Verschlüsselung

DNSSEC behebt DNS-Schwachstellen

| Autor / Redakteur: Christian Felsing / Peter Schmitz

Erfolgreiche Angriffe auf das Domain Name System (DNS) können große Schäden auslösen, da unter Umständen der gesamte Datenverkehr über den Angreifer umgeleitet wird.
Erfolgreiche Angriffe auf das Domain Name System (DNS) können große Schäden auslösen, da unter Umständen der gesamte Datenverkehr über den Angreifer umgeleitet wird. (Bild: vectorfusionart - Fotolia.com)

Bereits seit 1983 existiert das Domain Name System (DNS), das im Internet User und Server verbindet. Das System wird seit mehr als 30 Jahren verwendet, bietet Hackern aber aufgrund von Sicherheitslücken einige Angriffsfläche. Die Domain Name System Security Extensions, kurz DNSSEC, schließen diese Lücken.

Das von Internetpionier Paul Mockapetris in den frühen 1980er Jahren entwickelte Domain Name System (DNS) wird noch immer für das Surfen im Internet genutzt. Dabei wurde das DNS in einer Zeit geschaffen, in der Hacker noch keine große Gefahr darstellten. In den vergangenen 30 Jahren hat sich dies allerdings grundlegend geändert: Angriffe aus dem Internet sind mittlerweile leider ein fester Bestandteil der digitalen Welt geworden. So wurde Wikileaks-Gründer Julian Assange bereits 1991 wegen Hackings als Straftäter verurteilt.

Im Jahr 2012 infizierte die Schadsoftware „DNS-Changer“ weltweit mehr als vier Millionen Computer und richtete einen Schaden von vielen Millionen Dollar an. Und lukrative Ziele gibt es immer mehr: In einer digitalisierten Welt, in der vom Lebensmittelkauf bis hin zu finanziellen Dienstleistungen alles über das World Wide Web abgewickelt werden kann, wird Internetsicherheit immer wichtiger. Doch welches System kann für mehr Sicherheit sorgen?

Funktionsweise und Schwachstellen des Domain Name Systems

Das Domain Name System (DNS) löst den Hostnamen, also den Namen eines Computers in einem System, in eine IP-Adresse auf. Um eine bestimmte Website im Netz zu erreichen, führt der Browser eine sogenannte DNS-Query durch. Dabei befragt er einen Nameserver des Domain Name Systems, auf welche IP-Adresse der entsprechende Webserver hört. Der Nameserver sucht anschließend aus seiner Datenbank die zugehörigen Einträge, die Ressource Records heraus. In der DNS-Response werden die Ressource Records abschließend an das entsprechende Endgerät gesendet. Dieses kann aus der Antwort die IP-Adresse entnehmen und diese dann ansteuern.

Im User Datagram Protocol (UDP), über welches diese Kommunikation Im Regelfall abläuft, klafft allerdings eine erhebliche Sicherheitslücke. Denn das UDP überprüft nicht die Authentizität der Antwort. Der Empfänger am anderen Ende der Leitung hat dadurch keine Gewissheit, ob die DNS-Antwort auch tatsächlich vom befragten DNS-Server stammt und ob sie vertrauenswürdig ist. Wenn sich ein Angreifer in die Kommunikation zwischen DNS-Server und Client einschaltet, kann er mithilfe einer manipulierten IP-Adresse den Empfänger auf eine falsche Website umleiten. Durch ein gefälschtes https-Zertifikat ist der Hacker in der Lage, eine verschlüsselte Verbindung zu dem nichtsahnenden User aufzubauen: Dieser hat dann kaum noch eine Möglichkeit, den Angriff zu bemerken.

Das Ziel der Angreifer ist dabei häufig, die DNS-Dienste zu manipulieren. Darunter fallen beispielsweise DOS/DDOS-Attacken, Cache Poisoning oder Man-in-the-Middle-Angriffe. Hacker nutzen die Technik allerdings auch, um DNS-Unternehmen auszuspionieren: Dabei sammeln sie Daten, die sich dann anschließend wieder zu Geld machen lassen.

Die Domain Name System Security Extensions schützen das DNS

Erfolgreiche Angriffe auf das Domain Name System können exorbitante Schäden auslösen, da unter Umständen der gesamte Datenverkehr über den Angreifer umgeleitet wird. Die Sicherheitstechnik Domain Name System Security Extensions (DNSSEC) kann hier den nötigen Schutz gewährleisten. In seiner aktuellen Version liegt das System bereits seit März 2005 vor; in regelmäßigen Abständen werden jedoch Updates entwickelt. Für Domains mit der Endung „de“ ist DNSSEC seit 2011 verfügbar. Wie der Name schon sagt, erweitert die Sicherheitstechnik DNSSEC das Domain Name System. Dabei werden die DNS-Daten vom Domain-Administrator mit einer eingebetteten Signatur und zwei kryptografischen Schlüsseln abgesichert. Zu diesem Zweck werden zusätzliche DNS-Ressource Records generiert, die bei einer Anfrage mitversendet werden. Aufgrund der eingebetteten Signaturen kann der Empfänger den Absender verifizieren. Fallen beide Überprüfungen positiv aus, gelten die DNS-Daten als valide, sprich vertrauenswürdig. Enthält der Angreifer keine gültige Signatur, wird die Antwort vom DNS Server des Providers ganz einfach blockiert. Die Technologie ist dabei in verschiedenen Bereichen sinnvoll einsetzbar: Mithilfe von DNSSEC können beispielsweise das Online-Banking ebenso wie der Mail- oder VoIP-Verkehr erfolgreich abgesichert werden.

Will man als Unternehmen auf DNSSEC umsteigen, sollte man folgendes beachten: Als Anbieter benötigt man eine Name-Infrastruktur und einen Domain Registrar, die die Sicherheitstechnik unterstützen. Wichtig ist außerdem, dass die DNS-Server des Internetproviders eine DNSSEC-Validierung unterstützen. Ansonsten kann man auch die entsprechenden Google-Nameserver 8.8.8.8, 8.8.4.4 bzw. 2001:4860:4860::8888 und 2001:4860:4860::8844 in der Firewall bzw. dem Router eintragen, sofern dieser DNSSEC unterstützt. Falls der Router DNSSEC nicht unterstützt, sollte das Gerät unbedingt ersetzt werden. Ein entsprechender DNSSEC-Service kann vom Domain-Inhaber bei Akamai oder InternetX erworben werden. Das ist zu Beginn zwar etwas kostspieliger, dafür entfallen jedoch mögliche Probleme mit der Administration. Generell ist es allerdings auch möglich, DNSSEC selbst in Betrieb zu nehmen. Dafür sollte man jedoch über ein entsprechendes technisches Know-How verfügen. Ist die DNSSEC erst einmal installiert, fällt nur noch wenig Wartungsaufwand an.

Deutschland hat bei der Einführung von DNSSEC noch Nachholbedarf

Obwohl es DNSSEC schon seit 2005 gibt, sind hierzulande der Sparkassen Broker und die Postbank die einzigen Anbieter aus dem Bankensektor, die DNSSEC in der täglichen Abwicklung vollumfänglich einsetzen. Daran lässt sich erkennen, dass Deutschland beim Einsatz dieser Sicherheitstechnik noch Nachholbedarf hat – auch gegenüber unserer europäischen Nachbarn.

In den Niederlanden sind bereits mehr als 50 Prozent der Domains signiert; Schweden signiert seine DNS-Daten bereits seit 2007. Diese Länder gehen also in puncto Datensicherheit mit gutem Beispiel voran. Auch wenn in der IT-Sicherheit die Grundregel gilt, dass es keine unmöglichen Angriffe gibt, kann der Sicherheitsstandard DNSSEC nahezu komplett verhindern, dass DNS-Daten manipuliert werden. Die Technologie ‒ als elementarer Sicherheitsfaktor ‒ sollte daher flächendeckend eingeführt werden. Denn in der digitalisierten Welt liegt es im Interesse aller, dass sensible Daten Hackern nicht auf dem Silbertablett serviert werden.

Über den Autor

Christian Felsing ist IT-Sicherheitsbeauftragter des Sparkassen Brokers. Der zentrale Online-Broker der Sparkassen ist eines der ersten Finanzinstitute in Deutschland, das DNSSEC anwendet.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44240794 / Protokolle und Standards)