Firefox-Plugin DNSSEC Validator


Von Roman (romanf auf trash.net)


Allgemein

Schon seit längerer Zeit gibt es Bestrebungen, das DNS sicherer zu machen. Dies läuft unter dem schönen Namen DNSSEC.
Damit unsere Mitglieder DNSSEC ausprobieren und von den Vorteilen profitieren können, haben wir einen entsprechenden Dienst (sog. resolver) eingerichtet.

Wie man diesen resolver in seinem Windows, Mac, Linux, ... einrichtet ist hier nicht das Thema. Das überlassen wir den Technik-Fans. :)

Es gibt aber ein "Endanwender-taugliches" Tool um ohne grosse Handstände von DNSSEC zu profitieren:
DNSSEC/DANE Validator Plugin für Firefox

Dieses Plugin nistet sich im Firefox ein und prüft während dem Surfen, ob die angesteuerte Domain (z.B. www.trash.net) DNSSEC eingeschaltet hat oder nicht. Wenn DNSSEC eingeschaltet ist, prüft der DNSSEC Validator, ob die Daten auch korrekt sind. So können DNS-basierte Attacken erkannt und abgewehrt werden.

Die folgenden Kapitel beschreiben, wie man den DNSSEC Validator im Firefox installiert und konfiguriert.

DNSSEC Validator installieren

Die Installation des DNSSEC Validators ist ganz einfach:

  1. Firefox starten
  2. Im Menu "Extras" den Punkt "Add-ons" wählen
  3. Wie im folgenden Bild gezeigt auf "Add-ons suchen" klicken, dann nach "DNSSEC" suchen und ggf. auf das Icon klicken damit der Eintrag des DNSSEC Validators aufgeklappt wird. Dann diesen hinzufügen:
    Screenshot DNSSEC Validator installieren 1
  4. Zur Sicherheit fragt der Firefox, ob man das Add-On wirklich installieren will:
    Screenshot DNSSEC Validator 2
  5. Nach der Installation muss der Firefox neu gestartet werden:
    Screenshot DNSSEC Validator 3
  6. Sobald der Firefox wieder läuft, wird das neue Add-on in der Liste der installierten aufgeführt. Nun kann DNSSEC Validator konfiguriert werden.

Konfiguration für trash.net

Der DNSSEC Validator verwendet in der Grundeinstellung (Default) den gleichen Resolver, den das System verwendet. Dies ist in aller Regel ein DNS-Server des eigenen Internet-Providers. Zum Zeitpunkt als wir diesen Artikel geschrieben haben, haben aber die meisten DNS-Server der Schweizer Internet-Provider keine Prüfung von DNS-Einträgen gemäss DNSSEC gemacht.

Aus diesem Grund muss DNSSEC Validator umkonfiguriert werden:

  1. Im Add-On Manager das DNSSEC Validator Add-on anwählen und auf "Einstellungen" klicken:
    Screenshot DNSSEC Validator konfigurieren 4
  2. Nun kann der Resolver von CZ.NIC ausgewählt werden:
    Screenshot DNSSEC Validator 3
  3. Nach OK ist DNSSEC Validator einsatzbereit. :)

Hinweis:Für Mitglieder von trash.net betreiben wir selber einen Resolver der DNSSEC prüft. Die entsprechenden Angaben haben wir im Jan. 2011 an unsere Mitglieder gemailt. Wenn du das Mail verpasst oder verloren oder sonst nicht gekriegt hast, dann schreib einfach an techstaff.

Was bedeuten die Symbole?

Die Farbe des Schlüssel-Symbols in der Adresszeile singalisiert ob die Domain mit DNSSEC gesichert ist und falls ja, ob die Prüfung erfolgreich war. Die verschiedenen Farben haben folgende Bedeutung:

  • Animated key
    Die Überprüfung ist noch im Gang.
  • Grey key
    Die Domain ist nicht mit DNSSEC gesichert. Es kann nicht überprüft werden, ob die richtige Seite angezeigt wird.
  • Green key
    Die Domain verwendet DNSSEC (yeah!) und alle Prüfungen waren erfolgreich. :)
  • Orange key
    Die Domain verwendet DNSEC, aber die Prüfung schlug fehl. Dies kann auf einen Angriff hindeuten, kann aber auch nur ein Problem bei der Validierung sein. Somit ist Vorsicht, aber noch keine Panik angebracht! :)
  • Red key
    ACHTUNG:Die Domain verwendet DNSSEC, aber Du bist einem Angreifer auf den Leim gekrochen! Jetzt ist langsam Panik angesagt!
    Technisch gesehen hast du für eine Domain (z.B. www.trash.net) eine IP Adresse bekommen (z.B. 123.123.123.123) welche aber gar nicht die von der Zieldomain ist.
    Genau solche Attacken soll ja DNSSEC aufdecken! :)
    Die Frage ist in einem solchen Fall: Woher kam die gefälschte Antwort? Ist der Computer infiziert (z.B. mi einem Virus oder Trojaner)? Wurden die Netzwerk-Einstellungen von einem Angreifer manipuliert?
    Wir empfehlen: Computer runterfahren eine gute Flasche Wein aufmachen und einen Computer-Spezialisten zu rate ziehen. :)

Wenn du auf das Schlüssel-Symbol klickst, gibt's weiterführende Informationen.

Wenn gar kein Schlüssel-Symbol angezeigt wird, dann verwendet die entsprechende Seite DNSSEC noch nicht. Dies ist leider noch immer bei sehr vielen Seiten und Domains der Fall.

Wenn du deine eigene Domain mit DNSSEC absichern willst, dann kontaktier doch unsere Sys-Admins. Wir können dir helfen!

Bekannte Probleme

Die folgenden Punkte sind mir bisher aufgefallen:

  • Betrieb hinter einem Proxy mit Authentisierung: Meine Firma hat das interne Netz über einen Proxy vom Internet getrennt, der auch eine Authentisierung verlangt. DNSSEC Validator scheint damit nicht klar zu kommen und kann keine DNS Einträge validieren. In so einem Umfeld, kann DNSSEC Validator also nicht verwendet werden.