DNSSEC/DANE

Ziel dieses Projektes ist es, DNS-Abfragen im Bayerischen Hochschulnetz (BHN) mit einem moderneren Protokoll abzusichern und die sogenannte DANE-Authentifizierung zwischen den Mailservern der bayerischen Universitäten einzuführen.

DNS (Distributed Nameserver System) bildet eine der Grundlagen des Internet. Es konvertiert unter anderem Domainnamen in numerische IP-Adressen. Dieses gut 30 Jahre alte Protokoll stammt aus einer Zeit, in der das Internet noch nicht von so vielfältigen Angriffen wie heutzutage bedroht war. DNS-Nameserver sind heutzutage einer Reihe von Angriffsmöglichkeiten ausgesetzt, bei denen böswillige Angreifer die Nameserver stören oder Besucher einer Webseite auf ihre eigenen Server umleiten können.

Deshalb hat die Internet Engineering Task Force, kurz IETF, das Protokoll DNSSEC erweitert. Damit lassen sich die Authentizität der von den Nameservern versandten DNS-Antworten sicherstellen und die meisten dieser Angriffe entdecken. Aufbauend auf DNSSEC kann mit der sogenannten Domain Name based Authentification of Named Entities, kurz DANE, auch eine TLS-authentisierte Verschlüsselung der Mailserverkommunikation eingeführt werden.

Zusammen mit dem LRZ fördert das Bayerische Wissenschaftsministerium die Einführung von DANE an den bayerischen Universitäten und Hochschulen. Im Rahmen des Projektes sollen möglichst viele der Nameserver der bayerischen Universitäten und Hochschulen DNSSEC einführen.
Das LRZ unterstützt in diesem Projekt mit seinem Knowhow, es fördert den Informationsaustausch zwischen den Einrichtungen und bietet praktische Hilfestellung bei der Umsetzung.

Konferenzen & Veranstaltungen

07./08.11.2016: DNSSEC/DANE Workshops für Mitglieder des BHN am LRZ

08./09.03.2017: DNSSEC/DANE Workshops für Mitglieder des BHN am RRZE in Erlangen

08.11.2017: Q&A Session für Mitglieder des BHN

Steckbrief