Use DNSSEC - Sinn und Zweck

khaoohs · October 24, 2020, 2:04pm

Hallo,

kann mir jemand erklären welchen Nutzen es hat die Option Use DNSSEC zu aktivieren? Welchen Effekt bzw. welche Vorteile bringt mir das?

Danke

Bucking_Horn · October 24, 2020, 2:34pm

Mit DNSSEC wird Pi-hole verlangen, dass die angeforderten DNS-Datensätze digital signiert werden.

Mit solch einer Signatur sind zwei Dinge überprüfbar:
Die Datensätze stammen tatsächlich von dem für die Anfrage zuständigen autoritativen DNS-Server, und sie wurden auf der Strecke zwischen dem DNS-Server und Pi-hole nicht manipuliert.
Damit kann nahezu ausgeschlossen werden, dass Drittparteien Dir z.B. über DNS Cache Poisoning eine falsche DNS-Antwort unterjubeln.

Da DNSSEC nocht längst nicht von allen autoritativen DNS-Servern unterstützt wird, kommt DNSSEC nur zur Anwendung, wenn die entsprechenden DNS-Server jeweils DNSSEC unterstützen. Per DNSSEC nicht erfolgreich überprüfbare DNS-Antworten werden dann verworfen.
Sofern ein DNS-Server DNSSEC nicht unterstützt, wird die Antwort akzeptiert, aber entsprechend gekennzeichnet.

khaoohs · October 24, 2020, 4:10pm

Danke für die Antwort.
Wenn ich es dann richtig interpretiere bedeutet das folgendes:
Unterstützt mein verwendeter DNS-Server DNSSEC dann ist es von Vorteil, wenn ich USE DNSSEC aktiviere, richtig?

Bucking_Horn · October 25, 2020, 7:02am

Ja, bei DNSSEC müssen alle beteiligen DNS-Server mitspielen. Wenn schon der erste in der Kette versagt, kann natürlich keine Validierung mehr stattfinden.
In den letzten Jahren hat die Unterstützung von DNSSEC stark zugenommen, die meisten öffentlichen DNS-Resolver sowie viele ISPs und immerhin fast jeder zweite autoritative DNS-Server unterstützen DNSSEC.

Ob ein bestimmter, von Dir befragter DNS-Resolver DNSSEC unterstützt, sollte sich mit folgendem Kommando überprüfen lassen:

 dig @<ip-adresse-des-resolvers> +dnssec isc.org

In der Antwort sollte RRSIG auftauchen.

THG · October 28, 2020, 9:43pm

Sollten man dann einen unbound pi-hole mit oder ohne DNSSEC betreiben?

jfb · October 28, 2020, 10:01pm

Unbound does DNSSEC validation. If you want to see the results in the Pi-hole query log enable DNNSEC in Pi-hole.

THG · October 28, 2020, 10:07pm

Also unterstützen alle Root Server immer DNSSEC?

DanSchaper · October 28, 2020, 10:12pm

Root Servers? Yes. Individual authoritative servers? Not always.

That's why DNSSEC is designed for that. How do I interperet the DNSSEC column in the query log?

system · November 18, 2020, 10:12pm

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.