IP-Adressverwaltung empfiehlt rasche Einführung von DNS Security
Die DNS Security Extension (DNSSEC) erlaubt eine Authentifizierung der Antworten von DNS-Servern, Attacken wie Cache-Poisoning lassen sich auf diese Weise verhindern. Um DNSSEC sinnvoll einzusetzen, müssen allerdings alle Ebenen im DNS abgesichert werden.
Die Mitglieder der IP-Adressverwaltung Reseaux IP Europeens (RIPE) befürworten eine rasche Signierung der Rootzone des DNS mittels DNSSEC (DNS Security Extension). Beim Treffen in Dubai unterstützte das Plenum der RIPE-Mitglieder den Entwurf eines Briefs an die National Telecommunications and Informamtion Agency (NTIA). Die US-Behörde, die als Aufsicht für die Rootzone und die privaten DNS-Verwalter der Internet Corporation for Assigned Names and Numbers (ICANN) fungiert, hatte kürzlich um Stellungnahmen zu möglichen Varianten für die Signierung der Rootzone gebeten.
Die RIPE-Mitglieder fordern seit langem die Einführung von DNSSEC zur Erhöhung der Sicherheit im DNS. DNSSEC erlaubt eine PKI-gestützte Authentifizierung der Antworten von DNS-Servern, Attacken wie Cache-Poisoning lassen sich auf diese Weise verhindern. Um DNSSEC sinnvoll einzusetzen, müssen allerdings alle Ebenen im DNS abgesichert werden, nicht nur einzelne Top-Level-Adresszonen (TLDs), sondern auch die Rootzone selbst. Der Umstand, dass durch eine Signierung der von der NTIA beaufsichtigten Rootzone die US-Behörden auch die Aufsicht über die Schlüsselverwaltung übernehmen, hatte die Umsetzung des Konzepts bislang verzögert.
Aus Sicht der beim Treffen in Dubai anwesenden RIPE-Mitglieder hat DNSSEC nichts mit "Kontrolle" zu tun. "Es geht um Authentifizierung und Identifizierung", schreiben die Mitglieder in einem der 12 Prinzipien, die sie an die NTIA senden wollen, nachdem die gesamte Mitgliedschaft per Mailingliste konsultiert wurde. DNSSEC müsse dabei als globales Projekt und nicht als das einer Regierung oder einer bestimmten Interessengruppe betrachtet werden, heißt es weiter.
Für einige Diskussionen sorgten in Dubai Formulierungen, die die gegenwärtigen Aufsichtsstrukturen grundsätzlich bestätigt hätten. So weit wollen viele Mitglieder beim RIPE nicht gehen. Die immer wieder hinausgezögerte Privatisierung der DNS-Verwaltung ist vielen ein Dorn im Auge. Diplomatisch wurde daher formuliert, dass die Prozeduren für die Signierung der Rootzone sich am jeweils geltenden Modell für die DNS-Verwaltung orientieren. Ein Wechsel der Organisationen dürfe nicht den Wechsel der Schlüssel bedeuten. Auch müsse die gewählte Lösung sich um einen Kompromiss: Sicherheit und Vertrauen in die Lösung sollten gleichermaßen berücksichtigt werden.
Die NTIA hatte mehrere mögliche Konzepte vorgestellt, weitere Vorschläge kamen von ICANN und VeriSign. Während die ICANN die Signierung der Rootzone gerne näher an die IANA, die von ihr unter Vertrag mit den US-Behörden betriebene Verwaltung der Rootzone, heranziehen möchte, empfiehlt VeriSign sich nicht nur für die Signierung der Zone selbst, sondern auch für das Management des Key Signing Key, des Masterschlüssels. VeriSign verteilt aktuell die Rootzone an die 13 DNS-Rootserver, betreibt selbst zwei Rootserver, die .com-Zone sowie mehrere andere TLDs. (Monika Ermert) / (jk)
