https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Zone_WalkingZone Walking - Versionsgeschichte2026-06-05T00:58:56ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Zone_Walking&diff=628746&oldid=previmported>F4all: /* NSEC3 */ Archivlinks funktionsgeprüft - archivbot-Notiz entfernt2025-03-18T18:42:51Z<p><span class="autocomment">NSEC3: </span> Archivlinks funktionsgeprüft - archivbot-Notiz entfernt</p>
<p><b>Neue Seite</b></p><div>'''Zone Walking''' (auch ''DNSSEC Walking'' oder ''Zone Enumeration'') ist ein Verfahren, mit dem Angreifer den vollständigen Inhalt von [[Domain Name System Security Extensions|DNSSEC]] signierten [[Zone (DNS)|DNS-Zonen]] auslesen können. Dadurch können sicherheitsrelevante Informationen (z.&nbsp;B. IP-Adressen von Servern) ausgelesen werden, die ansonsten schwerer zu ermitteln wären.<br />
<br />
== Funktionsweise ==<br />
Beim Signieren einer Zone verkettet DNSSEC automatisch mittels [[NSEC Resource Record]]s alle Labels ringförmig in alphabetischer Reihenfolge. Beispiel Zone ''example.de:''<br />
<br />
example.de. NSEC name1<br />
name1 NSEC name2<br />
name2 NSEC name5<br />
name5 NSEC example.de.<br />
<br />
Links steht jeweils das Label (kanonischer Name) und rechts ein Verweis auf das lexigrafisch nächste Label.<br />
<br />
Damit kann das ''Nicht''vorhandensein von Namen bewiesen werden. Fragt beispielsweise ein Client den nichtexistierenden Namen ''name3'' an, so antwortet der Nameserver mit dem NSEC-Eintrag ''name2 NSEC name5'' und zeigt damit an, dass sich zwischen ''name2'' und ''name5'' kein weiterer Eintrag befindet.<br />
<br />
Ein Angreifer macht sich diese Verkettung zunutze, indem er mit dem ersten Namen einer Zone beginnend (das ist immer der Name der Zone selbst) die Kette durch sukzessive Abfragen durchläuft. Durch dieses technisch recht einfache Verfahren kann er innerhalb weniger Sekunden den gesamten Zoneninhalt auslesen.<br />
<br />
== Abwehr ==<br />
<br />
=== NSEC3 ===<br />
Um Zone Walking zu erschweren, wurde mit [[NSEC3]] eine Alternative zu NSEC eingeführt, die Namen nicht im Klartext darstellt, sondern als [[Kryptographische Hashfunktion|kryptographischer Hashwert]]. NSEC3 erschwert das Zone Walking, kann jedoch durch Angriffe auf die Hash-Funktion das Zone Walking nicht vollständig unterbinden.<ref name="nsec3breaker">Matthäus Wander, Lorenz Schwittmann, Christopher Boelmann, Torben Weis: {{Webarchiv|url=https://www.vs.uni-due.de/vs/paper/2014_Wander_NSEC3.pdf |wayback=20200111194100 |text=''GPU-based NSEC3 Hash Breaking''. }} (PDF) In: ''2014 IEEE 13th International Symposium on Network Computing and Applications (NCA)''. IEEE, 2014, ISBN 978-1-4799-5393-6, [[doi:10.1109/NCA.2014.27]]. {{Webarchiv|url=https://www.vs.uni-due.de/wander/20140822_NSEC3_Hash_Breaking.pdf |wayback=20160325033308 |text=Vortragsfolien. }} (PDF).</ref><br />
<br />
=== Minimale Abdeckung mit Online-Signierung ===<br />
Ein anderes Verfahren ist die in <nowiki>RFC&nbsp;4470</nowiki><ref>{{RFC-Internet |RFC=4470 |Titel=Minimally Covering NSEC Records and DNSSEC On-line Signing |Datum=2006-04}}</ref> vorgeschlagene Verwendung von NSEC-Records mit minimaler Abdeckung, die dynamisch erzeugt werden. Anstatt auf real existierende Namen zu verweisen, zeigen die NSEC-Records auf nicht vorhandene Einträge. Dieses Verfahren erfordert Online-Signierung, also die Erzeugung von DNSSEC-Signaturen zum Zeitpunkt der Antwort. Das ist mit erheblichen Nachteilen behaftet, da es die Rechenlast auf dem Server signifikant erhöht und die ständige Präsenz des privaten Zonen-Schlüssels erforderlich macht, mit dem dynamisch erzeugte NSEC-Records signiert werden. Im Gegensatz zu NSEC3 bietet es jedoch den Vorteil, dass es bei korrekter Anwendung das Zone Walking verhindert.<br />
<br />
Das Prinzip der minimalen Abdeckung ist auch mit NSEC3 möglich und als ''NSEC3 White Lies'' ({{enS|white lie|de=harmlose Lüge}}) bekannt.<ref name="whitelies">{{RFC-Internet |RFC=7129 |Titel=Authenticated Denial of Existence in the DNS |Datum=2014-02 |Autor=R. Gieben, W. Mekking |Kommentar=Appendix B – Online Signing: NSEC3 White Lies}}</ref> Es bietet dieselben Vor- und Nachteile wie das Pendant mit dynamisch erzeugten NSEC-Records.<br />
<br />
=== NSEC5 ===<br />
Ein weiteres Verfahren wurde unter dem Namen ''NSEC5'' vorgeschlagen. Statt einer Hash-Funktion wie bei NSEC3 verwendet NSEC5 ein [[asymmetrisches Kryptosystem]]. Das entspricht der Verwendung von Online-Signierung mit den damit verbundenen Performance-Nachteilen. Allerdings verwendet NSEC5 für diesen Zweck ein eigenes Schlüsselpaar, sodass der private Zonen-Schlüssel nicht auf dem DNS-Server vorgehalten werden muss. Zone Walking wird wie auch bei Online-Signierung mit NSEC oder NSEC3 vollständig unterbunden.<ref name="nsec5">Sharon Goldberg, Moni Naor, Dimitrios Papadopoulos, Leonid Reyzin, Sachin Vasant, Asaf Ziv: [https://www.ndss-symposium.org/wp-content/uploads/2017/09/06_5_0.pdf ''NSEC5: Provably Preventing DNSSEC Zone Enumeration''.] (PDF; 0,3&nbsp;MB) In: ''NDSS Symposium 2015''. Internet Society, 2015, [[doi:10.14722/ndss.2015.23211]]. [https://www.ndss-symposium.org/wp-content/uploads/2017/09/06NSEC5.slide_.pdf Vortragsfolien.] (PDF; 0,9&nbsp;MB).</ref><br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Domain Name System]]<br />
[[Kategorie:IT-Sicherheit]]</div>imported>F4all