Wie unterscheidet sich DNSSEC von Verschlüsselung?

Person hält in einem Restaurant ein Smartphone an ein Zahlungsgerät

Diese Frage hören wir oft: „Ist DNSSEC nicht dasselbe wie verschlüsseltes DNS?“

Nicht wirklich. DNSSEC schützt Netzwerke zwar vor Man-in-the-Middle-Angriffen, allerdings durch Kryptografie mit öffentlichen Schlüsseln, die sich von der Verschlüsselung unterscheidet. Mit anderen Worten: DNSSEC bietet eine Form der Authentifizierung, aber keine Form der Vertraulichkeit.

Wie unterscheidet sich die Public-Key-Kryptografie von der Verschlüsselung?

DNSSEC nutzt Public-Key-Kryptografie, um DNS-Anfragen digital zu „signieren“ oder zu authentifizieren. Wenn DNSSEC für einen Zoneneintrag aktiviert ist, kann das empfangende Gerät die empfangenen Informationen mit den Originalinformationen vergleichen, die vom autoritativen Server gesendet wurden. Dies wird durch eine digitale Signatur ermöglicht, die öffentliche Schlüssel zur Authentifizierung von Daten verwendet.

Bei DNSSEC werden die Authentifizierungsschlüssel durch Kryptografie geschützt, aber die Daten selbst sind nicht geschützt. Es ist weiterhin möglich, DNSSEC-geschützten Datenverkehr abzufangen und zu lesen. Wenn die Daten irgendwo auf dem Datenpfad manipuliert und an ihr Ziel gesendet werden, kann der empfangende Server erkennen, dass etwas nicht stimmt, weil die öffentlichen Schlüssel nicht übereinstimmen.

Bei der Verschlüsselung hingegen werden die Daten selbst durch Kryptografie verschlüsselt. Die Verschlüsselung gewährleistet die Vertraulichkeit, indem sie verändert, was ein Angreifer sehen würde, wenn er eine Abfrage irgendwo entlang des Datenpfads abfangen würde. Dadurch werden die Daten unverständlich, es sei denn, der Angreifer kann das Signal mithilfe eines Verschlüsselungsschlüssels entschlüsseln. Da dieser Schlüssel nicht öffentlich zugänglich ist, schützt die Verschlüsselung die Daten vor Manipulation.

Warum verwendet DNSSEC keine Verschlüsselung?

DNS ist eines der älteren Protokolle im Internet. Als es geschaffen wurde, war das Internet ein viel kleinerer Ort, an dem so ziemlich jeder jeden kannte. Sicherheit war ein nachträglicher Aspekt.

Zu der Zeit, als die Internetsicherheit zu einem Problem wurde, war DNS so weit verbreitet, dass jede signifikante Änderung das gesamte System zum Stillstand gebracht hätte. Anstatt zu versuchen, ein vollständig verschlüsseltes Protokoll als Ersatz für DNS zu entwickeln, entschied man sich dafür, einen Authentifizierungsmechanismus an das bestehende System anzuhängen.

DNSSEC war ein Kompromiss. Es ermöglichte die Authentifizierung von Abfragen und Daten und erhöhte die Sicherheit des Protokolls. Dies gelang jedoch, ohne das zugrundeliegende System zu verändern, sodass das Internet weiter wachsen konnte, ohne dass irgendetwas neu entwickelt werden musste. Die Bereitstellung von DNSSEC wurde optional gemacht, sodass Unternehmen bei Bedarf umsteigen können.

Warum DNSSEC verwenden, wenn es nicht verschlüsselt ist?

DNS-Cache-Poisoning (auch bekannt als DNS-Spoofing) ist ein wichtiger Grund für die Bereitstellung von DNSSEC. Bei einem DNS-Spoofing-Angriff wird die legitime Antwort auf eine DNS-Anfrage durch eine nicht authentifizierte Antwort ersetzt. Diese Antwort bleibt dann im Cache hängen, liefert weiterhin die falsche Antwort und leitet die Benutzer auf schädliche Webseiten weiter, bis die Gültigkeitsdauer abläuft.

DNSSEC schützt vor solchen Angriffen, indem es DNS-Antworten authentifiziert und sicherstellt, dass nur richtige Antworten zurückgegeben werden. Eine Verschlüsselung kann die zugrunde liegenden Daten in einer DNS-Verbindung schützen, aber sie würde nicht vor einem DNS-Spoofing-Angriff schützen.

Verwenden Leute DNSSEC, wenn es nicht verschlüsselt ist?

Leider werden nur etwa 20 % des Internetverkehrs (Link befindet sich außerhalb von ibm.com) durch DNSSEC validiert. Das ist zwar eine deutliche Steigerung im Vergleich zu vor ein paar Jahren, aber man ist immer noch weit von dem Niveau entfernt, in dem man sein sollte. Eine Kombination aus Problemen mit der Benutzerfreundlichkeit, fehlenden Informationen und schieren Trägheit ist für diese große Lücke verantwortlich.

NS1 empfiehlt allen seinen Kunden nachdrücklich die Bereitstellung von DNSSEC und fördert die Nutzung durch einen einfachen Bereitstellungsprozess. Im Gegensatz zu anderen Anbietern unterstützt NS1 im Rahmen unseres Dedicated DNS-Angebots sogar DNSSEC als sekundärer Anbieter oder redundante DNS-Option.

Desktop as a Service auf IBM Cloud entdecken

Unterstützen Sie Ihre Remote- und Hybrid-Mitarbeiter mit Desktop as a Service in der IBM Cloud und erreichen Sie so Leistung und Sicherheit ohne Kompromisse.

Ressourcen

Maximierung der Leistung: Warum es wichtig ist, DNS von Ihren CDNs zu trennen

Erfahren Sie, wie die Trennung von DNS und CDN zu einer verbesserten Leistung, Kosteneinsparungen und Ausfallsicherheit führen kann. Erfahren Sie, warum die unabhängige Verwaltung des DNS mehr Kontrolle über die Steuerung des Datenverkehrs, die Leistungsüberwachung und die Ausfallsicherheit über mehrere CDN-Anbieter hinweg ermöglicht.

4 wichtige Fragen, die Sie bei der Auswahl eines externen DNS-Anbieters berücksichtigen sollten

Die Auswahl des richtigen DNS-Anbieters ist für die Verwaltung des Datenverkehrs, die Gewährleistung der Ausfallsicherheit und die Optimierung der Leistung von entscheidender Bedeutung. Hier stellen wir Ihnen die vier wesentlichen Faktoren vor, die Sie berücksichtigen müssen – vom Risikoprofil über die Ansprüche der Entwickler bis hin zur Verwaltung mehrerer CDNs und Leistungsanforderungen.

Grundlegendes zu Managed DNS: Vereinfachung der Verwaltung des Internetverkehrs

Erfahren Sie, wie ein verwaltetes DNS die Leistung und Sicherheit verbessert, die Latenz verringert und Ihre Abläufe optimiert. Erfahren Sie mehr über die Unterschiede zwischen verwaltetem und selbstverwaltetem DNS und entdecken Sie die Vorteile für Ihr Unternehmen.

Ist selbstgehostetes autoritatives DNS das Richtige für große Unternehmen?

Erfahren Sie mehr zu den Vorteilen und Herausforderungen der Selbstverwaltung eines autoritativen DNS für große Unternehmen. Informieren Sie sich über mögliche Schwierigkeiten bei der Selbstverwaltung und erfahren Sie, warum verwaltete DNS-Lösungen in Bezug auf Skalierbarkeit, Ausfallsicherheit und Kosteneffizienz die bessere Wahl sein könnten.

Weiterführende Lösungen

IBM NS1 Connect

IBM NS1 Connect ist ein vollständig verwalteter Cloud-Service für DNS, DHCP, IP-Adressverwaltung und Steuerung des Anwendungsdatenverkehrs in Unternehmen.

Entdecken Sie NS1 Connect

Netzwerklösungen

Cloud-Netzwerklösungen von IBM bieten eine leistungsstarke Konnektivität, um Ihre Apps und Ihr Unternehmen zu unterstützen.

Cloud-Netzwerklösungen erkunden

Netzwerk-Support-Services

Konsolidieren Sie die Rechenzentrumsunterstützung mit IBM Technology Lifecycle Services für Cloud-Netzwerke und mehr.

Cloud-Netzwerkdienste

Machen Sie den nächsten Schritt

Erhöhen Sie die Ausfallsicherheit Ihres Netzwerks mit IBM NS1 Connect. Erstellen Sie zunächst ein kostenloses Entwicklerkonto, um sich mit verwalteten DNS-Lösungen vertraut zu machen, oder vereinbaren Sie eine Live-Demo, um zu erfahren, wie unsere Plattform die Leistung und Zuverlässigkeit Ihres Netzwerks optimieren kann.

Erkunden Sie Managed DNS Services

Live-Demo buchen