Sicherheitslösungen für DNS-Server

In vielen Unternehmen waren Domain-Name-System-Server (DNS-Server) ohne eigene Sicherheitsvorkehrungen wiederholt einer Vielzahl an böswilligen Angriffen ausgesetzt, darunter Cache Poisoning, Umleitung von Telefonanrufen, Man-in-the-Middle-Angriffen zum Stehlen von Passwörtern, Umleitung von E-Mails, Denial-of-Service-Angriffen usw.

Domain Name Systems Security Extensions (DNSSEC) sichert die Hierarchie des DNS-Servers durch digitales Signieren der DNS-Datensätze, damit gewährleistet ist, dass die erhaltenen Nachrichten mit den gesendeten übereinstimmen.

DNS-Server-Sicherheit erfordert leistungsstarke Schlüsselsicherheit

DNSSEC stellt im Wesentlichen Public-Key-Infrastrukturen (PKI) bereit, die den DNS-Servern als sichere Kommunikationsmethode dienen. Als PKI erfordert DNSSEC einige neue Verfahren wie beispielsweise Schlüsselerstellung, -signatur und -verwaltung. Trotz aller potenziellen Vorteile von DNSSEC ist der beabsichtigte Vorteil nicht garantiert, da die von DNSSEC bereitgestellten Ressourceneinträge in einer unverschlüsselten Datei gespeichert werden.

Nur wenn die gesamte DNSSEC-Infrastruktur umfassend gesichert ist, kann ein Unternehmen im vollen Umfang von den Vorteilen von DNSSEC profitieren. Dazu müssen sie Folgendes tun:

• Digitale Signaturen sichern. DNS-Nachrichten müssen digital signiert werden, um die Gültigkeit der DNS-Dienste zu gewährleisten.
• Zugriff kontrollieren. Unternehmen müssen dafür sorgen, dass nur autorisierte Kunden und interne Mitarbeiter auf sensible Anwendungen und Daten zugreifen können.
• Die Integrität von Anwendungen beibehalten. Alle zugehörigen Anwendungscodes und -prozesse müssen gesichert werden, damit die Integrität gewährleistet ist und eine unbefugte Ausführung der Anwendung verhindert wird.
• Die Infrastruktur für eine Verarbeitung im großen Umfang skalieren. Da DNS-Aktualisierungen sehr häufig durchgeführt werden, müssen DNSSEC-Infrastrukturen die erforderliche Leistung und Skalierbarkeit bieten, sodass eine zeitnahe Verarbeitung jederzeit möglich ist.

DNS-Server-Sicherheit mit Hardware-Sicherheitsmodulen

Damit die Gültigkeit der DNS-Dienste garantiert ist, nutzt DNSSEC öffentliche kryptographische Schlüssel, um DNS-Nachrichten zu signieren. Um die erforderliche Sicherheit gewährleisten zu können, ist ein Schutz privater Signaturschlüssel unerlässlich. Sobald die Schlüssel und die entsprechenden digitalen Zertifikate gefährdet sind, ist das Vertrauen in die DNS-Hierarchie erschüttert, wodurch das gesamte System obsolet wird. Hier kommen Hardware-Sicherheitsmodule (HSM) ins Spiel.

HSM sind spezielle Systeme, die die zentralen Elemente digitaler Signaturen, d. h. kryptographische Schlüssel und die entsprechende Verarbeitung, physisch und logisch sichern. HSM unterstützten die folgenden Funktionen:

• Verwaltung der Schlüssel über den gesamten Lebenszyklus, einschließlich Erstellung, Verteilung, Rotation, Speicherung, Beendigung und Archivierung.
• Kryptographische Verarbeitung, was zwei Vorteile bietet: die Isolierung sowie die Auslagerung kryptographischer Prozesse aus den Anwendungsservern.

Durch die Speicherung der kryptographischen Schlüssel in einem gehärteten Gerät verhindern HSM die Risiken, die entstehen, wenn diese stattdessen auf unterschiedlichen, schlecht gesicherten Plattformen gespeichert würden. Darüber hinaus optimiert diese Zentralisierung die Sicherheitsverwaltung erheblich.

Thales HSM für DNSSEC:

• Unterstützung des DNSSEC-Vertrauensankersystems
• Schlüsselsicherheit für die Root- und die gesamte DNS-Hierarchie – ZSK und KSK
• Eine leistungsstarke kryptographische Engine lagert die Verschlüsselungsoperationen vom DNS-Server aus.
• Breites Spektrum an HSM für unterschiedliche DNSSEC-Anforderungen
• Standard-API wie PKCS#11, Java, MS CAPI
• Nach FIPS und Common Criteria zertifizierte Modelle erhältlich
• Integration mit führenden DNS-Plattformen wie OpenDNSSEC, BIND 9.7, FreeBSD