Swisscom DNS Server kein dnssec

pat67

Weiss jemand von Euch, warum die Swisscom DNS-Server 195.186.1.162 und 4.162 kein dnssec unterstützen?

GrandDixence

Die Swisscom hatte Anfang 2010 ihre DNS-Server als DNSSEC-validierende DNS-Server in Betrieb. Fiel Anfang 2010 die DNSSEC-Validierung fehl, wie zum Beispiel auf der Testseite:

https://dnssec.vs.uni-due.de/

wurde vom DNSSEC-validierenden DNS-Server der Swisscom anfangs 2010 auf DNS-Anfragen keine gültige DNS-Antwort geliefert. Anfang 2010 lief die DNSSEC-Validierung auf den DNS-Server ausgezeichnet und Swisscom war sicherheitsmässig ein sehr lobenswertes Vorbild.

Dann kam der 04.01.2010, an diesem Tag unterlief der SWITCH (https://www.switch.ch) ein Konfigurationsfehler in der DNSSEC-Konfiguration, welche Auswirkung auf alle Schweizer Internetadressen "*.ch" hatte. Durch den Konfigurationsfehler der SWITCH lieferte der DNSSEC-validierende DNS-Server der Swisscom auf DNS-Anfragen für *.ch keine gültige Antwort mehr. Dies wirkte sich für alle Swisscom-Kunden so aus, dass keine Internetseiten mit *.ch mehr aufrufbar waren.

https://forum.vis.ethz.ch/showthread.php?13368-Swisscom-DNS-Server-kaputt&s=869e21c8bc885a8c76a2dd91fe177ddf&p=196922&viewfull=1#post196922

http://lists.swinog.ch/public/swinog/2010-January/004188.html

http://www.20min.ch/digital/webpage/story/Serverproblem-bei-Swisscom-legte-Seiten-lahm-17072072

Obwohl der Fehler zu 100% der SWITCH zuzuschieben ist, musste die Swisscom verärgerte Kunden beruhigen und einen grossen Imageschaden hinnehmen. Der 04.01.2010 wird auch der Grund sein, weshalb die Swisscom keinen DNSSEC-validierenden DNS-Server mehr betreibt, was aus Sicherheitsgründen Schade ist.

Trotz dem Vorfall am 04.01.2010 dürfte auch Swisscom ihre DNS-Server "DNSSEC-aware" konfigurieren. Dass Swisscom ihre DNS-Server nicht DNSSEC-validierend konfiguriert ist seit dem 04.01.2010 verständlich und grundsätzlich auch nicht notwendig.

http://wiki.ipfire.org/en/dns/public-servers

Die grosse Fernsehkabelnetz-Konkurrenz (UPC Cablecom) betreibt ihre DNS-Servern mit PowerDNS Recursor:

https://www.powerdns.com/

PowerDNS Recursor ab Version 4.0 ist DNSSEC-aware. Betreibt der UPC Cablecom-Endkunde auf seinem Rechner oder Router zum Beispiel einen DNSSEC-validierenden DNSMasq ab Version 2.74:

http://www.thekelleys.org.uk/dnsmasq/doc.html

mit den dnsmasq.conf-Parameter:

conf-file=/etc/dnsmasq.d/trust-anchors.conf
dnssec
dnssec-check-unsigned

kann der Heimrechner oder das Heimnetzwerk mit DNSSEC abgesichert werden. Die DNSSEC-Implementierung von DNSMasq vor Version 2.74 sollte wegen Programmierfehler nicht eingesetzt werden.

Swisscom Kunden die ihr Heimnetzwerk oder Heimrechner mit DNSSEC absichern möchten, müssen vorläufig mit den Google DNS-Servern (8.8.8.8 und 8.8.4.4) vertröstet werden:

https://developers.google.com/speed/public-dns/docs/intro

pat67

Wow, vielen herzlichen Dank für diese ausführliche Antwort. Ich versuche mich einmal in alle aufgeführten Links einzulesen. Dann sehe ich hoffentlich, ob es für mich eine Lösung ist...

PowerMac

Vielen Dank für die einleuchtende Erklärung - an diesen Vorfall erinnere ich mich vage, jetzt wo du es erwähnst. Dass Swisscom es offenbar deswegen seither nicht wieder aktiviert hat, ist schade. Die Schweiz ist sowohl im europäischen als auch weltweiten Vergleich leider total im Hintertreffen mit der DNSSEC-Absicherung. Auch wenn DNSSEC protokolltechnisch vielleicht nicht der grösste Geniestreich der Internetgeschichte war, bringts sicherheitsmässig doch einen Vorteil. Wäre noch interessant den Grund für den temporären Anstieg der DNSSEC-Nutzung zwischen April 2014 und Februar 2015 in der Schweiz zu wissen...

Jedenfalls bin ich absolut gleicher Meinung: Liebe Swisscom, aktiviert doch bitte auf euren DNS-Resolvern (wieder) die DNSSEC-Validierung.

Tux0ne

Ich bin so oder so dafür das man mit unbound keine Anbieter DNS verwendet.
Nur eine weitere entscheidende Stelle zum kompletten Datenstriptease.
Natürlich nebenbei mit dnssec validation.

pat67

Ich bin jetzt die verschiedenen Anleitungen durchgegangen und habe mir einen kleinen Raspery Pi mit bind9 und aktiviertem dnssec aufgesetzt. Via DHCP des Swisscom Routers werden den Clients jetzt die IP des Raspery als DNS-Servers mitgeteilt. Die Prüfung für den 'DNSSEC Resolver Test' funktioniert jetzt bestens.

Vielleicht bietet die Swisscom ja einmal einen validen DNS Server, dann könnte ich den noch als forwarder im bind9 eintragen.

GrandDixence

@Tux0ne schrieb:
Ich bin so oder so dafür das man mit unbound keine Anbieter DNS verwendet.

Aus Performance-Gründen sollten DNS-Anfragen immer an den DNS-Server des ISP (z.B. Swisscom) weitergeleitet werden (DNS Forwarder/forwarding). Es gilt das Sprichwort:

A busy name server is a happy name server

Quelle: https://securityblog.switch.ch/tag/powerdns/

Ob die Auflösung über die Root-Nameserver einen besseren Datenschutz bietet, bezweifle ich persönlich.

Tux0ne

DNS ist sicher ein sehr spannendes Thema. Gerade mal wieder aus anderen Gründen aktuell...

Schlussendlich basiert eine Systemwahl aus ganz verschiedenen Gründen.

Neben DNSSEC ist für mich auch die Rolle des lokalen DNS ganz zentral und auch DNSBL ist eine Funktion welche ich nicht unbedingt missen möchte. Auch die Performance stimmt, sonst wäre ich der Erste der da ganz schnell wieder tunen würde.

In dem Sinne kann man keine generellen Aussagen machen. Spielt ja neben dem Cachen auch noch eine Rolle was die Soft- und Hardware daraus macht.

Ich denke das für die Masse es aber ok ist wenn ihr Internet Access in den Standard-Einstellungen nicht den üblichen Standards von heute entsprechen. Es entspricht ja auch der üblichen Problemlösung der Internet Box, dass man hierbei sogar eine der heutigen Zeit aktuelle Funktion wieder deaktiviert.

http://en.conn.internet.nl/connection/

Mir hingegen fehlt eigentlich noch DANE 😄 Aber da ich kein eigenes RZ bin sondern auch nur Standardsysteme und Lieferanten benutze, fehlt es da noch. 😄

Tux0ne

passend dazu:

https://www.digitale-gesellschaft.ch/2017/03/20/it-sicherheit-die-schweiz-und-dnssec/

PowerMac

Im verlinkten Artikel ist die Nationalratsdebatte zum Glücksspielgesetz verlinkt.

Balthasar Glättli: "[...] Wissen Sie, dass bei Angeboten, die gesichert sind, also Seiten mit "https", mit dem Schlüsselchen vorne - und das wird bei jedem Geldspielangebot so sein, weil man ja Kreditkartennummern eingibt -, diese Warnseite technisch nicht angezeigt wird? [...]"

Simonetta Sommaruga: "Ich kann Ihnen nur sagen, was mir meine Experten sagen.
Sie sprechen hier von einer Technologie, von der sogenannten Dee-Enn-Ess-Ess-Ee-Ce, die sich aber offenbar nicht durchgesetzt hat. [...]"

Aha. https = DNSSEC. Und weil die Schweiz und die Mehrheit ihrer ISPs bei letzterem gepennt hat, hat sich diese nicht durchgesetzt. Alles klar. Soll ich lachen oder weinen? Und wo kann man sich im Bundeshaus als IT-Experte bewerben?

Tux0ne

Ja gut öffentlich wird halt noch so macher Seich rausgelassen.

Aber zu Frau Sommaruga kann man auch hier was lesen was ja eigentlich eher zum schmunzeln ist:

Die Motion auf Bluewin TV zu beziehen ist nicht sinnvoll. Denn im Gegensatz zum Kabelfernsehen gibt es keine Fernseher auf dem Markt, welche einen Digitalempfänger für Internet Procotol Television (IPTV) eingebaut haben. Genauso wenig gibt es alternative Set-Top-Boxen. Denn in diesem Bereich sind – ebenfalls im Gegensatz zum digitalen Kabelfernsehen – keine internationalen Standards entwickelt, welche die Hersteller von Fernsehern und von Set-Top-Boxen anwenden könnten. Daher hat Swisscom für die Fernsehzuschauerinnen und -zuschauer ein eigenes Fernsehangebot entwickelt. Die SKS würdigt diese Innovation.

https://www.konsumentenschutz.ch/medienmitteilungen/2008/09/offener-brief-an-swisscom-ceo-carsten-schloter/

Ich habe das auch schon als Anekdote genommen, im Bezug auf SIP Daten. Da wurde uns auch schon seit vielen Jahren hier drin sehr viel Scheiss erzählt....

Und nun zeigt man sich hier angepisst wie ich so in anderen Threads lese.

Ist schon lustig. Zeigt mir nur das vieles doch nicht so verkehrt war wie man mir immer mal gerne anhängen will 😄

Have a nice day.

GrandDixence

In der Zwischenzeit sind auch die DNS-Server von Swisscom DNSSEC-aware.

DNSSEC-Legende

validating The server is able to validate DNS records.

aware The server is able to provide RRSIG, DNSKEY and DS
records, but does not validate any records.

not supported or Strips RRSIG. The server doesn't know anything about
DNSSEC.

Getestet am 17.05.2017 über Mobilfunk mit den Swisscom DNS-Server 195.186.216.33 und einem auf

dem localhost (IP: 127.0.0.1) laufenden DNSMasq v2.76 (Konfiguration wie oben beschriebenen):

Positiv-Test

dig +multili +dnssec www.nic.ch

=> status: NOERROR
=> flags: ad
=> EDNS: version: 0, flags: do;
=> SERVER: 127.0.0.1

dig +multili +dnssec www.nic.cz

=> status: NOERROR
=> flags: ad
=> EDNS: version: 0, flags: do;
=> SERVER: 127.0.0.1

Negativ-Test

nslookup www.rhybar.cz 195.186.216.33

=> Address: 217.31.205.55

nslookup www.rhybar.cz

=> Got SERVFAIL reply from 127.0.0.1

Ausführlicher Test:

dig +multili +dnssec www.rhybar.cz

=> status: SERVFAIL

Aus Sicherheitsgründen empfiehlt sich der Einsatz eines DNSSEC-validierender DNS-Server im Heimnetzwerk (z.B. DNSMasq).

Aus Performance-Gründen sollten DNS-Anfragen vom DNSSEC-validierender DNS-Server im Heimnetzwerk (z.B. DNSMasq) immer an den DNS-Server des ISP (z.B. Swisscom) weitergeleitet werden (DNS Forwarder/forwarding).

Tux0ne

Die Frage ist dann noch was macht die Heimbüchse nun damit?

Hab keine in Betrieb.

Denn je nachdem, haben die User ja damit gar keinen Benefit.

PowerMac

Der Benefit ist IMO etwa ähnlich wie bei IPv6: für den Enduser unmittelbar sichtbare Vorteile gibts wenig bis keine, aber es bereitet den Weg für allfällige künftige Innovationen. DNSSEC bringt ein wenig mehr Sicherheit bei der DNS-Auflösung, was vielleicht beim Onlinebanking als Argument herhalten könnte. Weiters ist es aber auch Voraussetzung für DANE und HPKP, welche es in Verbindung mit Let's Encrypt wiederum möglich machen, an einem beliebigen Internetanschluss einen sauber gesicherten Webserver zu betreiben. Weitere Möglichkeiten stehen bereits offen, oder können sich noch auftun. Eine entsprechende Verbreitung vorausgesetzt, würde DNSSEC auch Netzmanipulationen und -einschränkungen sowohl von Hackern als auch von staatlicher Seite erschweren.

Tux0ne

Konkret meine ich diese in Bezug auf awared.

Wenn der Forwarder nun nicht prüft hat man als Enduser keinen Benefit, denn die IP wird so aucht trotz missmatch aufgelöst.

Das meine ich eigentlich damit, was nun die Internet Buchse damit macht?

PowerMac

Achso. Naja, immerhin wurden nun die Voraussetzungen geschaffen, um auf dem Heimrouter egal welcher Art einen DNSSEC-validierenden Resolver zu betreiben. Vielleicht kommt das ja demnächst mal mit einer neuen Internetbox-Firmware daher. Wäre nur logisch, denn mit einem Independent-Router und anderen DNS-Servern gings ja schon längst 🙂