Contact Us
Headbanner

Domain Name System (DNS)-Sicherheit

Symbol für DNS-Sicherheit

Ohne eingebaute Sicherheitsmechanismen wurden DNS-Server (Domain Name System) bei vielen Unternehmen wiederholt kompromittiert, in dem Bestreben böswillige Attacken, einschließlich Cache-Poisoning-Angriffen (Einbringen von falschen/betrügerischen Daten in den Cache eines Name-Servers, der dann an Benutzer weitergeleitet wird), Umleitung von Telefonanrufen, Man-in-the-Middle-Angriffen, um Passwörter zu stehlen, Umleitung von E-Mails, Denial-of-Service-Angriffen und vieles mehr zu ermöglichen.

Domain Name Systems Security Extensions (DNSSEC) sichert die DNS-Server-Hierarchie durch digitales Signieren von DNS-Datensätzen, um sicherzustellen, dass die eingegangenen Nachrichten dieselben wie die gesendeten sind.

Mit DNSSEC können Unternehmen Folgendes:

  • Die Sicherheit erhöhen. DNS-Sicherheit kann helfen, vor Cache-Poisoning-Angriffen, umgeleiteten Telefonanrufen, Man-in-the-Middle-Angriffen und vielem mehr zu schützen.

  • Compliance gewährleisten. DNSSEC kann helfen, ICANN, NSEC und andere Auflagen und Richtlinien zu adressieren.

  • Kosten reduzieren. Durch den Schutz vor zahlreichen netzwerkbasierten Bedrohungen können Unternehmen die Zeit und Kosten im Zusammenhang mit Bedrohungsminimierung sowie Forensik und Reparatur nach Angriffen reduzieren.


Ohne robuste Sicherheit kann die DNS-Sicherheit kompromittiert sein

Grünes Symbol für kryptografischen Key

DNSSEC implementiert im Wesentlichen Public Key-Infrastrukturen (PKI), um eine Methode der sicheren Kommunikation zwischen DNS-Servern zur Verfügung zu stellen. Als PKI erfordert DNSSEC einige neue Verfahren wie die Key-Generierung, die Key-Signierung und das Key-Management. Trotz aller potenziellen Vorteile von DNSSEC sind die beabsichtigten Ziele jedoch nicht garantiert, weil die von DNSSEC eingeführten Ressourcendatensätze in einer unverschlüsselten Datei aufbewahrt werden.

Nur wenn die gesamte DNSSEC-Infrastruktur vollständig und umfassend gesichert ist, können diese Unternehmen die Vorteile von DNSSEC vollständig genießen. Hier benötigen sie Funktionen, die Folgendes leisten:

  • Digitale Signaturen sichern. DNS-Meldungen müssen digital signiert werden, um die Validität von DNS-Diensten sicherzustellen.

  • Zugriff steuern. Unternehmen müssen sicherzustellen, dass nur berechtigte Kunden und interne Mitarbeiter auf vertrauliche Anwendungen und Daten zugreifen können.

  • Anwendungsintegrität aufrechterhalten. Der gesamte verknüpfte Anwendungscode und Prozesse müssen gesichert werden, um die Integrität zu gewährleisten und die unbefugte Ausführung von Anwendungen zu untersagen.

  • Skalierbarkeit, um hochvolumige Verarbeitungen handzuhaben. Das DNS-Updates sehr häufig sind, müssen DNSSEC-Infrastrukturen die Leistung und Skalierbarkeit bieten, die nötig ist, um jederzeit eine schnelle Verarbeitung zu gewährleisten.

View DNSSEC unter Verwendung von HSMs Ressourcen-Bibliothek

DNS-Sicherheit mit Hardware-Sicherheitsmodulen

Symbol Hardware-Sicherheitsmodul

Um die Validität von DNS-Diensten sicherzustellen, verwendet DNSSEC die Public-Key-Kryptografie, um DNS-Meldungen digital zu signieren. Um die erforderliche Sicherheit zu realisieren, ist der robuste Schutz privater Signatur-Keys unerlässlich. Wenn die Keys und ihre entsprechenden digitalen Zertifikate kompromittiert sind, ist die Vertrauenskette in der DNS-Hierarchie unterbrochen, wodurch das gesamte System obsolet wird. Hierbei kommen Hardware-Sicherheitsmodule (HSMs) in das Spiel.

HSMs sind dedizierte Systeme, die die kryptografischen Keys und die kryptografische Verarbeitung in digitalen Signaturen physikalisch und logisch sichern. HSMs unterstützen die folgenden Funktionen:

  • Lebenszyklusmanagement, einschließlich Key-Generierung, -Verteilung, -Rotation, -Speicherung, -Terminierung und -Archivierung.

  • Kryptografische Verarbeitung, die die beiden Vorteile bietet, dass die kryptografische Verarbeitung isoliert und Anwendungsserver von ihr entlastet werden.

Durch das Speichern von kryptografischen Keys in einem zentralisiertem, hochsicheren Gerät können HSMs die Risiken eliminieren, die vorhanden sind, wenn dieses Assets auf unterschiedlichen, schlecht gesicherten Plattformen gespeichert werden. Zusätzlich kann diese Zentralisierung die Sicherheitsadministration signifikant optimieren.

Diagramm zur DNS-Sicherheit mit SafeNet HSMs


[Diagramm] Funktionsweise: DNS-Sicherheit mit SafeNet HSMs

SafeNet-HSMs für DNSSEC:

  • Unterstützung für DNSSEC Anchor Trust-Systeme

  • Key-Sicherheit für die Root- und die gesamte DNS-Hierarchie – ZSK und KSK

  • Entlastung des DNS-Servers bei Verschlüsselung durch leistungsstarkes Kryptografiesystem

  • Breites HMS-Spektrum für verschiedene DNSSEC-Anforderungen

  • Standard-APIs einschließlich PKCS#11, Java, MS CAPI

  • FIPS-validierte und Common Criteria-zertifizierte Modelle erhältlich

  • Integration in führende DNS-Plattformen wie OpenDNSSEC, BIND 9.7, FreeBSD

HSM-Produktdetails anzeigen

Weitere Informationen anfordern

View Bezugsquellen Ressourcen-Bibliothek

Bitte verwenden Sie dieses Formular, um direkt mit dem Vertriebsteam in Kontakt zu treten.

Amerikanischen Kontinent
Telefon: 866-251-4269
Bitte füllen Sie dieses kurze Formular aus
EMEA
Telefon:+44-01276-608000
Bitte füllen Sie dieses kurze Formular aus

US Federal Vertrieb Type 1
Telefon: 443-327-1235
Bitte füllen Sie dieses kurze Formular aus

Vertriebsniederlassungen
Einen Partner finden
Weitere Informationen für Bestellanfragen finden Sie hier.
View Übersicht Ressourcen-Bibliothek
DNS Hierarchy
CTA HSM Critical Risk Mgmt WP