Konfigurieren von DNSSEC für eine Domäne - Amazon Route 53

Konfigurieren von DNSSEC für eine Domäne

Angreifer fangen manchmal Datenverkehr an Internetendpunkte wie Webserver ab, indem sie DNS-Abfragen abfangen und ihre eigenen IP-Adressen anstelle der tatsächlichen IP-Adressen für diese Endpunkte an die DNS-Auflöser zurückgeben. Die Benutzer werden dann in die IP-Adressen aus der gefälschten Antwort der Angreifer geleitet, z. B. auf gefälschte Websites.

Sie können Ihre Domäne gegen dieser Art von Angriffen, bekannt als DNS-Spoofing oder Man-In-the-Middle-Angriff, durch Konfigurieren von Domain Name System Security Extensions (DNSSEC) schützen, ein Protokoll, das zum Absichern von DNS-Datenverkehr dient.

Wichtig

Amazon Route 53 unterstützt die DNSSEC-Signierung sowie DNSSEC für die Domänenregistrierung. Informationen zum Konfigurieren der DNSSEC-Signierung für eine Domäne, die in Route 53 registriert ist, finden Sie unter Konfigurieren der DNSSEC-Signatur in Amazon Route 53.

Übersicht über den Schutz Ihrer Domäne durch DNSSEC

Wenn Sie DNSSEC für Ihre Domäne konfigurieren, erstellt ein DNS-Auflöser eine Vertrauenskette für Antworten von zwischengeschalteten Auflösern. Die Vertrauenskette beginnt mit der TLD-Registrierungsstelle für die Domäne (die übergeordnete Zone der Domäne) und endet mit den autoritativen Namensservern bei Ihrem DNS-Dienstanbieter. Nicht alle DNS-Auflöser unterstützen DNSSEC. Resolver, die DNSSEC nicht unterstützen, führen keine Signatur- oder Authentizitätsüberprüfung durch.

So konfigurieren Sie DNSSEC für Domänen, die mit Amazon Route 53 registriert sind, um Ihre Internet-Hosts vor DNS-Spoofing zu schützen (vereinfacht zur besseren Darstellung):

  1. Verwenden Sie die Methode Ihres DNS-Dienstanbieter zum Signieren von Datensätzen in Ihrer gehosteten Zone mit dem privaten Schlüssel in einem asymmetrischen Schlüsselpaar.

    Wichtig

    Route 53 unterstützt die DNSSEC-Signierung sowie DNSSEC für die Domänenregistrierung. Weitere Informationen hierzu finden Sie unter Konfigurieren der DNSSEC-Signatur in Amazon Route 53.

  2. Geben Sie den öffentlichen Schlüssel des Schlüsselpaares an die Domänenvergabestelle weiter, und geben Sie den Algorithmus an, der verwendet wurde, um das Schlüsselpaar zu generieren. Die Domänenvergabestelle leitet den öffentlichen Schlüssel und den Algorithmus zur Registrierungsstelle für die Top-Level-Domain (TLD) weiter.

    Weitere Informationen darüber, wie Sie diesen Schritt für Domänen ausführen, die Sie mit Route 53 registriert haben, finden Sie unter Hinzufügen von öffentlichen Schlüsseln für eine Domäne.

Nach der Konfiguration von DNSSEC wird Ihre Domäne wie folgt vor DNS-Spoofing geschützt:

  1. Senden Sie eine DNS-Abfrage, zum Beispiel, indem Sie auf einer Website surfen oder durch Senden einer E-Mail-Nachricht.

  2. Die Anforderung wird an den DNS-Auflöser weitergeleitet. Auflöser sind zuständig für die Rückgabe des entsprechenden Werts an Kunden basierend auf der Anforderung, z. B. die IP-Adresse für den Host, auf dem ein Webserver oder ein E-Mail-Server ausgeführt wird.

  3. Wenn die IP-Adresse im DNS-Auflöser zwischengespeichert wurde (da jemand anders bereits dieselbe DNS-Abfrage gestellt hat und der DNS-Auflöser bereits über den Wert verfügt), gibt der Auflöser die IP-Adresse an den Client zurück, der die Anforderung übermittelt hat. Der Client verwendet dann die IP-Adresse für den Zugriff auf den Host.

    Wenn die IP-Adresse nicht im DNS-Auflöser zwischengespeichert ist, sendet der Auflöser eine Anforderung an die übergeordnete Zone für Ihre Domäne in der TLD-Registrierungsstelle, die daraufhin zwei Werte zurückgibt:

    • Der Delegation Signer (DS)-Datensatz, bei dem es sich um einen öffentlichen Schlüssel handelt, der dem privaten Schlüssel entspricht, welcher zum Signieren des Datensatzes verwendet wurde.

    • Die IP-Adressen der autoritativen Namenserver für die Domäne.

  4. Der DNS-Auflöser sendet die ursprüngliche Anforderung an einen anderen DNS-Auflöser. Wenn dieser Auflöser nicht über die IP-Adresse verfügt, wiederholt er den Prozess, bis ein Auflösungsdienst die Anforderung an einen Namensserver bei Ihrem DNS-Dienstanbieter sendet. Der Namenserver gibt zwei Werte zurück:

    • Den Datensatz für die Domäne, wie z. B. example.com. Wenn die TLD-Registrierungsstelle für die Domäne nicht über den öffentlichen Schlüssel der Domäne verfügt, beantwortet der Auflöser die DNS-Abfrage mit der Antwort, die er vom DNS-Service-Anbieter erhalten hat.

    • Die Signatur für den Datensatz, den Sie bei der Konfiguration von DNSSEC erstellt haben.

  5. Der DNS-Auflöser verwendet den öffentlichen Schlüssel, den Sie der Domänenvergabestelle mitgeteilt haben (und den die Vergabestelle an die TLD-Registrierungsstelle weitergeleitet hat), um folgende zwei Dinge auszuführen:

    • Erstellen einer Vertrauenskette.

    • Überprüfen Sie, ob die signierte Antwort vom DNS-Dienstanbieter rechtmäßig ist und nicht durch eine schädliche Antwort von einem Angreifer ersetzt wurde.

  6. Wenn die Antwort authentisch ist, gibt der Auflöser den Wert an den Client zurück, der die Anforderung übermittelt hat.

    Wenn die Antwort nicht verifiziert werden kann, wird vom Auflöser ein Fehler an den Benutzer zurückgegeben.

    Wenn die TLD-Registrierungsstelle für die Domäne nicht über den öffentlichen Schlüssel der Domäne verfügt, beantwortet der Auflöser die DNS-Abfrage mit der Antwort, die er vom DNS-Dienstanbieter erhalten hat.

Voraussetzungen und Höchstwerte für die Konfiguration von DNSSEC für eine Domäne

Um DNSSEC für eine Domäne zu konfigurieren, müssen Ihre Domäne und Ihr DNS-Dienstanbieter die folgenden Voraussetzungen erfüllen:

  • Die Registrierungsstelle für die TLD muss DNSSEC unterstützen. Informationen darüber, wie Sie bestimmen, ob die Registrierung für Ihre TLD DNSSEC unterstützt, finden Sie unter Domänen, die Sie mit Amazon Route 53 registrieren können.

  • Der DNS-Dienstanbieter für die Domäne müssen DNSSEC unterstützen.

    Wichtig

    Route 53 unterstützt die DNSSEC-Signierung sowie DNSSEC für die Domänenregistrierung. Weitere Informationen hierzu finden Sie unter Konfigurieren der DNSSEC-Signatur in Amazon Route 53.

  • Sie müssen DNSSEC mit dem DNS-Service-Anbieter für Ihre Domäne konfigurieren, bevor Sie öffentliche Schlüssel für die Domäne in Route 53 hinzufügen können.

  • Die Anzahl der öffentlichen Schlüssel, die Sie zu einer Domäne hinzufügen können, hängt von der TLD für die Domäne ab:

    • .com- und .net-Domänen – bis zu dreizehn Schlüssel

    • Alle anderen Domänen – bis zu vier Schlüssel

Hinzufügen von öffentlichen Schlüsseln für eine Domäne

Wenn Sie die Schlüssel wechseln oder wenn Sie DNSSEC für eine Domäne aktivieren, führen Sie die folgenden Schritte durch, nachdem Sie DNSSEC mit dem DNS-Dienstanbieter für die Domäne konfiguriert haben.

So fügen Sie öffentliche Schlüssel für eine Domäne hinzu

  1. Wenn Sie nicht bereits DNSSEC für Ihren DNS-Dienstanbieter konfiguriert haben, verwenden Sie die von Ihrem Service-Anbieter bereitgestellte Methode zur Konfiguration von DNSSEC.

  2. Melden Sie sich bei der AWS Management Console-Managementkonsole an und öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

  3. Klicken Sie im Navigationsbereich auf Registered domains (Registrierte Domänen).

  4. Klicken Sie auf den Namen der Domäne, für die Sie Schlüssel hinzufügen möchten.

  5. Wählen Sie im Feld DNSSEC status (DNSSEC-Status) die Option Manage keys (Schlüssel verwalten) aus.

  6. Geben Sie die folgenden Werte an:

    Schlüsseltyp

    Wählen Sie, ob Sie einen Schlüssel-Signaturschlüssel (KSK) oder einen Zonen-Signaturschlüssel (ZSK) hochladen möchten.

    Algorithmus

    Wählen Sie den Algorithmus, den Sie zum Signieren der Datensätze für die gehostete Zone verwendet haben.

    Öffentlicher Schlüssel

    Geben Sie den öffentlichen Schlüssel des asymmetrischen Schlüsselpaars an, den Sie für die Konfiguration von DNSSEC für Ihrem DNS-Dienstanbieter verwendet haben.

    Beachten Sie Folgendes:

    • Geben Sie den öffentlichen Schlüssel an, nicht den Digest.

    • Sie müssen den Schlüssel im base64-Format angeben.

  7. Wählen Sie Add (Hinzufügen) aus.

    Anmerkung

    Sie können nur jeweils einen öffentlichen Schlüssel hinzufügen. Wenn Sie weitere Schlüssel hinzufügen möchten, warten Sie, bis Sie eine Bestätigungs-E-Mail von Route 53 erhalten haben.

  8. Wenn Route 53 eine Antwort von der Registrierungsstelle erhält, senden wir eine E-Mail an den Registrierenden für die Domäne. Die E-Mail bestätigt entweder, dass der öffentliche Schlüssel in der Registrierungsstelle zur Domäne hinzugefügt wurde oder erklärt, warum der Schlüssel nicht hinzugefügt werden konnte.

Löschen von öffentlichen Schlüsseln für eine Domäne

Wenn Sie die Schlüssel wechseln oder wenn Sie DNSSEC für eine Domäne deaktivieren, löschen Sie die öffentlichen Schlüssel mit den folgenden Schritten, bevor Sie DNSSEC bei Ihrem DNS-Dienstanbieter deaktivieren. Beachten Sie Folgendes:

  • Wenn Sie die öffentlichen Schlüssel wechseln, empfehlen wir, dass Sie bis zu drei Tage warten, nachdem Sie die neuen öffentlichen Schlüssel hinzugefügt haben, bevor Sie die alten öffentlichen Schlüssel löschen.

  • Wenn Sie DNSSEC deaktivieren, löschen Sie zuerst die öffentlichen Schlüssel für die Domäne. Wir empfehlen, dass Sie bis zu drei Tage warten, bevor Sie DNSSEC beim DNS-Dienst für die Domäne deaktivieren.

Wichtig

Wenn DNSSEC für die Domäne aktiviert ist und Sie DNSSEC beim DNS-Dienst deaktivieren, geben DNS-Auflöser, die DNSSEC unterstützen, einen SERVFAIL-Fehler an Clients zurück, und Clients haben keinen Zugriff mehr auf die Endpunkte, die mit der Domäne verknüpft sind.

So löschen Sie öffentliche Schlüssel für eine Domäne

  1. Melden Sie sich bei der AWS Management Console-Managementkonsole an und öffnen Sie die Route 53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Klicken Sie im Navigationsbereich auf Registered domains (Registrierte Domänen).

  3. Klicken Sie auf den Namen der Domäne, in der Sie Schlüssel löschen möchten.

  4. Wählen Sie im Feld DNSSEC status (DNSSEC-Status) die Option Manage keys (Schlüssel verwalten) aus.

  5. Suchen Sie den Schlüssel, den Sie löschen möchten, und klicken Sie dann auf Delete (Löschen).

    Anmerkung

    Sie können nur jeweils einen öffentlichen Schlüssel löschen. Wenn Sie weitere Schlüssel löschen möchten, warten Sie, bis Sie eine Bestätigungs-E-Mail von Amazon Route 53 erhalten haben.

  6. Wenn Route 53 eine Antwort von der Registrierungsstelle erhält, senden wir eine E-Mail an den Registrierenden für die Domäne. Die E-Mail bestätigt entweder, dass der öffentliche Schlüssel in der Registrierungsstelle aus der Domäne gelöscht wurde oder erklärt, warum der Schlüssel nicht gelöscht werden konnte.