NSEC-Record

NSEC-Record

Mit NSEC Resource Records werden bei DNSSEC signierten Zone alle Labels (Namen) in alphabetischer (kanonischer) Reihenfolge verkettet. Der Typ NSEC löste 2004 den nahezu identischen Typ NXT ab.

Inhaltsverzeichnis

Hintergrund

Mit dem Signieren von DNS-Einträgen kann verifiziert werden, dass diese Einträge nicht verfälscht wurden und von den korrekten autoritativen Zonen stammen. Was nicht möglich ist, ist das Nicht-Vorhandensein von DNS-Einträgen zu beweisen. Fragt etwa ein Client den Namen test.beispiel.de an, so kann ein Angreifer die entsprechenden Daten aus dem Antwortpakets des Servers entfernen, ohne dass das dem Client ersichtlich wird.

Um derartige Denial of Service Attacken zu verhindern, werden alle Namen einer Zone über NSEC Records alphabetisch geordnet ringförmig verkettet, wobei der letzte Eintrag auf den ersten zeigt. Beispiel:

  name1  NSEC  name2
  name2  NSEC  name5
  name5  NSEC  name1

Jeder NSEC Record wird per RRSIG Resource Record unterschrieben, so dass er nicht verfälscht werden kann. In seinen Antwortpaketen liefert ein DNS-Server jeweils den zugehörigen NSEC-Eintrag mit. Bei einer Anfrage zum nicht existierenden Namen name3 wird "name2 NSEC name5" mitgeliefert. Der Client kann damit sicher sein, dass der name3 tatsächlich nicht existiert und nicht etwa auf dem Transportweg entfernt wurde.

Der NSEC-Record besitzt noch eine zweite Funktion: Er listet alle Typen gleichen Namens auf (siehe Beispiel).

Aufbau

Ein NSEC-RR besteht aus den folgenden Feldern:

Label 
Name des Besitzers des Schlüssels
Typ 
NSEC (47)
Next Domain Name
der alphabetisch folgende Name
Liste der Typen

Beispiel

 name2   NSEC               ; Typ    
         name5              ; alphabetischer Nachfolger
         NS DS RRSIG NSEC   ; Liste der Typen des Labels name2

Sicherheit des Verfahrens

Ein wichtiger Nachteil dieses Verfahrens ist, dass ein Angreifer die NSEC-Kette sukzessive durchlaufen und so alle Einträge einer Zone ermitteln kann. Dieser Vorgang wird als Zone Walking (auch DNSSEC Walking) bezeichnet. Ein vergleichbares Lesen einer kompletten Zone ist bei herkömmlichen DNS und abgesicherten Zonentransfer nicht möglich.

Maßnahmen zur Verhinderung des Zone Walkings sind in Diskussion (z. B. RFC 4470). Ein Vorschlag ist, durch einen neuen Resource Record nsec3 ein vergleichbares Verfahren zu realisieren, bei den die beteiligten Namen nicht mehr in Klartext, sondern verschlüsselt dargestellt werden (siehe ietf draft dnsext-nsec3-05).

Weblinks

  • RFC 4034 - Resource Records for the DNS Security Extension

Wikimedia Foundation.

Игры ⚽ Нужно решить контрольную?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • NSEC — Mit NSEC Resource Records werden bei DNSSEC signierten Zone alle Labels (Namen) in alphabetischer (kanonischer) Reihenfolge verkettet. Der Typ NSEC löste 2004 den nahezu identischen Typ NXT ab. Inhaltsverzeichnis 1 Hintergrund 2 Aufbau 3 Beispiel …   Deutsch Wikipedia

  • NSEC Resource Record — Mit NSEC Resource Records werden bei DNSSEC signierten Zonen alle Labels (Namen) in alphabetischer (kanonischer) Reihenfolge verkettet. Der Typ NSEC löste 2004 den nahezu identischen Typ NXT ab. Inhaltsverzeichnis 1 Hintergrund 2 Aufbau 3… …   Deutsch Wikipedia

  • NSEC — may refer to: National Standard Examination in Chemistry Netaji Subhash Engineering College North Shore Events Centre Next SECure record of the Domain Name System This disambiguation page lists articles associated with the same title. If an …   Wikipedia

  • List of DNS record types — This List of DNS record types provides an overview of types of resource records (database records) stored in the zone files of the Domain Name System (DNS). The DNS implements a distributed, hierarchical, and redundant database for information… …   Wikipedia

  • NSEC3 Resource Record — NSEC3 Recource Records sind Resource Records des Domain Name Systems (DNS), mit denen bestimmte Angriffe auf gesicherte DNS Anfragen (DNSSEC) erkannt werden können. Sie bieten seit 2008 neben den NSEC Resource Records eine alternative Möglichkeit …   Deutsch Wikipedia

  • Resource-Record — Ein Resource Record (RR) ist die kleinste Informationseinheit im Domain Name System (DNS). Er tritt in ASCII Darstellung in Zonendateien oder in komprimierter Form in DNS Transport Paketen oder DNS Caches auf. Einige RR Typen – sogenannte Pseudo… …   Deutsch Wikipedia

  • Resource Record — Ein Resource Record (RR) ist die grundlegende Informationseinheit im Domain Name System (DNS). Er tritt in ASCII Darstellung in Zonendateien oder in komprimierter Form in DNS Transport Paketen oder DNS Caches auf. Einige RR Typen – sogenannte… …   Deutsch Wikipedia

  • CNAME record — A CNAME record or Canonical Name record is a type of resource record in the Domain Name System (DNS) that specifies that the domain name is an alias of another, canonical domain name. This helps when running multiple services (like an FTP server… …   Wikipedia

  • Domain Name System Security Extensions — Internet protocol suite Application layer BGP DHCP DNS FTP HTTP …   Wikipedia

  • DNSSEC — im TCP/IP‑Protokollstapel: Anwendung DNSSEC Transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”