Das Kefk Network Wiki befindet sich im Testbetrieb.

Zone Walking

Aus Kefk.

Wechseln zu: Navigation, Suche

Zone Walking (auch DNSSEC Walking) ist ein Verfahren, mit dem Angreifer den vollständigen Inhalt von DNSSEC signierten DNS Zonen auslesen können. Dadurch können vertrauliche Daten (z.B. Kundenlisten) und sicherheitsrelevante Informationen (z.B. IP-Adressen von Servern) preisgegeben werden.

Funktionsweise

Beim Signieren einer Zone verkettet DNSSEC automatisch mittels NSEC Resource Records alle Labels ringförmig in alphabetischer Reihenfolge. Beispiel Zone example.de: 

    example.de. NSEC name1
    name1       NSEC name2
    name2       NSEC name5
    name5       NSEC example.de.

    Links steht jeweils das Label (kanonischer Name) und rechts ein Verweis
    auf das lexigrafisch nächste Label.

Damit kann das Nichtvorhandensein von Name bewiesen werden. Fragt beispielsweise ein Client den nichtexistierenden Namen name3 an, so antwortet der Nameserver mit dem NSEC-Eintrag name2 NSEC name5 und zeigt damit an, dass sich zwischen name2 und name5 kein weiterer Eintrag befindet.

Ein Angreifer macht sich diese Verkettung zu nutzen, indem er mit dem ersten Namen einer Zone beginnend (das ist immer der Name der Zone selbst) die Kette durch sukzessive Abfragen durchläuft. Durch dieses technische recht einfache Verfahren kann er innerhalb weniger Sekunden den gesamten Zoneninhalt auslesen.

Abwehr

  • Es ist möglich, einige NSEC Records nachträglich aus einer signierten Zone zu entfernen. Dadurch wird die Kette unterbrochen, ein Angreifer kann nur eine Untermenge der Informationen auslesen.
  • Im rfc 4470 wird vorgeschlagen, den NSEC Record-Typ zu modifizieren. Anstatt auf real existierende Namen zu verweisen, zeigen NSEC-RRs auf automatisch erzeugte, in der Zone aber nicht existierende Einträge. Dieses Verfahren ist allerdings mit erheblichen Nachteilen behaftet. So können derartig modifizierte NSEC-Records erst unmittelbar vor dem Absenden der Antwort generiert werden. Das belastet den Server und macht die ständige Präsenz des privaten Zonen-Schlüssels erforderlich, mit dem dynamisch erzeugte NSEC Records unterschrieben werden.
  • Im IETF Draft dnsext-nsec3-05 wird vorgeschlagen, die beteiligten Namen nicht im Klartext darzustellen, sondern in verschlüsselter Form.
Wikipedia
 Dieses Dokument entstammt in seiner ersten oder einer späteren Version der deutschsprachigen Wikipedia. Es ist dort zu finden unter dem Stichwort Zone_Walking, die Liste der bisherigen Autoren befindet sich in der Versionsliste; die Originalfassung kann dort auch bearbeitet werden. Alle Texte der Wikipedia und ihre Derivate stehen unter der GNU-Lizenz für freie Dokumentation.
Von „http://kefk.org/wiki/Zone_Walking
Persönliche Werkzeuge