Es ist zwar möglich, DNSSEC in Software zu implementieren, aber Angreifer können sich Zugang zu Signierschlüsseln verschaffen und den DNS-Abfrageprozess kompromittieren.

Das Domain Name System (DNS) ist quasi das Adressbuch des Internets; es ermöglicht die Zuordnung von Website-Namen zu den entsprechenden registrierten IP-Adressen. Durch die unerlaubte Änderung von Webanfragen können Endbenutzer oder Dienste jedoch auf betrügerische IP-Adressen verwiesen und zum Zweck des Datendiebstahls an illegale Server weitergeleitet werden. Die Domain Name System Security Extensions (DNSSEC) wurden als Antwort auf diese Bedrohung geschaffen. DNSSEC ist ein Mechanismus, der die Verwendung digitaler Signaturen beinhaltet, um Servern die Authentifizierung und Überprüfung der Integrität von DNS-Antworten auf Abfragen zu ermöglichen.

Abbildung zu DNSSEC

    Herausforderungen

    Risiken im Zusammenhang mit DNSSEC

    • Angreifer, die sich Zugang zu Ihrem DNS-Prozess verschaffen, können Kunden auf eine Website locken, die vorgibt, Ihre zu sein, und sie dazu verleiten, private Informationen anzugeben.
    • Es ist zwar möglich, DNSSEC in Software zu implementieren, aber Angreifer können sich Zugang zu Signierschlüsseln verschaffen und den DNS-Abfrageprozess kompromittieren.

    Lösungen

    DNSSEC: Entrust nShield HSM-Lösungen

    Produkte und Dienstleistungen von Entrust können Ihnen helfen, einen hochsicheren DNSSEC-Prozess zu implementieren, der Ihr Unternehmen und die Informationen Ihrer Kunden schützt und gleichzeitig die Leistung liefert, die Ihr Unternehmen benötigt. nShield Hardware-Sicherheitsmodule (Hardware Security Modules, HSMs) ermöglichen es Top Level Domains (TLDs), Registraren, Registries und Unternehmen, kritisch wichtige Signierprozesse abzusichern. Diese werden verwendet, um die Integrität von DNSSEC-Antworten im Internet zu validieren und das DNS vor so genannten „Cache Poisoning“- und „Man-in-the-Middle“-Angriffen zu schützen. Die Lösungen von Entrust bieten bewährte und überprüfbare Sicherheitsvorteile und ermöglichen die korrekte Generierung und Speicherung von Signierschlüsseln, um die Integrität des DNSSEC-Validierungsprozesses zu gewährleisten.

    Vorteile von Elliptic Curve Cryptography

    Vorteile von Entrust nShield HSMs

    • Stellen Sie die Integrität des DNSSEC-Validierungsprozesses mit unabhängig zertifizierten HSMs (FIPS 140-2 Level 3 und Common Criteria EAL4+) sicher.
    • Wahren Sie eine robuste, manipulationssichere Hardwaregrenze und einen bewährten, überprüfbaren Mechanismus, um wertvolle Signierschlüssel zu schützen, auch wenn sie archiviert sind.
    • Erzwingen Sie eine Aufgabentrennung durch robuste Zugriffskontrollen, um die Gefahr einzelner „Super User“ zu mindern und die Einhaltung gesetzlicher Vorschriften zu erleichtern.
    • Erzielen Sie Hochverfügbarkeit und verbesserte DNS-Serverleistung mit unbegrenztem Schlüsselspeicher, sicherem Backup und sicherer Wiederherstellung und leistungsstarker kryptographischer Beschleunigung.

    Ressourcen

    Lösungsbeschreibungen: Sichern von Signierschlüsseln für DNSSEC-Bereitstellungen

    Entrust nShield HSMs ermöglichen es Top Level Domains, Registraren, Registries und Unternehmen, um kritisch wichtige Signierschlüssel zu sichern. Diese werden verwendet, um die Integrität von DNSSEC-Antworten im Internet zu validieren und das DNS vor Cache Poisoning- und Man-in-the-Middle-Angriffen zu schützen. Laden Sie die Lösungsbeschreibung herunter, um mehr zu erfahren.