Initiative zu mehr Internet-Sicherheit
Bereits beim Eintippen einer Internetadresse in einem Web-Browser besteht die Gefahr, dass ein Internetnutzer auf eine betrügerische Seite umgelenkt wird. Mit Sicherheitserweiterungen im Domain Name System (DNS) sollen diese durch den Kaminsky-Report (Juli 2008) bekannt gewordenen Sicherheitslücken geschlossen und Manipulationen erschwert werden.
Die DENIC eG, der eco Verband der deutschen Internetwirtschaft e.V. und das Bundesamt für Sicherheit in der Informationstechnik (BSI) starten dazu eine gemeinsame Initiative. Innerhalb einer von DENIC bereitgestellten Testumgebung werden operative und technische Erfahrungen gesammelt und geprüft, um zu beurteilen, welche Auswirkungen die Domain Name Security Extensions (DNSSEC) auf die Sicherheit und Zuverlässigkeit im Internet haben.
Mehr Sicherheit im Domain Name System
"Das Verfahren birgt große Chancen, erfordert aber umfangreiche Veränderungen auf allen Ebenen des Domain Name Systems", sagt Harald A. Summa, Geschäftsführer des eco. "Es ist daher wichtig zu wissen, ob es sicher und zuverlässig funktioniert, bevor man es großflächig einführt". Auch Sabine Dolderer, CEO der DENIC, meint: "Wir sind froh, das Verfahren mit breiter Unterstützung der Industrie und der Nutzer ausführlich testen zu können, um mögliche Risiken im Betrieb von DNSSEC frühzeitig auszuschließen und die Akzeptanz prüfen zu können". DNSSEC wird hierzu in einer produktionsnahen Umgebung getestet, um Schwachstellen und Probleme zu identifizieren und Lösungen zu finden. Dr. Hartmut Isselhorst, zuständiger Abteilungsleiter des BSI, begrüßt die Durchführung dieser Tests sehr: "Wir halten die Einführung von DNSSEC auch im internationalen Rahmen für einen unverzichtbaren Bestandteil zur Sicherheit des Internets. Daher wird bei einem positiven Abschluss der notwendigen Tests DNSSEC für Netze der öffentlichen Verwaltung in Deutschland eingeführt werden".
Domain Name Security Extension (DNSSEC)
Im Domain Name System (DNS) werden die vom Nutzer eingegebenen Domains in eine von Computer verarbeitbare IP-Adresse umgewandelt. Es ist sozusagen das Telefonbuch des Internet. Derzeit erfolgt der Transport der DNS-Informationen - also welche Domain in welche IP-Adresse aufzulösen ist - unverschlüsselt. Deswegen können auf dem Transportweg bzw. durch Cache-Poisoning in den Resolving-Nameservern Veränderungen vorgenommen und Nutzer auf manipulierte Seiten gelenkt werden. DNSSEC signiert die Nameserver-Einträge digital und stellt somit sicher, dass die Information unverändert beim Nutzer ankommt und zudem der Absender der Informationen sicher authentifiziert werden kann. Allerdings kann das Verfahren nicht verhindern, dass möglicherweise unzutreffende Informationen selbst signiert oder die Nutzer auf höherer Ebene irregeführt werden.
Weitere Informationen
http://www.denic.de/domains/dnssec/dnssectestbed.html http://www.doxpara.com/DMK_BO2K8.ppt
Quelle News aktuell
Die DENIC eG, der eco Verband der deutschen Internetwirtschaft e.V. und das Bundesamt für Sicherheit in der Informationstechnik (BSI) starten dazu eine gemeinsame Initiative. Innerhalb einer von DENIC bereitgestellten Testumgebung werden operative und technische Erfahrungen gesammelt und geprüft, um zu beurteilen, welche Auswirkungen die Domain Name Security Extensions (DNSSEC) auf die Sicherheit und Zuverlässigkeit im Internet haben.
Mehr Sicherheit im Domain Name System
"Das Verfahren birgt große Chancen, erfordert aber umfangreiche Veränderungen auf allen Ebenen des Domain Name Systems", sagt Harald A. Summa, Geschäftsführer des eco. "Es ist daher wichtig zu wissen, ob es sicher und zuverlässig funktioniert, bevor man es großflächig einführt". Auch Sabine Dolderer, CEO der DENIC, meint: "Wir sind froh, das Verfahren mit breiter Unterstützung der Industrie und der Nutzer ausführlich testen zu können, um mögliche Risiken im Betrieb von DNSSEC frühzeitig auszuschließen und die Akzeptanz prüfen zu können". DNSSEC wird hierzu in einer produktionsnahen Umgebung getestet, um Schwachstellen und Probleme zu identifizieren und Lösungen zu finden. Dr. Hartmut Isselhorst, zuständiger Abteilungsleiter des BSI, begrüßt die Durchführung dieser Tests sehr: "Wir halten die Einführung von DNSSEC auch im internationalen Rahmen für einen unverzichtbaren Bestandteil zur Sicherheit des Internets. Daher wird bei einem positiven Abschluss der notwendigen Tests DNSSEC für Netze der öffentlichen Verwaltung in Deutschland eingeführt werden".
Domain Name Security Extension (DNSSEC)
Im Domain Name System (DNS) werden die vom Nutzer eingegebenen Domains in eine von Computer verarbeitbare IP-Adresse umgewandelt. Es ist sozusagen das Telefonbuch des Internet. Derzeit erfolgt der Transport der DNS-Informationen - also welche Domain in welche IP-Adresse aufzulösen ist - unverschlüsselt. Deswegen können auf dem Transportweg bzw. durch Cache-Poisoning in den Resolving-Nameservern Veränderungen vorgenommen und Nutzer auf manipulierte Seiten gelenkt werden. DNSSEC signiert die Nameserver-Einträge digital und stellt somit sicher, dass die Information unverändert beim Nutzer ankommt und zudem der Absender der Informationen sicher authentifiziert werden kann. Allerdings kann das Verfahren nicht verhindern, dass möglicherweise unzutreffende Informationen selbst signiert oder die Nutzer auf höherer Ebene irregeführt werden.
Weitere Informationen
http://www.denic.de/domains/dnssec/dnssectestbed.html http://www.doxpara.com/DMK_BO2K8.ppt
Quelle News aktuell