Zone Walking

Zone Walking

Zone Walking (auch DNSSEC Walking oder Zone Enumeration) ist ein Verfahren, mit dem Angreifer den vollständigen Inhalt von DNSSEC signierten DNS Zonen auslesen können. Dadurch können vertrauliche Daten (z. B. Kundenlisten) und sicherheitsrelevante Informationen (z. B. IP-Adressen von Servern) preisgegeben werden.

Funktionsweise

Beim Signieren einer Zone verkettet DNSSEC automatisch mittels NSEC Resource Records alle Labels ringförmig in alphabetischer Reihenfolge. Beispiel Zone example.de:

    example.de. NSEC name1
    name1       NSEC name2
    name2       NSEC name5
    name5       NSEC example.de.

Links steht jeweils das Label (kanonischer Name) und rechts ein Verweis auf das lexigrafisch nächste Label.

Damit kann das Nichtvorhandensein von Namen bewiesen werden. Fragt beispielsweise ein Client den nichtexistierenden Namen name3 an, so antwortet der Nameserver mit dem NSEC-Eintrag name2 NSEC name5 und zeigt damit an, dass sich zwischen name2 und name5 kein weiterer Eintrag befindet.

Ein Angreifer macht sich diese Verkettung zunutze, indem er mit dem ersten Namen einer Zone beginnend (das ist immer der Name der Zone selbst) die Kette durch sukzessive Abfragen durchläuft. Durch dieses technisch recht einfache Verfahren kann er innerhalb weniger Sekunden den gesamten Zoneninhalt auslesen.

Abwehr

  • Das deswegen eigens entwickelte Verfahren NSEC3, welches bei .gov und .org schon eingeführt wurde (Stand 07/2009) verschlüsselt die Einträge mit einem nicht rückrechenbaren Hashwert. NSEC3 funktioniert erst ab Bind 9.6.0. (siehe RFC 5155)
  • Es ist möglich, einige NSEC-Records nachträglich aus einer signierten Zone zu entfernen. Dadurch wird die Kette unterbrochen, ein Angreifer kann nur eine Untermenge der Informationen auslesen.
  • Im RFC 4470 wird vorgeschlagen, den NSEC-Record-Typ zu modifizieren. Anstatt auf real existierende Namen zu verweisen, zeigen NSEC-RRs auf automatisch erzeugte, in der Zone nicht existierende Einträge. Dieses Verfahren ist mit erheblichen Nachteilen behaftet. So können derartig modifizierte NSEC-Records erst unmittelbar vor dem Absenden der Antwort generiert werden. Das belastet den Server und macht die ständige Präsenz des privaten Zonen-Schlüssels erforderlich, mit dem dynamisch erzeugte NSEC-Records unterschrieben werden.
  • Im RFC 5155 wird vorgeschlagen, die beteiligten Namen nicht im Klartext darzustellen, sondern in verschlüsselter Form.

Wikimedia Foundation.

Игры ⚽ Поможем решить контрольную работу

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Zone of Terror — is a short story by British author J. G. Ballard, written in 1960. The story was published in The Disaster Area , and later in .PlotThe two characters of the story are Larsen and Bayliss, employees of an unnamed electronics company. The story… …   Wikipedia

  • Walking Distance — Infobox television episode Title = Walking Distance Series = The Twilight Zone Caption = Gig Young in Walking Distance Season = 1 Episode = 5 Music = Original score by Bernard Herrmann Airdate = October 30, 1959 Production = 173 3605 Writer = Rod …   Wikipedia

  • Pedestrian zone — Strøget, Copenhagen s pedestrian zone. Pedestrian zones (also known as auto free zones and car free zones) are areas of a city or town reserved for pedestrian only use and in which some or all automobile traffic may be prohibited. They are… …   Wikipedia

  • The Walking Dead (serie de televisión) — The Walking Dead Título The Walking Dead Género Horror, drama sobrenatural Creado por Frank Darabont …   Wikipedia Español

  • List of The Twilight Zone (1959 TV series) guest stars — The following is a list of guest stars that appeared on the 1959 television series The Twilight Zone .Rod Serling himself provided the opening and closing commentary for all episodes as well as appearing on camera starting with the final episode… …   Wikipedia

  • Car-free zone — Car free zones (also known as auto free zones and pedestrian zones) are areas of a city or town in which automobile traffic is prohibited. They are instituted by communities who feel that it is desirable to have areas not dominated by the… …   Wikipedia

  • Twilight Zone: The Movie — Original 1983 theatrical poster Directed by John Landis (prologue and segment 1) Steven Spielberg (segment 2) …   Wikipedia

  • Fantasy Zone — This article is about the video game. For the fictional world, see Space Harrier. Fantasy Zone Japanese Fantasy Zone arcade flyer. Developer(s) Sega …   Wikipedia

  • The Twilight Zone (1959 TV series) — infobox television show name = The Twilight Zone caption = format = Horror, Mystery, Science Fiction, Drama runtime = approx. 30 min. (Seasons 1 3,5); approx. 60 min. (Season 4) creator = Rod Serling starring = Host: Rod Serling Various other… …   Wikipedia

  • The Walking Dead (1995 film) — Infobox Film name = The Walking Dead imdb id = 0114888 writer = Preston A. Whitmore II(story) starring = Allen Payne Eddie Griffin Joe Morton Vonte Sweet Roger Floyd Bernie Mac director = Preston A. Whitmore II producer = Bill Carraro George… …   Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”