ändert, und die DHCP-Leasezeit noch nicht abgelaufen ist, bleiben die DNS-Server-Adressen konstant.

Als Endanwender lassen sich die Probleme umgehen, die durch die DNSSEC-Einführung entstehen, indem man grundsätzlich den NAT-Router nicht als DNS-Server einsetzt. Als Alternative bieten sich die DNS-Server des Providers, freie DNS-Server oder die DNS-Server von Google an. Einige NAT-Router erlauben das in ihrer Konfiguration. Wenn das nicht der Fall ist, muss man die DNS-Einstellungen am Client ändern.

Themenseiten: Hacker, Kommunikation, Security-Analysen

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Denic führt DNSSEC ein: neue Technik mit kleinen Tücken

Kommentar hinzufügen
  • Am 23. Mai 2011 um 18:41 von Sydney

    DNSSEC & LANCON
    „Für DNSSEC ist DNS über TCP nicht zwingend erforderlich, solange alle Beteiligten
    mit UDP-Paketen umgehen können, die größer als 512 Bytes sind… Dafür gibt es 
    EDNS (RFC 2671) über das dem Empfänger mitgeteilt wird, wie groß Die DNS-
    Anfrage wirklich ist und wie viel Puffer er zur Verfügung stellen muß.

    DNSSEC-fähige Server und Resolver *müssen* EDNS unterstützen – siehe auch
    http://en.wikipedia.org/wiki/DNSSEC

    Daher ist es nicht nötig eine Auflösung über TCP zu unterstützen – und schon gar 
    nicht als Forwarder, der einfach nur Anfragen an den DNS-Server des Providers
    weiterleitet… Nun gibt es da das Problem, daß viele Forwarder in Routern nicht 
    mit Anfragen umgehen können, die länger als 512 Bytes sind. Ich kann dazu nur
    sagen, daß das LANCOM davon nicht betroffen ist – es forwarded Anfragen bis 
    zur Maximalgöße von 64K.“

  • Am 31. Januar 2010 um 18:34 von Martin

    Denic und DNSSEC
    Vielen Dank für Ihren lesenwerten und gut recherchierten Artikel!

    Was Denic in dieser Sache jedoch veranstaltet, ist unterirdisch! So wird auf http://www.denic.de/denic-im-dialog/pressemitteilungen/pressemitteilungen/2464.html im dritten Absatz vom „DNSSEC-Testbed für Deutschland“ gesprochen, und Denic als die deutsche Registry sollte für alle Deutschen und Computer zuständig sein, aber in der Resolver-Konfigurationsseite http://www.denic.de/domains/dnssec/status/resolver-konfiguration.html wird Windows – und damit ca. 90 % der Computerbenutzer – ausgeschlossen!
    Einem kompetenten Umternehmen in Frankfurt’s Kaiserstraße sollte bekannt sein, dass Windows seit Vista und Server 2008 natürlich auch DNSEC unterstützen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *