DNSSEC-Testbed für Deutschland
Gemeinsam mit dem BSI und eco hatte DENIC im Juni 2009 ein Testbed für die Domain Name Security Extensions (DNSSEC) ins Leben gerufen, um die Einführung von DNSSEC für .de-Domains zu evaluieren.
DNSSEC zielt darauf ab, Sicherheitslücken im Internet - wie Cache-Poisoning, DNS-Umleitungen und DNS-Spoofing - zu schließen. Innerhalb einer von DENIC bereitgestellten Testumgebung konnten operative und technische Erfahrungen gesammelt und geprüft werden, um zu beurteilen, welche Auswirkungen DNSSEC auf die Sicherheit und Zuverlässigkeit im Internet hat.
Ziel war es, durch ausführliche Tests mögliche Risiken im Betrieb von DNSSEC frühzeitig auszuschließen und gleichzeitig die Akzeptanz zu prüfen. Die Testbedinfrastruktur wurde noch bis Juli 2011 weiterbetrieben und dann endgültig abgeschaltet.
DNSSEC Testbed Meetings
Finales Meeting zieht kompakte Bilanz
Das fünfte und letzte DNSSEC-Testbed-Meeting am 8. Februar 2011 bildete den Abschluss für das von BSI, DENIC und eco initiierte DNSSEC-Testbed.
Das Testbed bot Gelegenheit, um operative und technische Erfahrungen zu sammeln, Risiken einzuschätzen und die Akzeptanz zu prüfen. Die vergangenen Meetings haben hierzu detailliert informiert, viele offene Fragen adressiert und beantwortet. Im abschließenden Meeting zogen die Initiatoren in kompakter Form Bilanz und DENIC präsentierte die geplanten Schritte zur Umsetzung von DNSSEC in der Praxis. Als Termin für die Einführung wurde der 31. Mai 2011 bekannt gegeben.
DNSSEC-Testbed-Abschlussbericht
Präsentationen
Testbed: DNSSEC für DE - Abschlussbericht
Peter Koch / Marcos Sanz Grossón, DENIC eGDNSSEC-Testbed: Fazit
Dr. Lothar Eßer, BSIRegistrar Atlas 2011
Thomas Rickert, eco
Live-Mitschnitte der Veranstaltung
Testbed: DNSSEC für DE - Abschlussbericht
Peter Koch, DENIC eGDNSSEC-Testbed: Fazit
Dr. Lothar Eßer, BSIRegistrar Atlas 2011
Thomas Rickert, eco
Agenda
DNSSEC@DENIC: Aktueller Stand im Testbed
Peter Koch / Marcos Sanz Grossón, DENIC eGErfahrungsbericht eines Testbed-Teilnehmers
Andreas Schulze, DATEV eGDNSSEC im globalen Kontext: Aktueller Stand
Thorsten Dietrich, BSIDNSSEC-Validierung unter MS Windows
Carsten Strotmann, Men & MiceTools & Emerging Services im DNSSEC-Umfeld:
- Nominum DNSSEC Packs – Ralf Weber, Nominum Inc.
- GSLB / Global Service Loadbalancing – Ralf Brünig, F5 Networks GmbH
- Nixu NameSurfer Suite – Jürgen Joswig & Toni Lampela, Nixu Ltd.
- Exanames – Kariem Hussein & Wolfgang Nagele, Exabit GmbH
- OpenDNSSEC – Carsten Strotmann, Men & Mice
- Die Infoblox DNSSEC-Lösung - Dominic Stahl, Infoblox Inc.
Präsentationen
DNSSEC@DENIC: Endspurt für das DNSSEC-Testbed
Peter Koch / Marcos Sanz Grossón, DENIC eGDNSSEC im globalen Kontext: Aktueller Stand
Thorsten Dietrich, BSIDNSSEC-Validierung unter MS Windows
Carsten Strotmann, Men & MiceNominum DNSSEC Packs
Ralf Weber, Nominum Inc.GSLB / Global Service Loadbalancing
Ralf Brünig, F5 Networks GmbHNixu NameSurfer Suite
Jürgen Joswig / Toni Lampela, Nixu Ltd.Exanames
Kariem Hussein / Wolfgang Nagele, Exabit GmbHOpenDNSSEC
Carsten Strotman, Men & MiceDie Infoblox DNSSEC-Lösung
Dominic Stahl, Infoblox Inc.
Live-Mitschnitte der Veranstaltung
DNSSEC@DENIC: Aktueller Stand im Testbed
Peter Koch / Marcos Sanz Grossón, DENIC eGErfahrungsbericht eines Testbed-Teilnehmers
Andreas Schulze, DATEV eGDNSSEC im globalen Kontext: Aktueller Stand
Thorsten Dietrich, BSIDNSSEC-Validierung unter MS Windows
Carsten Strotmann, Men & MiceNominum DNSSEC Packs
Ralf Weber, Nominum Inc.GSLB / Global Service Loadbalancing
Ralf Brünig, F5 Networks GmbHNixu NameSurfer Suite
Jürgen Joswig / Toni Lampela, Nixu Ltd.Exanames
Kariem Hussein / Wolfgang Nagele, Exabit GmbHOpenDNSSEC
Carsten Strotmann, Men & MiceDie Infoblox DNSSEC-Lösung
Dominic Stahl, Infoblox Inc.
Agenda
DNSSEC@DENIC: "Halbzeit" im Testbed
Peter Koch / Marcos Sanz Grossón, DENIC eGTeilnahme am Testbed und Messungen zu NSEC3: Ein Erfahrungsbericht
Florian Obser, Hostserver GmbHDNSSEC am Leibniz-Rechenzentrum
Bernhard Schmidt, LRZ – Rechenzentrum der Münchener Hochschulen und ForschungseinrichtungenDNSSEC-Einführung in "bund.de"
Thorsten Dietrich, Bundesamt für Sicherheit in der InformationstechnikDNSSEC als Sicherheitskomponente im Heimnetzwerk der FRITZ!Box
Martin Duzy, AVM GmbHDie Signierung der Rootzone: "Anpfiff" zum Finale
Peter Koch, DENIC eGDNSSEC@Earth: Blick über den Tellerrand
Carsten Strotmann, Men & MiceSoftwareunterstützung für DNSSEC
Ralf Weber, Nominum Inc.DNSSEC-Erweiterungen aus Registrarsicht
Volker Janzen, InterNetX GmbHDomain-Transfer unter DNSSEC
Samuel Benz, SWITCH – Serving Swiss Universities
Präsentationen
DNSSEC@DENIC: "Halbzeit" im Testbed
Peter Koch / Marcos Sanz Grossón, DENIC eGTeilnahme am Testbed und Messungen zu NSEC3: Ein Erfahrungsbericht
Florian Obser, Hostserver GmbHDNSSEC am Leibniz-Rechenzentrum
Bernhard Schmidt, LRZ – Rechenzentrum der Münchener Hochschulen und ForschungseinrichtungenDNSSEC-Einführung in “bund.de”
Thorsten Dietrich, Bundesamt für Sicherheit in der InformationstechnikDNSSEC als Sicherheitskomponente im Heimnetzwerk der FRITZ!Box
Martin Duzy / Jan Schöllhammer, AVM GmbHDie Signierung der Rootzone: "Anpfiff" zum Finale
(Link zur Informationsseite Root DNSSEC von ICANN und VeriSign)
Peter Koch, DENIC eGDNSSEC@Earth: Blick über den Tellerrand
Carsten Strotmann, Men & MiceSoftwareunterstützung für DNSSEC
Ralf Weber, Nominum Inc.DNSSEC-Erweiterungen aus Registrarsicht
Volker Janzen, InterNetX GmbHDomain-Transfer unter DNSSEC
Samuel Benz, SWITCH – Serving Swiss Universities
Live-Mitschnitte der Veranstaltung
DNSSEC@DENIC: "Halbzeit" im Testbed
Peter Koch / Marcos Sanz Grossón, DENIC eGTeilnahme am Testbed und Messungen zu NSEC3: Ein Erfahrungsbericht
Florian Obser, Hostserver GmbHDNSSEC am Leibniz-Rechenzentrum
Bernhard Schmidt, LRZ – Rechenzentrum der Münchener Hochschulen und ForschungseinrichtungenDNSSEC-Einführung in “bund.de”
Thorsten Dietrich, Bundesamt für Sicherheit in der InformationstechnikDNSSEC als Sicherheitskomponente im Heimnetzwerk der FRITZ!Box
Martin Duzy / Jan Schöllhammer, AVM GmbHDie Signierung der Rootzone: "Anpfiff" zum Finale
Peter Koch, DENIC eGDNSSEC@Earth: Blick über den Tellerrand
Carsten Strotmann, Men & MiceSoftwareunterstützung für DNSSEC
Ralf Weber, Nominum Inc.DNSSEC-Erweiterungen aus Registrarsicht
Volker Janzen, InterNetX GmbHDomain-Transfer unter DNSSEC
Samuel Benz, SWITCH – Serving Swiss Universities
Agenda
Einführung und aktueller Stand DNSSEC (optional)
Peter Koch, DENICBegrüßung
Sabine Dolderer, DENICVorstellung DNSSEC-Testbed bei DENIC
Peter Koch / Marcos Sanz Grossón, DENICMit DNSSEC um die Welt: Der Stand in anderen TLDs
Hans Peter Dittler, BRAINTEC Netzwerk-ConsultingDNSSEC in der Schweiz: Erste Erfahrungen im Produktivbetrieb
Samuel Benz, SWITCHDNSSEC-Unterstützung durch Heimrouter
Thorsten Dietrich, BSISignierung der Rootzone
Wolfgang Nagele, RIPE NCCDNSSEC Zonenverwaltung mit dem OpenSource Tool ZKT
Holger Zuleger, HZNET
Präsentationen
Vorstellung DNSSEC-Testbed bei DENIC
Peter Koch / Marcos Sanz Grossón, DENIC eGMit DNSSEC um die Welt: Der Stand in anderen TLDs
Hans Peter Dittler, Braintec-Netzwerk-ConsultingDNSSEC in Sweden: Five Years' Practical Experience
Anne-Marie Eklund Löwinder, .SEDNSSEC in der Schweiz: Erste Erfahrungen im Produktivbetrieb
Samuel Benz, SWITCHDNSSEC-Unterstützung durch Heimrouter
Thorsten Dietrich, BSISignierung der Rootzone
Wolfgang Nagele, RIPE NCCDNSSEC Zonenverwaltung mit dem OpenSource Tool ZKT
Holger Zuleger, HZNET
Live-Mitschnitte der Veranstaltung
Vorstellung DNSSEC-Testbed bei DENIC
Peter Koch / Marcos Sanz Grossón, DENICMit DNSSEC um die Welt: Der Stand in anderen TLDs
Hans Peter Dittler, BRAINTEC Netzwerk-ConsultingDNSSEC-Unterstützung durch Heimrouter
Thorsten Dietrich, BSISignierung der Rootzone
Wolfgang Nagele, RIPE NCCDNSSEC Zonenverwaltung mit dem OpenSource Tool ZKT
Holger Zuleger, HZNET
Agenda
Grußwort
BSIVorstellung des Projekts und Zeitplans
Sabine DoldererHintergrund und Einführung DNSSEC
Hans Peter DittlerDNSSEC für .de – Vorstellung der Testumgebung und des Setups
Dr. Jörg SchweigerDNSSEC für einen ISP/Registrar - Was muss ein ISP/Registrar tun, um seine Infrastruktur DNSSEC-ready zu machen und am Testbed teilzunehmen
Ralf Weber, COLTDNSSEC bei Netzzugangsgeräten - Inwieweit unterstützen Zugangssoftware/Router bereits DNSSEC? Vorstellung Studie
BSIDiskussions- und Fragerunde zum Thema DNSSEC Testbed für .de
Moderation: Thomas Rickert
Präsentationen
Das DNSSEC Testbed
Sabine Dolderer, DENIC eGHintergrund und Einführung DNSSEC
Hans Peter Dittler, BRAINTECNetzwerk-ConsultingGmbHDas DNSSEC Testbed der DENIC
Jörg Schweiger, DENIC eGDNSSEC für Internet Service Provider
Ralf Weber, COLT Telecom GmbHDNSSEC bei Netzzugangsgeräten
Thorsten Dietrich, Bundesamt für Sicherheit in der Informationstechnik
Einführung von DNSSEC für die .de-Zone
Die Einführung von DNSSEC für die .de-Zone erfolgte in Anlehnung an das DURZ-Verfahren für die Rootzone. Die DUdeZ (deliberately unvalidatable DE zone) enthielt DS-Records auf Basis der im Registrierungssystem hinterlegten Key Signing Keys (KSKs) und war auch sonst vollständig signiert. Allerdings wurden die DNSKEY-RRs durch solche mit gleichem Key-Tag ersetzt, die ausdrücklich keine Validierung ermöglichten. Mit diesen Daten wurden die 16 Name Server Locations schrittweise versorgt.
DENIC hatte aus Gründen der internen Konsistenz der Abläufe für einen kurzen Übergangszeitraum und dann im Rahmen der DUdeZ bereits in der unsignierten .de-Zone die DS-Records für die bis dato registrierten Key Signing Keys von Second Level Domains veröffentlicht. Betroffen waren ca. 180 Teilnehmer an der der Einführung vorgeschalteten Testphase, dem so genannten DNSSEC-Testbed. Diese Records waren nicht nutzbar, da sie nicht signiert waren, aber ansonsten unschädlich, da die gängigen validierenden Resolver nur dann Anfragen nach DS-Records stellen, wenn Aussicht auf Erfolg besteht.
Am 31. Mai 2011 – dem offiziellen Tag der DNSSEC-Einführung – wurde das DNSKEY-RRSet veröffentlicht und der DS-RR an IANA versand. Dieser DS-RR erschien am 7. Juni 2011 erstmals in der Rootzone. Seit diesem Zeitpunkt ist die Validierung von .de-Domains möglich.