DNS mit Privacy und Security

Privatsphäre (Privacy) und Sicherheit (Security) sind bei DNS praktisch nicht vorhanden.

  1. Jeder auf dem Weg zwischen einem Client und dem DNS-Server kann die DNS-Anfragen und -Antworten sehen. Wer Deine DNS-Kommunikation mitlesen kann, sieht unter anderem, welche Internet-Dienste Du verwendest.
  2. Derjenige kann auch falsche Antworten auf die DNS-Anfragen anderer schicken. Wer die DNS-Kommunikation manipulieren kann, der kann jegliche Internet-Kommunikation in Netzen und auf Server umleiten, die falsche Informationen verbreiten, Zugangsdaten abgreifen oder Schadsoftware liefern.

Konkrete Probleme

Bei unverschlüsselter DNS-Kommunikation

  • kann jeder die DNS-Anfragen mitlesen, der physischen Zugang zu einem Netzwerk und die darin befindlichen Router und DNS-Server hat.
  • können Überwachungsorgane mit wenig Aufwand an zentralen Internet-Austauschpunkten massenhaft mitlesen.
  • können DNS-Anfragen gesammelt, daraus Nutzerprofile erstellt und für Werbezwecke verwendet werden.

Diese Probleme sind nicht theoretischer Natur. Sie finden in dieser Form tatsächlich statt, ohne das man als Nutzer etwas daran ändern kann.

DNS Privacy (DPRIVE)

Die IETF-Arbeitsgruppe „DNS Privacy“ hat es sich zur Aufgabe gemacht, Lösungen für die Klartext-Übertragung der DNS-Kommunikation im Internet zu erarbeiten. Neben verschiedenen Lösungen stehen 3 Verfahren in den Startlöchern, um die Übertragung der DNS-Kommunikation im Klartext zu unterbinden.

  • DoT - DNS over TLS
  • DoH - DNS over HTTPS
  • DoQ - DNS over QUIC

Alle drei Verfahren sollen vor allem das DNS-Poisoning verhindern. Bei DNS-Poisoning oder DNS-Spoofing wird die DNS-Resolver-Tabelle manipuliert, um Benutzer auf bösartige Websites umzuleiten oder Malware auf ihren Computern zu installieren. Durch die Veränderung der DNS-Auflösung können Angreifer beispielsweise eine legitime Website durch eine gefälschte Seite ersetzen, um Benutzerdaten wie Benutzernamen und Passwörter zu stehlen oder Phishing-Angriffe durchzuführen.

Diese Protokoll sind aber noch kein Bestandteil der gängigen Desktop-Betriebssysteme. Man kann sie aber nachrüsten. Welcher Standard sich durchsetzt, ist also völlig unklar.

Neben diesen 3 Verfahren gibt es noch die Erweiterung DNSSEC, die für Integrität und Authentizität von DNS-Daten sorgt, und die Sicherheit weiter verbessert.

DNSSEC - Domain Name System Security Extensions

DNSSEC arbeitet mit digitalen Signaturen. DNS-Antworten werden mit einer Signatur versehen. Der Empfänger kann dann prüfen, ob die DNS-Antwort von einer authentischen Quelle stammt, also unterwegs nicht manipuliert wurde. Die DNS-Anfrage ist aber immer noch im Klartext und kann von Dritten gelesen werden. Die Privatsphäre (Privacy) muss mit anderen Mitteln sichergestellt werden.

DoT, DoH und DoQ im OSI-Schichtenmodell

DoT DoH DoQ DoH3
HTTP/2 HTTP/3
TLS TLS QUIC QUIC
TCP TCP UDP UDP
IP IP IP IP

DoT - DNS over TLS

Bei DNS over TLS ruft der Client des Anwenders die DNS-Informationen über eine TCP-Verbindung zum Resolver ab, die mit Transport Layer Security (TLS) authentifiziert und verschlüsselt ist. So kann der Client (hoffentlich) DNSSEC-validierte Daten vom Nameserver beziehen, ohne dass Dritte mitlesen. DoT und DNSSEC können sich also prima ergänzen.
Ein großer Nachteil von DNS over TLS ist, dass es mit einer einfachen Blockade (TCP-Port 853) möglich ist, die Kommunikation mit unsicherem DNS (UDP-Port 53) zu erzwingen.

DoH - DNS over HTTPS

Bei herkömmlichem DNS ist in der Regel das Betriebssystem für die DNS-Kommunikation zuständig. DNS ist also ein Systemdienst, den alle Software-Clients in einem Betriebssystem nutzen.
Bei DNS over HTTPS ist das anders. Hier ist im Software-Client die Namensauflösung mit DNS over HTTPS integriert. Also beispielsweise im Browser oder in einer App, die beide zur Namensauflösung mit einem Webserver kommunizieren, der die Aufgabe eines DNS-Resolvers hat.
DNS over HTTPS hat den Vorteil, dass durch HTTPS die DNS-Kommunikation wie herkömmlicher Datenverkehr aussieht und sich nicht blockieren lässt (TCP-Port 443). Daraus ergibt sich der Vorteil, dass ein versehentlicher Fallback auf unverschlüsseltes DNS nicht möglich ist.

DoQ - DNS over QUIC

DNS over QUIC ist ein Spezialfall, wenn Quick UDP Internet Connections als Alternative zu TCP als Transport-Protokoll verwendet wird. QUIC kombiniert einzelne Funktionen von UDP, TLS und HTTP zu einem Protokoll, dass zusätzlich auch noch die DNS-Kommunikation übertragen kann. Es ist DNS over HTTPS sehr ähnlich, aber im Vergleich zu DoT und DoH viel schneller bei der Namensauflösung.

Sichere Verbindung zwischen DNS-Resolver und authoritativen Nameservern

Wenn man von DoT, DoH und DoQ spricht, dann ist damit in der Regel nur die Verbindung vom Client des Nutzers zum DNS-Server des Providers gemeint. Die Namensauflösung umfasst aber auch die DNS-Kommunikation zwischen einem Resolver und dem zuständigen authoritativen Nameserver. Dieses letzte Teilstück zu verschlüsseln erfordert aber die Zusammenarbeit mit allen Nameserver-Betreibern weltweit. Die Entwicklung in diese Richtung verläuft aber nur sehr langsam, weil es viele Details gibt, die es zu klären gilt. Wichtig ist dabei, eine steigende Komplexität zu vermeiden, um Fehler und neue Schwachstellen in der Namensauflösung zu vermeiden.

Neue Probleme durch DoT, DoH und DoQ

So toll DoT, DoH und DoQ für den Datenschutz und die Sicherheit der Namensauflösung sind, soll nicht verschwiegen werden, dass damit auch neue Problem entstehen, die man vorher nicht hatte.

  • Langsame Geschwindigkeit: Mit DoT und DoH dauert die DNS-Auflösung länger. Das heißt, die Latenz nimmt zu. Im Gegenzug ist die Namensauflösung zuverlässiger und sicherer.
  • Keine Namensauflösung im lokalen Netzwerk: Browser, die DoH verwenden, befragen externe DNS-Server, die Domain-Namen im lokalen Netzwerk natürlich nicht kennen. In kleinen privaten Netzwerken ist das weniger dramatisch, allerdings ein Problem in Unternehmensnetzwerken, die eigene Web-, Mail- und Datenbank-Server betreiben. Für die kann ein externer DNS-Server keine Namensauflösung durchführen.
  • Umgehung von Firewall und Sperrfilter: Das Filtern und Sperren über DNS ist eine beliebte Maßnahme, um Browser-Nutzer vor Phishing-Webseiten, mit Werbung überladenen Webseiten und unerwünschten Inhalten zu schützen. Über DoH umgeht die Namensauflösung konfigurierte Sperrfilter.
  • Steigende Zentralisierung: Mit DoH wickelt ein Browser die DNS-Kommunikation mit einem DNS-Dienstanbieter ab, der vom Browser-Anbieter vorgegeben wird. Auf diese Weise lassen sich die gesammelten Daten für Werbezwecke missbrauchen. Außerdem unterstehen viele dieser Firmen dem US-Recht und müssen auf Verlangen der dortigen Behörden die Nutzer-Daten (DNS-Anfrage und IP-Adresse) herausgeben.

Fazit

Prinzipiell ist die Verschlüsselung von DNS-Anfragen als zusätzlicher Schutzmechanismus sehr zu begrüßen, weil damit das Ausspähen des Datenverkehrs deutlich reduziert wird.

Was ist die richtige Lösung, um Datenschutz und Sicherheit im DNS einzuführen? DoT, DoH oder DoQ?

Alle Lösungen haben Vor- und Nachteile, sodass die Wahl nicht leicht fällt. Dabei ist für den Anwender die Geschwindigkeit ein wichtiges Kriterium. Grundsätzlich wird der normale Anwender immer die schnellste Verbindung bevorzugen.

  • DoQ einen leichten Vorteil, weil es die schnellste Variante ist. Allerdings ist es auch eine Sonderlösung, die vielleicht für Google als Initiator und weitere große Diensteanbieter interessant ist, aber nicht für die breite Masse. Tatsächlich haben DoT und DoH bei der Verbreitung einen großen Vorsprung gegenüber DoQ.
  • Viele DNS-Entwickler und -Betreiber präferieren DoT, weil sich das einfacher in bestehende DNS-Implementierungen integrieren lässt. Schwierig ist die langsame Namensauflösung und der Fallback zu unsicherem DNS.
  • DoH wäre in Browsern zur Verbesserung des Datenschutzes eine gute Lösung, doch der Betreiber des DNS-Resolvers kann weiterhin sehen, welcher Nutzer wohin und wann surft. Das wäre nicht weiter schlimm, wenn da nicht die Konzentration der DNS-Kommunikation auf nur wenige DoH-Resolver wäre, die hauptsächlich von amerikanischen Internet-Konzernen betrieben werden. Dann wäre eine Verbesserung des Datenschutzes eher zweifelhaft.

Weitere verwandte Themen:

Lernen mit Elektronik-Kompendium.de

Noch Fragen?

Bewertung und individuelles Feedback erhalten

Freitextaufgaben zum Artikel beantworten, korrigieren lassen und zum Profi werden.

Aussprache von englischen Fachbegriffen

Netzwerktechnik-Fibel

Alles was du über Netzwerke wissen musst.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Netzwerktechnik-Fibel

Alles was du über Netzwerke wissen musst.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Artikel-Sammlungen zum Thema Netzwerktechnik

Alles was du über Netzwerktechnik wissen solltest.

Netzwerk-Grundlagen

Netzwerk-Grundlagen

eBook kaufen

IPv6

IPv6

eBook kaufen

IPv4

IPv4

eBook kaufen

Netzwerk-Sicherheit

Netzwerk-Sicherheit

eBook kaufen