SWITCH Security-Blog

SWITCH-CERT IT-Security Blog


Deep Web – Das Netz unter dem Netz (Teil 1)

Dieser Artikel wurde von Katja Locker verfasst.

Als ob man ein Fischernetz über die Wasseroberfläche zieht – so in etwa kann man sich die Informationssuche der „Generation Google“ vorstellen. Vieles bleibt dabei im Netz hängen, aber die weitaus grössere Beute schwimmt irgendwo weiter unten.

Mit dieser Metapher erklärte Namensgeber Mike K. Bergman 2001 erstmals, was sich hinter dem von ihm geprägten Begriff „Deep Web“ verbirgt. Es ist derjenige Teil des Internets, der am schnellsten wächst; der um ein Vielfaches so gross ist wie das, was man zu sehen bekommt, wenn man mit gängigen Suchmaschinen an der Oberfläche kratzt: Das „Visible Web“ oder „Surface Web“ besteht laut worldwidewebsize.com aus 13,32 Milliarden Webseiten (Stand: Feb. 2013): Alles, was wir über Google und Co. erreichen, sind Ansammlungen unzähliger Querverweise (Hyperlinks). Die Inhalte auf den entsprechenden Seiten sind von Suchmaschinen indexiert und daher schnell verfügbar.

Continue reading

News


IT-Security-Links #13


DNSSEC Deployment in .CH

It has now been three years since SWITCH officially signed the .CH and .LI ccTLDs. Since then adoption of DNSSEC for the .CH domains has been very slow. During the last few weeks we have seen a small increase, but noticeable, including one registrar (OVH.de); who have started to sign a few hundert domain names. It may be the start to something bigger; however we trail other TLDs in the number of singed delegations (See https://xs.powerdns.com/dnssec-nl-graph/) by a large margin

Currently, SWITCH does not publish statistics about DNSSEC, as only 0.05% of all active domains use DNSSEC. Therefore publishing any DNSSEC statistics remain unjustified.

In this blog article we want to give you a look at the numbers nonetheless. Please keep in mind that: because the number of DNSSEC enabled domains is so low, the interpretation of the data and graphs should not be taken too seriously, the numbers can change very quickly.

Continue reading

News


IT-Security-Links #12


IPv6 für (Security-)Manager – Teil 2: Das Big Picture der IPv6-Integration

Im ersten Teil dieser Reihe zum Thema IPv6 ging es darum, warum IPv6 ein Management-Thema ist: Die Auswirkungen von IPv6 auf Ihre IT-Organisation sind vielfältig. Für eine sowohl kosteneffiziente als auch sichere Integration von IPv6 in die eigene Organisation ist es erforderlich, dass Sie sich einen Überblick in Form einer Bestandsaufnahme verschaffen. Auf dieser Basis kann eine individuelle IPv6-Integrationsstrategie entwickelt werden, inklusive einer Roadmap, die interne und externe Abhängigkeiten mit berücksichtigt. Beispiele für solche Abhängigkeiten sind bestehende Investitions- und Entwicklungs-Zyklen, aber auch die IPv6-Readiness der IT-Security.

Das folgende “IPv6 – Big Picture” soll eine Orientierung über betroffene Bereiche und notwendige Aktivitäten geben:

BigPicture_20130204

In den horizontalen Feldern sind die verschiedenen Bereiche der IT aufgeführt, die irgendwann im Laufe der IPv6-Integration betroffen sind. Die senkrechten Felder enthalten Aktivitäten, die innerhalb der IPv6-Integration anstehen. Im einzelnen:

Continue reading

News


IT-Security-Links #11

German:

  • Der neue SWITCH-CERT-Report (PDF) zu aktuellen Trends im Bereich IT-Security und Privacy ist online.


DNSSEC Signierungs-Algorithmus wechseln

Eine DNS-Zone zu signieren ist mit heutiger Software nicht mehr schwierig oder kompliziert. Die Schwierigkeiten im Betrieb von signierten Zonen sind selten angewendete Prozeduren, wofür teilweise noch die Software-Unterstützung fehlt, sei dies in der Signierungssoftware oder in Monitoring- und Debugging-Tools. Eine solche selten angewendete Prozedur ist der Wechsel des DNSSEC Signierungs-Algorithmus.

Als SWITCH die DNSSEC-Signierung für die ccTLDs CH und LI im Jahr 2009 entwickelte und testete, entschied sie sich für den DNS Security-Algorithmus RSASHA1-NSEC3-SHA1 (RFC 5155). Aktuell ist der DNS Security-Algorithmus RSA/SHA-256 (RFC5702) einer der verbreitetsten Signierungs-Algorithmen unter TLDs (NANOG 56, E. Lewis), welcher auch von der Root-Zone verwendet wird. SWITCH hat in den letzten Wochen einen sogenannten Key Algorithm Rollover durchgeführt und auf den DNS Security-Algorithmus RSA/SHA-256 gewechselt.

Continue reading