https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=NSEC_Resource_RecordNSEC Resource Record - Versionsgeschichte2026-05-28T21:10:50ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=NSEC_Resource_Record&diff=627990&oldid=previmported>PerfektesChaos: tk k2023-06-09T18:34:53Z<p>tk k</p>
<p><b>Neue Seite</b></p><div>Mit '''NSEC''' [[Resource Record]]s werden bei [[Domain Name System Security Extensions|DNSSEC]] signierten Zonen alle Labels (Namen) in alphabetischer (kanonischer) Reihenfolge verkettet. Der Typ NSEC löste 2004 den nahezu identischen Typ NXT ab.<br />
<br />
== Hintergrund ==<br />
<br />
Mit dem Signieren von DNS-Einträgen kann verifiziert werden, dass diese Einträge nicht verfälscht wurden und von den korrekten autoritativen Zonen stammen. Was '''nicht möglich''' ist, ist das '''Nicht-Vorhandensein''' von DNS-Einträgen zu beweisen. Fragt etwa ein Client den Namen test.example.com an, so kann ein Angreifer die entsprechenden Daten aus dem Antwortpakets des Servers entfernen, ohne dass das dem Client ersichtlich wird.<br />
<br />
Um derartige [[Denial of Service]] Attacken zu verhindern, werden alle Namen einer Zone über NSEC Records alphabetisch geordnet ringförmig verkettet, wobei der letzte Eintrag auf den ersten zeigt. Beispiel:<br />
<br />
name1 NSEC name2<br />
name2 NSEC name5<br />
name5 NSEC name1<br />
<br />
Jeder NSEC Record wird per [[RRSIG Resource Record]] unterschrieben, so dass er nicht verfälscht werden kann. In seinen Antwortpaketen liefert ein DNS-Server jeweils den zugehörigen NSEC-Eintrag mit. Bei einer Anfrage zum nicht existierenden Namen name3 wird „name2 NSEC name5“ mitgeliefert. Der Client kann damit sicher sein, dass der name3 tatsächlich nicht existiert und nicht etwa auf dem Transportweg entfernt wurde.<br />
<br />
Der NSEC-Record besitzt noch eine zweite Funktion: Er listet alle Typen gleichen Namens auf (siehe Beispiel).<br />
<br />
== Aufbau ==<br />
<br />
Ein NSEC-RR besteht aus den folgenden Feldern:<br />
<br />
; Label <br />
: Name des Besitzers des Schlüssels<br />
; Typ <br />
: NSEC (47)<br />
; Next Domain Name<br />
: der alphabetisch folgende Name<br />
; Liste der Typen<br />
<br />
== Beispiel ==<br />
<br />
name2 NSEC ; Typ<br />
name5 ; alphabetischer Nachfolger<br />
NS DS RRSIG NSEC ; Liste der Typen des Labels ''name2''<br />
<br />
== Sicherheit des Verfahrens ==<br />
<br />
Ein wichtiger Nachteil dieses Verfahrens ist, dass ein Angreifer die NSEC-Kette sukzessive durchlaufen und so alle Einträge einer Zone ermitteln kann. Dieser Vorgang wird als '''[[Zone Walking]]''' (auch ''DNSSEC Walking'') bezeichnet. Ein vergleichbares Lesen einer kompletten Zone ist bei herkömmlichen DNS und abgesicherten Zonentransfer nicht möglich.<br />
<br />
Maßnahmen zur Verhinderung des Zone Walkings wurden diskutiert (z.&nbsp;B. <nowiki>RFC&nbsp;4470</nowiki><ref>{{RFC-Internet |RFC=4470 |Titel=Minimally Covering NSEC Records and DNSSEC On-line Signing |Datum=2006-04}}</ref>). Gelöst wurde das Problem durch einen neuen Resource Record [[NSEC3]], bei dem die beteiligten Namen nicht mehr in Klartext, sondern als [[Kryptologische Hashfunktion|Hash]] dargestellt werden (<nowiki>RFC&nbsp;5155</nowiki><ref>{{RFC-Internet |RFC=5155 |Titel=DNS Security (DNSSEC) Hashed Authenticated Denial of Existence |Datum=2008-03}}</ref>).<br />
<br />
== Weblinks ==<br />
* {{RFC-Internet |RFC=4034 |Titel=Resource Records for the DNS Security Extension |Datum=}}<br />
* {{RFC-Internet |RFC=5155 |Titel=DNS Security (DNSSEC) Hashed Authenticated Denial of Existence |Datum=}}<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Resource Record]]</div>imported>PerfektesChaos