Quelle: Hosttech
Channel Insight: DNS - Ein Urgestein wird sicherer
von Thomas Goll, Domainmanager bei Hosttech
Artikel erschienen in Swiss IT Reseller 2023/11
Artikel erschienen in Swiss IT Reseller 2023/11
Im heutigen Internet ist das Domain Name System (DNS) nicht mehr wegzudenken. Es verbindet einfach zu merkende Domains mit IP-Adressen und erleichtert so das Surfen im Netz. Doch dieser technische Dinosaurier hat sich in den letzten Dekaden nur sehr langsam weiterentwickelt, was nun zu erheblichen Problemen bezüglich Sicherheit und Datenschutz führt. DNS wurde ursprünglich primär auf Leistung ausgelegt, was in der Vergangenheit Sinn machte, da kryptografische Verfahren damals noch spürbare Leistungseinbussen mit sich brachten. So wird heute zwar der grösste Teil aller Webseiten mit SSL verschlüsselt, die meisten DNS-Abfragen laufen jedoch weiterhin über eine unsichere Verbindung.
Bei unverschlüsselten DNS-Abfragen kann zum Beispiel ein Man in the Middle (MitM) herausfinden, welche Webseiten aufgerufen wurden. Mit den so erhaltenen Metadaten kann auf einfache Weise ein sehr eindeutiges Profil zu einem Nutzer und dessen Surfverhalten erstellt werden. So sagte auch der ehemalige Leiter der NSA, Michael Hayden, bei einer Podiumsdiskussion 2014: «We [the U.S.] kill people based on meta data».
Doch es können nicht nur Metadaten gesammelt werden: Eine unverschlüsselte DNS-Abfrage ermöglicht DNS-basierte Angriffe wie DNS-Spoofing oder DNS-Hijacking, bei welchen der Angreifer die Auflösung einer Domain so manipuliert, dass ein Nutzer statt auf die gesuchte Page auf eine Webseite des Angreifers zugreift.
Ist das mit DNSSEC nicht bereits gelöst? Leider nein. DNSSEC signiert zwar eine DNS-Zone und stellt so sicher, dass eine DNS-Antwort nicht manipuliert wurde, sie also vom richtigen Nameserver stammt. Verschlüsselt werden DNS-Abfrage und -Antwort dabei jedoch nicht. Für optimalen Schutz braucht es deshalb eine Kombination aus DNSSEC und Verschlüsselung der DNS-Abfragen.
Bei unverschlüsselten DNS-Abfragen kann zum Beispiel ein Man in the Middle (MitM) herausfinden, welche Webseiten aufgerufen wurden. Mit den so erhaltenen Metadaten kann auf einfache Weise ein sehr eindeutiges Profil zu einem Nutzer und dessen Surfverhalten erstellt werden. So sagte auch der ehemalige Leiter der NSA, Michael Hayden, bei einer Podiumsdiskussion 2014: «We [the U.S.] kill people based on meta data».
Doch es können nicht nur Metadaten gesammelt werden: Eine unverschlüsselte DNS-Abfrage ermöglicht DNS-basierte Angriffe wie DNS-Spoofing oder DNS-Hijacking, bei welchen der Angreifer die Auflösung einer Domain so manipuliert, dass ein Nutzer statt auf die gesuchte Page auf eine Webseite des Angreifers zugreift.
Ist das mit DNSSEC nicht bereits gelöst? Leider nein. DNSSEC signiert zwar eine DNS-Zone und stellt so sicher, dass eine DNS-Antwort nicht manipuliert wurde, sie also vom richtigen Nameserver stammt. Verschlüsselt werden DNS-Abfrage und -Antwort dabei jedoch nicht. Für optimalen Schutz braucht es deshalb eine Kombination aus DNSSEC und Verschlüsselung der DNS-Abfragen.
Bei einer verschlüsselten DNS-Abfrage ist der Kanal zwischen Client und DNS-Resolver des Providers TLS-verschlüsselt. Das bedeutet ein MitM kann die DNS-Daten nicht mehr auslesen und eine Manipulation ist sehr schwierig bis praktisch unmöglich. Zu beachten ist, dass diese Art der Verschlüsselung nicht durchgehend ist, sondern Hop to Hop. Für eine durchgehende Verschlüsselung muss die gesamte Kommunikation des DNS-Resolvers mit allen involvierten Nameservern ebenfalls verschlüsselt sein. Sollte eine dieser Kommunikationen unverschlüsselt sein, bildet dies einen weiteren Angriffspunkt.
Für die Verschlüsselung an sich gibt es zahlreiche Möglichkeiten. Aktuell meistverbreitet sind die Standards DNS over TLS (DoT) und DNS over HTTPS (DoH). Der grosse Unterschied der beiden liegt in den verwendeten Ports: DoT verwendet einen eigenen Port (853), während DoH Port 443 verwendet, über welchen sämtlicher HTTPS-Traffic läuft, also auch der Datenverkehr einer Webseite selbst. Dieses kleine Detail führt dazu, dass bei DoH DNS-Abfragen im normalen Datenfluss versteckt sind, während sie bei DoT aufgrund des eigenen Ports klar vom restlichen Datenverkehr getrennt sind. Welcher Standard besser ist, wird aktuell stark debattiert. DoH bietet mehr Datenschutz, da DNS-Anfragen nur unter erheblichem Aufwand vom restlichen Traffic getrennt werden können, während DoT als sicherer angesehen wird, da Administratoren die Möglichkeit haben, bekannte Webseiten mit Malware oder verbotenen Inhalten zu sperren.
Erfreulicherweise findet in Sachen Verschlüsselung von DNS-Abfragen seit einigen Jahren ein langsames Umdenken statt. Grosse Provider bieten mittlerweile verschiedene Verschlüsselungs-Möglichkeiten. Zu hoffen ist, dass bald auch kleinere Provider nachziehen, was sowohl Sicherheit als auch Datenschutz im Internet beträchtlich erhöhen wird. Man muss sich aber auch künftig im Klaren sein, dass ein Provider immer noch Metadaten aus DNS-Abfragen gewinnen kann. Wie diese verwendet werden, weiss man nicht. Insbesondere bei kostenlosen Diensten gilt deshalb weiterhin: Muss man nichts bezahlen, ist man selbst das Produkt.
Für die Verschlüsselung an sich gibt es zahlreiche Möglichkeiten. Aktuell meistverbreitet sind die Standards DNS over TLS (DoT) und DNS over HTTPS (DoH). Der grosse Unterschied der beiden liegt in den verwendeten Ports: DoT verwendet einen eigenen Port (853), während DoH Port 443 verwendet, über welchen sämtlicher HTTPS-Traffic läuft, also auch der Datenverkehr einer Webseite selbst. Dieses kleine Detail führt dazu, dass bei DoH DNS-Abfragen im normalen Datenfluss versteckt sind, während sie bei DoT aufgrund des eigenen Ports klar vom restlichen Datenverkehr getrennt sind. Welcher Standard besser ist, wird aktuell stark debattiert. DoH bietet mehr Datenschutz, da DNS-Anfragen nur unter erheblichem Aufwand vom restlichen Traffic getrennt werden können, während DoT als sicherer angesehen wird, da Administratoren die Möglichkeit haben, bekannte Webseiten mit Malware oder verbotenen Inhalten zu sperren.
Erfreulicherweise findet in Sachen Verschlüsselung von DNS-Abfragen seit einigen Jahren ein langsames Umdenken statt. Grosse Provider bieten mittlerweile verschiedene Verschlüsselungs-Möglichkeiten. Zu hoffen ist, dass bald auch kleinere Provider nachziehen, was sowohl Sicherheit als auch Datenschutz im Internet beträchtlich erhöhen wird. Man muss sich aber auch künftig im Klaren sein, dass ein Provider immer noch Metadaten aus DNS-Abfragen gewinnen kann. Wie diese verwendet werden, weiss man nicht. Insbesondere bei kostenlosen Diensten gilt deshalb weiterhin: Muss man nichts bezahlen, ist man selbst das Produkt.
Thomas Goll
Thomas Goll ist Domainmanager bei Hosttech, einem führenden Schweizer Anbieter von Webhosting, Domains und Serverlösungen. Schon als Kind stark von Technik und IT begeistert, übernimmt er hier seit fast vier Jahren einen Grossteil der Domain- und DNS-Verwaltung und betreut und berät Kunden bei allen Anliegen rund um Domains. Vor seiner Zeit bei Hosttech war er als Musiker tätig, eine Karriere, welche er aufgrund eines Unfalls aufgeben musste.Artikel kommentieren
