Warum DNSSEC wichtig ist!

classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|

Warum DNSSEC wichtig ist!

Patrick Ben Koetter-2
Iranische Hacker haben im großen Stil E-Mail Passworte und andere, sensible
Daten verschiedener Regierungsorganisationen und privater Unternehmen
abgegriffen.
(mehr dazu: https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/)

Mit DNSSEC und DNSSEC-aktivierten Resolvern wie z.B. unbound, wäre das nicht
möglich gewesen.

Warum ist DNSSEC so wichtig? DNS ist längst schon nicht mehr nur Dienst für
Namensauflösung. DNS ist Dienst für Namensauflösung, Policy-Verteilung und
Provisionierung. Wir brauchen einen DNS-Dienst, dessen Antworten wir
verifizieren können, damit wir uns darauf verlassen können.

Seit mehreren Jahren nun rollen wir DNSSEC auf kleinen und auf großen
Plattformen aus und genauso lang müssen wir uns anhören, DNSSEC sei
problematisch.

Das ist FUD. Es stimmt nicht. DNSSEC funktioniert. DNSSEC ist genauso kritisch
DNS. Wer das nicht glaubt, soll einfach mal für 1 Minute das DNS in seiner
Firma ausschalten und dann auf das Klingeln des Telefons warten…

In all den Jahren hatten wir bei unseren Kunden nicht einen DNSSEC-bezogenen
Incident. Worauf also warten?

Auch die ICANN fordert nach diesem Hack: ICANN Calls for Full DNSSEC
Deployment, Promotes Community Collaboration to Protect the Internet
https://www.icann.org/news/announcement-2019-02-22-en

p@rick

--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: Warum DNSSEC wichtig ist!

Michael Ströder
On 2/27/19 10:48 PM, Patrick Ben Koetter wrote:
> Iranische Hacker haben im großen Stil E-Mail Passworte und andere, sensible
> Daten verschiedener Regierungsorganisationen und privater Unternehmen
> abgegriffen.
> (mehr dazu: https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/)
>
> Mit DNSSEC und DNSSEC-aktivierten Resolvern wie z.B. unbound, wäre das nicht
> möglich gewesen.

Sorry, aber ich muss da ein wenig Wasser in den Wein giessen.

Vielleicht habe ich in o.g. Text was falsch verstanden, aber ich hätte
da durchaus ein paar ernste Fragen an den betroffenen Domain-Registrar.
Weil wenn der gehackt wird und der Angreifer dann die NS nebst DNSSEC
RRs austauschen kann, dann ist doch nix gewonnen.

BTW: Mit dem Aufkommen der DNSSEC/DANE-Euphorie war bereits klar, dass
dann halt die Registrare und schlecht gewartete DNS-Server die
PKI-Schwachpunkte sind.

Das soll nicht heissen, dass man DNSSEC nicht einsetzen soll. Aber es
ist halt nicht der allein glücklich machende Ansatz und man muss es halt
genau wie bei X.509-basierter PKI *richtig* machen.

Ciao, Michael.


smime.p7s (5K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Warum DNSSEC wichtig ist!

Robert Schetterer-2
Am 01.03.19 um 21:17 schrieb Michael Ströder:

> On 2/27/19 10:48 PM, Patrick Ben Koetter wrote:
>> Iranische Hacker haben im großen Stil E-Mail Passworte und andere, sensible
>> Daten verschiedener Regierungsorganisationen und privater Unternehmen
>> abgegriffen.
>> (mehr dazu: https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/)
>>
>> Mit DNSSEC und DNSSEC-aktivierten Resolvern wie z.B. unbound, wäre das nicht
>> möglich gewesen.
>
> Sorry, aber ich muss da ein wenig Wasser in den Wein giessen.
>
> Vielleicht habe ich in o.g. Text was falsch verstanden, aber ich hätte
> da durchaus ein paar ernste Fragen an den betroffenen Domain-Registrar.
> Weil wenn der gehackt wird und der Angreifer dann die NS nebst DNSSEC
> RRs austauschen kann, dann ist doch nix gewonnen.

Wenn du gehacked wirst ist das immer Mist , mit oder ohne DNSSEC oder
mit was auch immer...

> BTW: Mit dem Aufkommen der DNSSEC/DANE-Euphorie war bereits klar, dass
> dann halt die Registrare und schlecht gewartete DNS-Server die
> PKI-Schwachpunkte sind.
>
> Das soll nicht heissen, dass man DNSSEC nicht einsetzen soll. Aber es
> ist halt nicht der allein glücklich machende Ansatz und man muss es halt
> genau wie bei X.509-basierter PKI *richtig* machen.
>
> Ciao, Michael.
>


--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein