2024 Autor: Peter John Melton | [email protected]. Zuletzt bearbeitet: 2023-12-16 04:41
DNSSEC fügt einem Ort kritische Sicherheit hinzu, an dem das Internet nicht wirklich Das Domain Name System (DNS) funktioniert gut, aber zu keinem Zeitpunkt des Prozesses gibt es eine Überprüfung, sodass Angreifer Lücken offen lassen.
Der aktuelle Stand der Dinge
Wir haben erklärt, wie DNS in der Vergangenheit funktioniert. Kurz gesagt, wenn Sie sich mit einem Domainnamen wie "google.com" oder "howtogeek.com" verbinden, kontaktiert Ihr Computer seinen DNS-Server und sucht die zugehörige IP-Adresse für diesen Domainnamen. Ihr Computer verbindet sich dann mit dieser IP-Adresse.
Es ist wichtig, dass an einer DNS-Suche kein Überprüfungsprozess beteiligt ist. Ihr Computer fragt seinen DNS-Server nach der Adresse, die mit einer Website verknüpft ist, der DNS-Server antwortet mit einer IP-Adresse, und Ihr Computer sagt "OK" und stellt glücklich eine Verbindung zu dieser Website her. Ihr Computer stoppt nicht, um zu prüfen, ob dies eine gültige Antwort ist.
Die HTTPS-Verschlüsselung bietet einige Überprüfungen. Angenommen, Sie versuchen, eine Verbindung zur Website Ihrer Bank herzustellen, und Sie sehen HTTPS und das Sperrsymbol in Ihrer Adressleiste. Sie wissen, dass eine Zertifizierungsstelle bestätigt hat, dass die Website Ihrer Bank gehört.
Ihre Bank kann nicht sagen: "Dies sind die legitimen IP-Adressen für unsere Website."
Wie DNSSEC helfen wird
Eine DNS-Suche findet tatsächlich in mehreren Schritten statt. Wenn Ihr Computer beispielsweise nach www.howtogeek.com fragt, führt der Computer diese Suche in mehreren Schritten durch:
- Zuerst fragt es das "Root-Zone-Verzeichnis", wo es finden kann .com.
- Es fragt dann das.com-Verzeichnis, wo es finden kann howtogeek.com.
- Es fragt dann howtogeek.com, wo es finden kann www.howtogeek.com.
DNSSEC beinhaltet das "Signieren des Root-Verzeichnisses". Wenn Ihr Computer die Root-Zone fragt, wo er.com finden kann, kann er den Signaturschlüssel der Root-Zone überprüfen und bestätigen, dass es sich um die legitime Root-Zone mit echten Informationen handelt. Die Root-Zone gibt dann Informationen zum Signaturschlüssel oder.com und zu seinem Speicherort an, sodass Ihr Computer das.com-Verzeichnis aufrufen und sicherstellen kann, dass es legitim ist. Das.com-Verzeichnis enthält den Signaturschlüssel und die Informationen für howtogeek.com. So können Sie sich mit howtogeek.com in Verbindung setzen und überprüfen, ob Sie mit dem echten howtogeek.com verbunden sind. Dies wird durch die darüber liegenden Zonen bestätigt.
Wenn DNSSEC vollständig ausgerollt ist, kann Ihr Computer bestätigen, dass die DNS-Antworten legitim und wahr sind, während derzeit keine Möglichkeit zu erkennen ist, welche falsch und welche echt sind.
Was SOPA getan hätte
Wie spielte also der Stop Online Piracy Act, besser bekannt als SOPA, bei all dem eine Rolle? Nun, wenn Sie SOPA folgen, stellen Sie fest, dass es von Leuten geschrieben wurde, die das Internet nicht verstanden haben, so dass es das Internet auf verschiedene Weise "zerbrechen" würde. Dies ist einer von ihnen.
Denken Sie daran, dass DNSSEC es Domain-Inhabern ermöglicht, ihre DNS-Einträge zu signieren. So kann beispielsweise thepiratebay.se mit DNSSEC die IP-Adressen angeben, mit denen es verbunden ist. Wenn der Computer eine DNS-Suche durchführt - unabhängig davon, ob es sich um google.com oder thepiratebay.se handelt - würde DNSSEC dem Computer gestatten, festzustellen, dass er die richtige Antwort erhält, die von den Inhabern des Domänennamens bestätigt wurde. DNSSEC ist nur ein Protokoll. Es wird nicht versucht, zwischen "guten" und "schlechten" Websites zu unterscheiden.
SOPA hätte Internetdienstanbieter dazu verpflichtet, DNS-Suchvorgänge für "schlechte" Websites umzuleiten. Wenn beispielsweise die Abonnenten eines Internet-Service-Providers versuchen, auf die Piratebay.se zuzugreifen, geben die DNS-Server des ISP die Adresse einer anderen Website zurück, wodurch sie darüber informiert werden, dass die Pirate Bay gesperrt wurde.
Mit DNSSEC wäre eine solche Umleitung nicht von einem Man-in-the-Middle-Angriff zu unterscheiden, den DNSSEC verhindern sollte. ISPs, die DNSSEC einsetzen, müssten mit der tatsächlichen Adresse der Pirate Bay antworten und würden somit gegen SOPA verstoßen.Um SOPA unterzubringen, müsste DNSSEC ein großes Loch aufweisen, das es Internet-Service-Providern und Regierungen ermöglicht, DNS-Anforderungen von Domänennamen ohne die Erlaubnis der Eigentümer des Domänennamens umzuleiten. Dies wäre schwierig (wenn nicht unmöglich) auf sichere Art und Weise zu tun und könnte neue Sicherheitslücken für Angreifer eröffnen.
Glücklicherweise ist SOPA tot und wird hoffentlich nicht wiederkommen. DNSSEC wird derzeit bereitgestellt und bietet eine überfällige Lösung für dieses Problem.
Empfohlen:
Das Berechtigungssystem von Android ist fehlerhaft und Google hat es nur schlimmer gemacht
Mobile Apps sammeln ganze Adressbücher und laden sie auf Ad Server hoch, verfolgen die Bewegungen der Benutzer per GPS und machen andere unangenehme Dinge. Das Erlaubnissystem von Android reicht jedoch nicht aus, um den Benutzern bei der Bekämpfung dieses Problems zu helfen.
Wenn die Heilung schlimmer ist als das Problem: Wie Angst mich fast umgebracht hat
Heute ist Mental Health Awareness Day bei How-To Geek. Wir schreiben alle darüber, wie uns psychische Probleme irgendwie beeinflusst haben, und Mann, habe ich eine Geschichte zu erzählen?
IBMs Jeopardy Playing Computer Watson zeigt den Profis, wie es gemacht wird [Video]
Zu Beginn dieser Woche nahmen IBMs Jeopardy mit dem Supercomputer Watson eine Übungsrunde mit zwei menschlichen (und versierten) Gefährdungsspielern an. Watson reißt aus dem Tor und lässt die Schläge kaum nach.
Wie hat Microsoft Hotmail schneller als je zuvor gemacht?
Hotmail ist der schnellste E-Mail-Dienst. Dank Caching, Vorladen und asynchronen Vorgängen kann ein 10-fach schnelleres Hotmail erreicht werden.
Wie Internet Explorer 9 zu einer seismischen Verschiebung in der Art und Weise geführt hat, wie Menschen das Internet nutzen
IE9 bietet den zusätzlichen Vorteil von Application Reputation, mit dem Benutzer vor unerkannter Malware geschützt werden, die als legitimes Download ausführbarer Dateien ausgeblendet wird. Außerdem werden unnötige Warnungen entfernt, wenn ein Download einen guten Ruf hat.