Seite 6: DNSSEC: Router-Inkompatibilität

Inhaltsverzeichnis

Router-Inkompatibilität

Das bedeutet, dass der Betreiber eines Resolvers die Signaturen aller Top Level Domains manuell eintragen muss. Bei über 240 Landes-Domains ist das schon aufwendig und diese Schlüssel müssen auch noch aktuell gehalten werden. Man kann daher annehmen, dass ohne die Signatur der Root-Zone DNSSEC nur zögerlich angenommen wird. Bereits während der ersten DNSSEC-Inbetriebnahmen sind einige Fehler aufgefallen. Die wohl schwerwiegendsten betreffen DSL-Router. Nachdem die schwedische Gemeinde Gävle ihre Domains auf DNSSEC umgestellt hatte, konnte etwa die Hälfte aller Mitarbeiter nicht mehr von zu Hause auf die Server der Gemeinde zugreifen. Betroffen waren ausschließlich Kunden des Internet-Providers Telia. Analysen brachten zutage, dass der vom Provider verwendete Resolver fehlerhafte DNS-Antworten verschickte – immerhin konnte der Hersteller den Fehler innerhalb von 24 Stunden beseitigen, sodass der Internet-Zugriff von da an für die Telia-Kunden reibungslos klappte.

Als Nebenprodukt dieser Tests wurde aber festgestellt, dass viele DSL- und WLAN-Router nicht mit DNSSEC-Antworten umgehen können. DNSSEC ist nicht nur zur Absicherung zwischen Servern gedacht, sondern auch zur Sicherung von Applikationen. Ein Browser zum Beispiel soll so die Echtheit von DNS-Antworten überprüfen können, ist aber darauf angewiesen, dass der vorgeschaltete Router die DNS-Pakete unangetastet durchlässt.

Die aktuelle Generation der DSL- und WLAN-Router ist dafür aber kaum geeignet. Etliche Modelle lassen DNS-Antworten nicht durch, wenn sie größer sind als ein UDP-Paket, andere sieben DNS-Antworten aus, die wegen DNSSEC zusätzliche Informationen enthalten und bei ganz missratenen Geräten ist der Resolver gegenüber dem Internet geöffnet: Der Router beantwortet also DNS-Anfragen aus dem Internet und kann daher für DDos-Attacken missbraucht werden.