Zone Walking

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Zone Walking (auch DNSSEC Walking oder Zone Enumeration) ist ein Verfahren, mit dem Angreifer den vollständigen Inhalt von DNSSEC signierten DNS-Zonen auslesen können. Dadurch können vertrauliche Daten (z. B. Kundenlisten) und sicherheitsrelevante Informationen (z. B. IP-Adressen von Servern) preisgegeben werden.

Funktionsweise[Bearbeiten | Quelltext bearbeiten]

Beim Signieren einer Zone verkettet DNSSEC automatisch mittels NSEC Resource Records alle Labels ringförmig in alphabetischer Reihenfolge. Beispiel Zone example.de:

    example.de. NSEC name1
    name1       NSEC name2
    name2       NSEC name5
    name5       NSEC example.de.

Links steht jeweils das Label (kanonischer Name) und rechts ein Verweis auf das lexigrafisch nächste Label.

Damit kann das Nichtvorhandensein von Namen bewiesen werden. Fragt beispielsweise ein Client den nichtexistierenden Namen name3 an, so antwortet der Nameserver mit dem NSEC-Eintrag name2 NSEC name5 und zeigt damit an, dass sich zwischen name2 und name5 kein weiterer Eintrag befindet.

Ein Angreifer macht sich diese Verkettung zunutze, indem er mit dem ersten Namen einer Zone beginnend (das ist immer der Name der Zone selbst) die Kette durch sukzessive Abfragen durchläuft. Durch dieses technisch recht einfache Verfahren kann er innerhalb weniger Sekunden den gesamten Zoneninhalt auslesen.

Abwehr[Bearbeiten | Quelltext bearbeiten]

Um Zone Walking zu verhindern, wurde mit NSEC3 ein Nachfolger von NSEC eingeführt.

Davor gab es einige andere Möglichkeiten Zone Walking zu verhindern:

  • Es ist möglich, einige NSEC-Records nachträglich aus einer signierten Zone zu entfernen. Dadurch wird die Kette unterbrochen, ein Angreifer kann nur eine Untermenge der Informationen auslesen.
  • Im RFC 4470 wird vorgeschlagen, den NSEC-Record-Typ zu modifizieren. Anstatt auf real existierende Namen zu verweisen, zeigen NSEC-RRs auf automatisch erzeugte, in der Zone nicht existierende Einträge. Dieses Verfahren ist mit erheblichen Nachteilen behaftet. So können derartig modifizierte NSEC-Records erst unmittelbar vor dem Absenden der Antwort generiert werden. Das belastet den Server und macht die ständige Präsenz des privaten Zonen-Schlüssels erforderlich, mit dem dynamisch erzeugte NSEC-Records unterschrieben werden.
  • Im RFC 5155 wird vorgeschlagen, die beteiligten Namen nicht im Klartext darzustellen, sondern in gehashter Form.