NSEC3 Resource Record

NSEC3 Resource Record

NSEC3 Recource Records sind Resource Records des Domain Name Systems (DNS), mit denen bestimmte Angriffe auf gesicherte DNS-Anfragen (DNSSEC) erkannt werden können. Sie bieten seit 2008 neben den NSEC Resource Records eine alternative Möglichkeit um nachzuweisen, dass ein bestimmter Hostname nicht im DNS vorhanden ist. NSEC3 verwendet im Gegensatz zu NSEC Hashwerte und keine Klartext-Labels, um alle Namen einer Zone zu identifizieren.

Hintergrund

Mit dem Signieren von DNS-Einträgen mittels DNSSEC kann verifiziert werden, dass diese Einträge nicht verfälscht wurden und von den korrekten autoritativen Nameservern stammen. Zunächst nicht möglich ist es jedoch, das Nicht-Vorhandensein von DNS-Einträgen zu beweisen. Fragt etwa ein Client den Namen test.example.org an, so kann ein Angreifer die entsprechenden Daten aus dem Antwortpakets des Servers entfernen, ohne dass dies dem Client ersichtlich wäre.

Um derartige Attacken zu verhindern, werden alle Namen einer Zone über NSEC Resource Records alphabetisch geordnet ringförmig verkettet, wobei der letzte Eintrag auf den ersten zeigt (siehe NSEC Resource Record). Diese NSEC-Records werden mit einem RRSIG Resource Record unterschrieben. In seinen Antwortpaketen liefert ein DNS-Server zu einem Namen jeweils den zugehörigen NSEC-Eintrag mit.

Semantisch stellt ein NSEC Resource Record für den Client also sicher, dass sich zwischen zwei Namen kein weiterer befindet. Dies kann ausgenutzt werden, um eine Liste aller Namen in einer DNS-Zone zu erschließen, indem sequentiell alle NSEC Resource Records einer Zone abgefragt werden (Zone Walking). Diese Eigenschaft von NSEC bzw. DNSSEC ist in bestimmten Einsatzszenarien unerwünscht.

Im Gegensatz zu NSEC verwendet NSEC3 Hashwerte der Namen statt Klartext-Label. Ein NSEC3 Resource Record bestätigt also, dass zwischen zwei Hashwerten zu Namen der Zone kein Hashwert eines weiteren Namens liegt. Der Resolver kann also den Hash-Wert seines angefragten Labels ermitteln und feststellen, dass der nächste Wert in der Kette ein anderer ist, ohne zu wissen, welchen Inhalt dieser konkret hat.

Die verwendete Hashfunktion und andere Parameter des Verfahrens wie z.B. ein Salt werden mittels eines NSEC3PARAM Resource Records in der Zone hinterlegt.

Weblinks

  • RFC 5155 DNS Security (DNSSEC) Hashed Authenticated Denial of Existence − Spezifikation von NSEC3 und NSEC3PARAM

Wikimedia Foundation.

Игры ⚽ Нужно сделать НИР?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Resource Record — Ein Resource Record (RR) ist die grundlegende Informationseinheit im Domain Name System (DNS). Er tritt in ASCII Darstellung in Zonendateien oder in komprimierter Form in DNS Transport Paketen oder DNS Caches auf. Einige RR Typen – sogenannte… …   Deutsch Wikipedia

  • DS Resource Record — DS Resource Records dienen der Verkettung von DNSSEC signierten Zonen. Dadurch können mehrere DNS Zonen zu einer Chain of Trust zusammengefasst und über einen einzigen Öffentlichen Schlüssen validiert werden. Inhaltsverzeichnis 1 Hintergrund 2… …   Deutsch Wikipedia

  • DNSKEY Resource Record — DNSKEY Resource Records dienen der Propagierung öffentlicher Schlüssel durch DNS. DNSKEY Records werden im Rahmen von DNSSEC (DNS Security) verwendet und lösten 2004 die nahezu identischen KEY Resource Records ab. Inhaltsverzeichnis 1 Hintergrund …   Deutsch Wikipedia

  • NSEC Resource Record — Mit NSEC Resource Records werden bei DNSSEC signierten Zonen alle Labels (Namen) in alphabetischer (kanonischer) Reihenfolge verkettet. Der Typ NSEC löste 2004 den nahezu identischen Typ NXT ab. Inhaltsverzeichnis 1 Hintergrund 2 Aufbau 3… …   Deutsch Wikipedia

  • List of DNS record types — This List of DNS record types provides an overview of types of resource records (database records) stored in the zone files of the Domain Name System (DNS). The DNS implements a distributed, hierarchical, and redundant database for information… …   Wikipedia

  • NSEC-Record — Mit NSEC Resource Records werden bei DNSSEC signierten Zone alle Labels (Namen) in alphabetischer (kanonischer) Reihenfolge verkettet. Der Typ NSEC löste 2004 den nahezu identischen Typ NXT ab. Inhaltsverzeichnis 1 Hintergrund 2 Aufbau 3 Beispiel …   Deutsch Wikipedia

  • Domain Name System Security Extensions — Internet protocol suite Application layer BGP DHCP DNS FTP HTTP …   Wikipedia

  • Domain Name System Security Extensions — DNSSEC im TCP/IP‑Protokollstapel: Anwendung DNSSEC Transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang Ethernet …   Deutsch Wikipedia

  • NSEC — Mit NSEC Resource Records werden bei DNSSEC signierten Zone alle Labels (Namen) in alphabetischer (kanonischer) Reihenfolge verkettet. Der Typ NSEC löste 2004 den nahezu identischen Typ NXT ab. Inhaltsverzeichnis 1 Hintergrund 2 Aufbau 3 Beispiel …   Deutsch Wikipedia

  • DNSSEC — im TCP/IP‑Protokollstapel: Anwendung DNSSEC Transport UDP TCP Internet IP (IPv4, IPv6) Netzzugang …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”