DNSSEC-Implementierungen ohne Einsatz von proprietären Appliances automatisieren

DNS Server-Update von Nominum eliminiert derzeitige Hürden bei der DNSSEC-Implementierung

(11.12.09) - Die Anbieterin von intelligenten Domain Name System (DNS)-Lösungen Nominum stattet ihren Vantio Caching DNS-Server und ihre autoritativen ANS und ANSP DNS-Server mit neuen Funktionen aus, die derzeitige Hürden bei der DNSSEC-Implementierung eliminieren. Die Lösungen erlauben DNSSEC-Installationen jeglicher Größe ohne den Einsatz teurer proprietärer Appliances. Darüber hinaus minimiert die Automatisierung von DNSSEC-Prozessen den manuellen Verwaltungsaufwand und verhindert Konfigurationsfehler. Diese können im schlimmsten Fall dazu führen, dass die Website nicht mehr auffindbar ist und im wahrsten Sinne des Wortes vom Netz "verschwindet".

Mit den aktuellen Neuerungen bietet Nominum einen zuverlässigen Schutz für Internet-Nutzer, unabhängig davon ob sie signierte oder nicht signierte DNS-Daten verwenden. Die neuen Funktionen verstärken den "mehrschichtigen" Abwehrmechanismus von Nominum, der in den Vantio Caching DNS-Servern integriert ist.

Dan Kaminsky, der Sicherheitsexperte, der 2008 einen der größten Sicherheitsfehler im Domain Name System offenlegte, zum aktuellen Status der DNS-Sicherheit: "Das Internet sieht sich einer großen Herausforderung gegenüber: Wie kann man Sicherheit skalierbar machen? Das große Problem ist, dass 61 Prozent der Sicherheitslücken auf Authentifizierungsfehler zurückgehen. DNSSEC ist die Lösung, die wir brauchen, um diese Fehler zu beseitigen. Und es gibt Fortschritte: Im letzten Jahr haben die Aktivitäten hinsichtlich Signaturen auf den Root- und TLD-Schichten zugenommen. Aber die Implementierung von DNSSEC muss für große Organisationen einfacher werden und ohne größere Unterbrechungen vonstatten gehen. Nur so können sie ihre eigenen Domain-Namen zuverlässig sichern. Deshalb finde ich es gut, dass Nominum ihre DNS Server-Plattformen mit umfassendem DNSSEC-Support ausstattet und vor allem die Implementierungs-prozesse fast vollständig automatisiert."

Einfache DNSSEC-Implementierung für Domain-Inhaber und Service Provider

Domains sind heute wichtige Bestandteile des Markenwerts von Unternehmen. Die Veröffentlichung und Aktualisierung der dazu gehörenden DNS-Daten haben Unternehmen im Griff. DNSSEC bedeutet allerdings, dass man eine ganze Menge zusätzlicher, komplexer Funktionen fehlerfrei installieren muss, sonst ist die Internetseite - und damit die Marke - nicht mehr auffindbar. Nominum hat nun diese kritischen Funktionen in ihre DNS-Server integriert und automatisiert. DNSSEC-Prozesse, die zuvor zusätzliche Systeme wie eine externe Signier-Appliance benötigten, sind nun Software-Funktionen, die auf Standard-Server-Hardware laufen. Komplizierte und Zeit raubende manuelle Eingriffe, die Expertenwissen erforderten und ständig wiederholt werden mussten, können nun mit ein paar Tastenbefehlen und von vorhandenem Personal ausgeführt werden. Die Automatisierung senkt zudem die Kosten, indem sie die Fehleranfälligkeit, und damit die Gefahr von Serviceausfällen, reduziert.

"Seitdem die Kaminsky-Schwachstelle aufgedeckt wurde, gab es einige Fortschritte bei der DNSSEC-Implementierung. Viele Top-Level-Domains sind entweder schon signiert oder werden es demnächst. Das nächste Problem bei der DNSSEC-Einführung wird jetzt sein, Domain-Inhaber auch dazu zu bringen, ihre Daten zu signieren", kommentiert John Pescatore von der Gartner Group. "Für Domainbesitzer reduziert die enge Integration der wichtigsten DNSSEC-Automa-tisierungsfunktionen in die DNS-Infrastruktur Kosten und Komplexität. Solide Validierungslösungen beseitigen Hürden für Service Provider. Gemeinsam werden diese Funktionalitäten DNSSEC-Implementierungen vorantreiben - mit entsprechend positiven Auswirkungen auf die Stabilität des Internets."

Die autoritativen DNS-Server - ANS und ANSP - unterstützen nach eigenen Angaben die derzeit einzige Lösung am Markt, die alle DNSSEC-Funktionen in den DNS-Server integriert. Diese Lösung vereinfacht Netzwerkarchitekturen, optimiert die Zuverlässigkeit und reduziert Investitions- und Betriebskosten. Dabei werden Online- und Offline-Implementierungsmethoden für DNSSEC mit allen Automatisierungsfunktionen unterstützt.

DNSSEC ist kein Patentrezept

Obwohl DNSSEC die DNS-Sicherheit verbessern wird, adressiert es keine anderen Internet-gefahren. Angreifer nutzen meist die Schwächen von Legacy DNS-Systemen aus, um Nutzer zu illegalen, bösartigen und ungewünschten Zieladressen zu leiten. DNSSEC kann dies nicht verhindern. Nominums intelligente DNS-Systeme verwenden Policys für DNS-Antworten, um Nutzer gegen Phishing, Malware-Sites, Botnetze oder Spam zu schützen. Dadurch wird dem Internet-nutzer ein sicheres und produktives Interneterlebnis ermöglicht.

"DNNSEC zu implementieren ist ein großes Unterfangen, das mehrere Jahre in Anspruch nehmen und oftmals Schwierigkeiten nach sich ziehen wird", kommentiert Paul Mockapetris, Chief Scientist bei Nominum und Erfinder des DNS. "Für Domain-Inhaber muss es einfacher werden, Ihre Marke zu sichern. Wir wollen dabei während und nach der Migration den besten Schutz für Nutzer nicht signierter Domains liefern." (Nominum: ma)