Wenn immer mehr Domains damit beginnen, DNSSEC einzuführen, kann das durchaus Probleme für Anwender geben, die einen Consumer-NAT-Router wie eine Fritzbox einsetzen. Durch DNSSEC werden die DNS-Antworten länger und überschreiten möglicherweise 512 Byte. Da in diesem Fall DNS über TCP verwendet werden muss, und die NAT-Router das derzeit nicht beherrschen, bekommen Clients keine Antwort mehr.
Um das Problem zu lösen, sind mehrere Beteiligte gefordert: Wer seine Domain mit DNSSEC absichert, sollte darauf achten, dass Antworten auf gezielte Fragen auch signiert in 512 Byte passen. Problematisch sind dabei vor allem lange TXT- und SPF-Records. Damit lässt sich das Problem auf ANY-Abfragen begrenzen, die von Clientsoftware nur äußerst selten verwendet werden.
Die Hersteller sollten ihre NAT-Router um DNS über TCP erweitern. Alternativ könnten NAT-Router auch ganz darauf verzichten, selbst DNS-Forwarder zu spielen. Das ist nämlich gar nicht notwendig. Stattdessen könnten sie die vom Provider vorgegebenen oder vom Benutzer konfigurierten DNS-Server per DHCP an ihre Clients weitergeben. Selbst, wenn sich an einem DSL-Anschluss die IP-Adresse ändert, und die DHCP-Leasezeit noch nicht abgelaufen ist, bleiben die DNS-Server-Adressen konstant.
Als Endanwender lassen sich die Probleme umgehen, die durch die DNSSEC-Einführung entstehen, indem man grundsätzlich den NAT-Router nicht als DNS-Server einsetzt. Als Alternative bieten sich die DNS-Server des Providers, freie DNS-Server oder die DNS-Server von Google an. Einige NAT-Router erlauben das in ihrer Konfiguration. Wenn das nicht der Fall ist, muss man die DNS-Einstellungen am Client ändern.
Neueste Kommentare
2 Kommentare zu Denic führt DNSSEC ein: neue Technik mit kleinen Tücken
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Denic und DNSSEC
Vielen Dank für Ihren lesenwerten und gut recherchierten Artikel!
Was Denic in dieser Sache jedoch veranstaltet, ist unterirdisch! So wird auf http://www.denic.de/denic-im-dialog/pressemitteilungen/pressemitteilungen/2464.html im dritten Absatz vom „DNSSEC-Testbed für Deutschland“ gesprochen, und Denic als die deutsche Registry sollte für alle Deutschen und Computer zuständig sein, aber in der Resolver-Konfigurationsseite http://www.denic.de/domains/dnssec/status/resolver-konfiguration.html wird Windows – und damit ca. 90 % der Computerbenutzer – ausgeschlossen!
Einem kompetenten Umternehmen in Frankfurt’s Kaiserstraße sollte bekannt sein, dass Windows seit Vista und Server 2008 natürlich auch DNSEC unterstützen.
DNSSEC & LANCON
„Für DNSSEC ist DNS über TCP nicht zwingend erforderlich, solange alle Beteiligten
mit UDP-Paketen umgehen können, die größer als 512 Bytes sind… Dafür gibt es
EDNS (RFC 2671) über das dem Empfänger mitgeteilt wird, wie groß Die DNS-
Anfrage wirklich ist und wie viel Puffer er zur Verfügung stellen muß.
DNSSEC-fähige Server und Resolver *müssen* EDNS unterstützen – siehe auch
http://en.wikipedia.org/wiki/DNSSEC .
Daher ist es nicht nötig eine Auflösung über TCP zu unterstützen – und schon gar
nicht als Forwarder, der einfach nur Anfragen an den DNS-Server des Providers
weiterleitet… Nun gibt es da das Problem, daß viele Forwarder in Routern nicht
mit Anfragen umgehen können, die länger als 512 Bytes sind. Ich kann dazu nur
sagen, daß das LANCOM davon nicht betroffen ist – es forwarded Anfragen bis
zur Maximalgöße von 64K.“