DNSSEC nicht verfügbar?

marcelser · 2017-09-22T07:14:57+00:00

Sunrise Community - Kunden helfen anderen Kunden rund um die Themen Fernsehen, Internet, Telefon und Mobile. Jetzt registrieren!

marcelser

Offenbar verwendet UPC kein DNSSEC bei Ihren DNS Servern. Kann denen mal jemand auf die Füsse treten dass Sie das implementieren?

GrandDixence

@marcelser schrieb:

Offenbar verwendet UPC kein DNSSEC bei Ihren DNS Servern.

Diese Aussage ist nicht korrekt! DNS-Server von UPC Cablecom sind DNSSEC-aware.

DNSSEC-Legende

validating The server is able to validate DNS records.

aware The server is able to provide RRSIG, DNSKEY and DS
records, but does not validate any records.

not supported or Strips RRSIG. The server doesn’t know anything about
DNSSEC.

UPC betreibt ihre DNS-Servern mit PowerDNS Recursor:

https://www.powerdns.com/

PowerDNS Recursor ab Version 4.0 ist DNSSEC-aware. Betreibt der UPC-Endkunde auf seinem Rechner oder Router zum Beispiel einen DNSSEC-validierenden DNSMasq ab Version 2.74:

http://www.thekelleys.org.uk/dnsmasq/doc.html

mit den dnsmasq.conf-Parameter:

conf-file=/etc/dnsmasq.d/trust-anchors.conf
dnssec
dnssec-check-unsigned

kann der Heimrechner oder das Heimnetzwerk mit DNSSEC abgesichert werden. Die DNSSEC-Implementierung von DNSMasq vor Version 2.74 sollte wegen Programmierfehler nicht eingesetzt werden.

Bitte auch die Hinweise zum Thema “DNS” in den “Gute Performance-Regeln” beachten:

https://community.sunrise.ch/t5/Internet-mit-Modem/Diagnose-Tool-der-Connect-Box-sagt-quot-Ihr-Heim/m-p/100045/highlight/true#M4573

Aus Sicherheitsgründen empfiehlt sich der Einsatz eines DNSSEC-validierender DNS-Server im Heimnetzwerk (z.B. DNSMasq). Ein DNSSEC-validierender DNS-Server kann bereits mit einem Raspberry Pi realisiert werden:

https://www.lancom-forum.de/fragen-zur-lancom-systems-routern-und-gateways-f41/vdsl-umzug-glasfaser-neuer-router-t17926.html#p101750

Aus Performance-Gründen sollten DNS-Anfragen vom DNSSEC-validierender DNS-Server im Heimnetzwerk (z.B. DNSMasq) immer an den DNS-Server des ISP (z.B. UPC) weitergeleitet werden (DNS Forwarder/forwarding). => Siehe auch Gute Performance-Regel Nr. 23.

Die DNSSEC-Validierung kann wie folgt getestet werden:

- Im Webbrowser mit der DNSSEC-Testseite:

https://dnssec.vs.uni-due.de/

Positiv-Test

dig +multili +dnssec www.nic.ch

=> status: NOERROR
=> flags: ad
=> EDNS: version: 0, flags: do;
=> SERVER: 127.0.0.1

dig +multili +dnssec www.nic.cz

=> status: NOERROR
=> flags: ad
=> EDNS: version: 0, flags: do;
=> SERVER: 127.0.0.1

Negativ-Test

nslookup www.rhybar.cz

=> Got SERVFAIL reply from 127.0.0.1

Ausführlicher Test:

dig +multili +dnssec www.rhybar.cz

=> status: SERVFAIL

TCP-Test

dig +multili +dnssec ux.cnlab.ch

=> Truncated, retrying in TCP mode.
=> status: NOERROR
=> flags: ad
=> EDNS: version: 0, flags: do;
=> SERVER: 127.0.0.1

pato

Hast du denn eigene Domänen bei UPC gehostet?

Natürlich, es wäre schön wenn die UPC.ch Domäne mit DNSSEC geschützt wäre (falls sie es nicht ist, habe es nicht geprüft). Aber auf Client Seite wird DNSSEC sowieso noch nicht unterstützt und zumindest nach Aussage von einem Google Chromium Entwickler kann es sogar einen negativen Effekt für die Sicherheit bringen, falls es der Browser prüfen würde.

Quelle: https://security.stackexchange.com/questions/124226/why-do-browsers-or-operating-systems-not-have-default-dnssec-validation

Dort stehen dann noch einige weitere Gründe die gegen DNSSEC sprechen, gerade auf Seiten eines ISPs.

marco_buerki

@pato schrieb:
Für welchen Anwendungszweck möchtest du das den nutzen?

DNSSEC ist eine Erweiterung des Domain-Namen-Systems (DNS), die dazu dient, die Echtheit (Authentizität) und die Vollständigkeit (Integrität) der Daten von DNS-Antworten sicherzustellen.

Quelle: https://www.nic.ch/de/faqs/dnssec/DNSSEC

Hier geht es ganz generell um die Sicherheit und nicht um einen bestimmten Anwendungszweck. Müsste für einen grossen Provider wie UPC eigentlich selbstverständlich sein solche Standards zu unterstützen.

Hier kann das überprüft werden: https://en.internet.nl/connection/#

gruss

Marco

pato

Für welchen Anwendungszweck möchtest du das den nutzen?