Abbildung 1: Mit Drill schaut Charly, ob die Vertrauenskette des schwedischen DNS schon rasselt.
Viele Linux-Tools, deren Ableben längst beschlossene Sache ist, fließen den Admins fast zwanghaft trotzdem aus den Fingern. Was hilft gegen die Macht der Gewohnheit? Äußerer Zwang.
Die meisten Admins wissen, die Tage von »ifconfig« sind gezählt, denn das »ip« -Kommando ist deutlich mächtiger – und kürzer zu tippen! Auch mir ist das klar und ich ertappe mich trotzdem oft dabei, den Vorgänger zu bemühen. Kaum anders läuft es mit dem guten alten »nslookup« : Sein Thronfolger »dig« ist gesprächiger und als Diagnosewerkzeug bei Nameserver-Wehwehchen viel nützlicher. Trotzdem tut er sich schwer gegen seinen Urahn.
Der normativen Kraft des Faktischen wegen kommt nun Bewegung in die Sache: Im Domain Name System ereignet sich nämlich gerade die umfangreichste Protokollerweiterung seiner langen Geschichte: DNSSEC. Diese “Security Extensions” ermöglichen es, Zoneninformationen zu signieren und so dem DNS-Spoofing den Garaus zu machen. DNSSEC schmiedet eine Vertrauenskette (Chain of Trust), die bei der Root-Zone beginnt und sich über die generischen (».com« , ».net« , …) und Länderdomains (».fr« , ».de« , …) fortpflanzt und der hierarchischen Struktur des DNS folgt [1].
Die Root-Zone, die DNS-Nomenklatur symbolisiert sie durch einen Punkt (».« ), ist seit der Mitte 2010 mit den nötigen Signaturen versehen. Bei Erscheinen dieses Magazins soll auch die ».de« -Zone welche besitzen – die Testphase war bis zum 31. Mai angesetzt.
Dig haben
Wenn ich nun herausfinden will, ob eine bestimmte Domain bereits signiert ist oder nicht, lässt »nslookup« mich im Stich, weil der Veteran nicht mit DNSSEC umgehen kann. Anders Dig:
dig NSns1.nic.fr +dnssec
Die Ausgabe gibt nicht nur wie gewohnt die korrespondierende IP-Adresse zurück, sondern dank »+dnssec« zusätzlich die neuen »RRSIG« -Records, in denen die Signaturdaten gespeichert sind. Auch die öffentlichen Schlüssel zur Validierung sind nun direkt in der Zone abgelegt. Dafür gibt es den »DNSKEY« -Record. Um den öffentlichen Schlüssel der Root-Zone auszulesen und in die Datei »root.key« zu schreiben, gebe ich ein:
dig DNSKEY . +dnssec > ./root.key
So bewaffnet kann ich mit einem weiteren nützlichen Tool, »drill« aus dem Ldns-Utils-Paket [2], die gesamte Chain of Trust zurückverfolgen bis zur Root-Zone. Im folgenden Beispiel mache ich das für die schwedische Webseite [www.dnssec.se]:
drill -D -S -k ./root.key www.dnssec.se
Abbildung 1 zeigt die Vertrauenskette in übersichtlicher Ascii-Grafik. Was lehrt das Beispiel? Manchmal bedarf es eines äußeren Anstoßes, um loslassen können. Leicht melancholisch rufe ich: Ruhe sanft, Nslookup! (jk)
Abbildung 1: Mit Drill schaut Charly, ob die Vertrauenskette des schwedischen DNS schon rasselt.
Infos
- Thomas Bader, “DNSSEC – Prinzip und Praxis”: Linux-Magazin 12/10, S. 44
- Ldns: http://www.nlnetlabs.nl/projects/ldns/
Der Autor
Charly Kühnast administriert Unix-Systeme im Rechenzentrum Niederrhein in Kamp-Lintfort. Zu seinen Aufgaben gehören die Sicherheit und Verfügbarkeit der Firewalls und der DMZ. Im heißen Teil seiner Freizeit frönt er dem Kochen, im feuchten Teil der Süßwasseraquaristik und im östlichen lernt er Japanisch.
