[Announce] WG: trash.net tut was für DNSSEC!

Othmar Truniger truniger at bluewin.ch
Di Apr 2 17:20:08 CEST 2013


Liebe Mitglieder,

Am 14.01.2011 haben wir über Announce mitgeteilt, dass wir bei trash.net
DNSSEC unterstützen und dafür neben signierten Zonen auch einen
DNS-Resolver-Service anbieten.

In Reaktion auf verschiedene Projekte wie Open DNS Resolver Project
http://openresolverproject.org oder The Measurement Factory
http://dns.measurement-factory.com, welche unseren offenen DNS Server
dnssec3.trash.net bereits auflisten, und nachdem sogar das US-Cert am
29.03.2013 den Alert TA13-088A: DNS Amplification Attacks herausgegeben hat,
habe ich mich entschlossen, den Zugriff auf dnssec3.trash.net einzuschränken
und so einem allfälligen Missbrauch entgegenzuwirken.

Selbstverständlich möchte ich den DNS-Resolver-Service mit
DNSSEC-Verifikation für unsere Mitglieder weiterhin zur Verfügung stellen.
Bis auf Weiteres pflege ich die Konfiguration manuell. Wer den Service
nutzen will, muss mir einfach seine IP-Adresse auf sysadmin at trash.net
mitteilen und ich werden dann den C-Block in die Liste der erlaubten
Adressen eintragen.

Ich kann mir durchaus vorstellen, den Zugriff über Anklopfen automatisch zu
ermöglichen, muss dies aber aus Zeitgründen noch aufschieben.

Herzliche Grüsse
Othmar Truniger
Sysadmin trash.net

-----Ursprüngliche Nachricht-----
Von: announce-bounces at trash.net [mailto:announce-bounces at trash.net] Im
Auftrag von Roman Fischer
Gesendet: Freitag, 14. Januar 2011 13:03
An: announce at trash.net
Betreff: [Announce] trash.net tut was für DNSSEC!


Liebe Mitglieder,

Schon seit längerer Zeit gibt es Bestrebungen, das DNS [1] sicherer zu  
machen. Dies läuft unter dem schönen Namen "DNSSEC".

Damit das jede/r ausprobieren kann, haben wir speziell für unsere  
Mitglieder zwei neue DNSSEC-fähige DNS-Server (dnssec1.trash.net und  
dnssec2.trash.net) und einen DNSSEC-fähigen rekursiven DNS-Server  
(dnssec3.trash.net) eingerichtet.

Schön, aber was kann man damit anfangen?

Zum Einen könnt ihr eure eigenen Domains auf trash.net hosten und  
DNSSEC konform signieren lassen (Für Details wendet euch einfach an  
sysadmin at trash.net).

Zum Anderen könnt ihr den rekursiven DNS-Server dnssec3.trash.net für  
normale DNS Abfragen in eure Netzwerk-Konfiguration eintragen. Die  
Techies unter euch wissen, was ich meine. ;)


Wer nicht gerne an seinen Netzwerk-Einstellungen rumfummelt, aber beim  
Surfen im Internet doch eine Spur sicherer sein möchte, den könnte das  
folgende interessieren:

Für den Firefox gibt es ein Add-on "DNSSEC Validator" [2]. Wenn man  
dieses installiert und konfiguriert, dann zeigt Firefox in der URL an,  
ob die entsprechende Site mit DNSSEC arbeitet und wenn ja, ob die  
Antwort korrekt (also sicher) ist.

Download und Konfiguration des DNSSEC Validators haben wir auch noch  
unter [3] dokumentiert.

Bitte beachtet: dnssec3.trash.net loggt alle Zugriffe für maximal eine  
Woche. Wer Wert auf Anonymität legt, sollte dies berücksichtigen. Wir  
halten das Logging so kurz wie möglich um den Balance-Akt zwischen  
Schutz der Privatsphäre und einem zuverlässigen Betrieb gewährleisten  
zu können!

Für Fragen oder Feedback stehen wir natürlich gern zur Verfügung.

Liebe Grüsse
Roman, Präsi

[1] http://de.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
[2] https://addons.mozilla.org/en-US/firefox/addon/64247/
[3] http://www.trash.net/faq/dnssec_validator/dnssec_validator.shtml
_______________________________________________
announce mailing list
announce at trash.net
https://your.trash.net/mailman/listinfo.cgi/announce




More information about the announce mailing list