Freitag, 19. Oktober 2018
Twitter Facebook Mister Wong Delicious stumbleupon digg Yahoo

Neueste Technologie für Administratoren

Systembetreuer im Windows-Umfeld brauchen Know-how über die neuesten Entwicklungen. Einsatzbeispiele und Tipps aus der Praxis führen zu mehr Effizienz im täglichen Betrieb. Wir bieten Skript-basierte Lösungen von Windows IT Pro exklusiv im deutschsprachigen Raum für unsere Abonnenten.

News

DNS-Vertrauenssanker wird ausgewechselt

Am 11. Oktober gegen 18:00 kommt es zu einer Aktualisierung im globalen Domain Name System (DNS); dies ist bereits der zweite Versuch.

DNS-Anfragen werden an sich nicht verschlüsselt. Allerdings können die DNS-Antwortpakete signiert werden. Dazu werden passende (kryptografische) Schlüssel verwendet (DNSSEC-Signaturen). Andernfalls könnten manipulierte DNS-Pakete genutzt werden, um heimlich und unbemerkt Nutzer auf falsche Seiten im Internet umzuleiten. Besonders perfide ist solch ein Vorgehen, wenn diese „Fake-Seiten“ quasi dem Original eins-zu-eins nachgebildet wurde, und die Nutzer ihre Zugangsdaten (Kreditkarteninformationen, Online-Banking-Credentials) eingeben.

Nun ist es von zeit zu Zeit nötig, diese Krypto-Schlüssel auszuwechseln. In Folge dessen wird der Vertrauensanker (Trust Anchor) geändert. Teilweise wurde der aktuelle Trust Anchor auf den meisten DNS-Resolvern eingesetzt, doch auf einigen sind bis jetzt nur die „alten“ Vertrauensanker vorhanden. Daher könnte es nach der Umstellung in einigen Teilbereichen des Internets zu Problemen bei der DNS-Auslösung kommen. Zwar hat die Internet Corporation for Assigned Names and Numbers (ICANN) diesen Schritt seit langen vorbereitet, doch absolut sicher können sich die Systembetreuer nicht sein, dass alles reibungslos abläuft.

Nun helfen Tipps wie „schreibe doch die meistgenutzten Domänennamen plus zugehörige IP-Adressen in die Hosts-Datei“ nicht unbedingt weiter. Denn dieses Vorgehen ändert nichts an der Tatsache, dass die meisten Systeme an den Resolvern der Provider angebunden sind, die wiederum mit den übergeordneten DNS-Servern (DNS Root Zone) kommunizieren. Falls die Implementierung des neuen Vertrauensankers beim Resolver nicht korrekt vorgenommen wurde, lassen sich die DNS-Antwortpakete nicht validieren, und werden verworfen. Damit erreichen auch die „Endgeräte“ in den betroffenen Bereichen keine externen Server per DNS.

Somit müssen die Systembetreuer der Provider dafür sorgen, den aktuellen Vertrauensanker sauber zu implementieren. Funktioniert dies nicht korrekt, können die Ursachen dabei an unterschiedlichen Problemen zugrunde liegen. Das wäre etwa der Fall, wenn die Resolver im „Read-Only-Modus“ laufen, und den neuen Anker daher nicht speichern können. Oder falls es Probleme mit dem Dateisystem, oder den virtuellen (oder physikalischen) Datenträgern gibt. Teilweise sind die Resolver auch so eingestellt, dass der Vertrauensanker nur manuell geändert werden kann, und die automatische Verteilung daher nicht erfolgreich abgeschlossen werden konnte.

Dies ist nun schon der zweite Anlauf den Trust Anchor zu wechseln, bereits 2017 hatte die ICANN versucht auf den aktuellen Anker umzustellen, und den Termin kurz vorher wieder verworfen: Es wurde bekannt, dass zu wenig Resolver über den aktuellen Anker verfügten. Daher dürfen die Systembetreuer gespannt sein. Nicht dass sich das Sprichwort bewahrheitet: Aller guten Dinge sind drei.

Florian Huttenloher


Anmelden
Anmelden