DNS mit Privacy und Security

Privatsphäre (Privacy) und Sicherheit (Security) sind bei DNS praktisch nicht vorhanden.

1. Jeder auf dem Weg zwischen einem Client und dem DNS-Server kann die DNS-Anfragen und -Antworten sehen. Wer Deine DNS-Kommunikation mitlesen kann, sieht unter anderem, welche Internet-Dienste Du verwendest.
2. Derjenige kann auch falsche Antworten auf die DNS-Anfragen anderer schicken. Wer die DNS-Kommunikation manipulieren kann, der kann jegliche Internet-Kommunikation in Netzen und auf Server umleiten, die falsche Informationen verbreiten, Zugangsdaten abgreifen oder Schadsoftware liefern.

Konkrete Probleme

Bei unverschlüsselter DNS-Kommunikation

• kann jeder die DNS-Anfragen mitlesen, der physischen Zugang zu einem Netzwerk und die darin befindlichen Router und DNS-Server hat.
• können Überwachungsorgane mit wenig Aufwand an zentralen Internet-Austauschpunkten massenhaft mitlesen.
• können DNS-Anfragen gesammelt, daraus Nutzerprofile erstellt und für Werbezwecke verwendet werden.

Diese Probleme sind nicht theoretischer Natur. Sie finden in dieser Form tatsächlich statt, ohne das man als Nutzer etwas daran ändern kann.

DNS Privacy (DPRIVE)

Die IETF-Arbeitsgruppe „DNS Privacy“ hat es sich zur Aufgabe gemacht, Lösungen für die Klartext-Übertragung der DNS-Kommunikation im Internet zu erarbeiten. Neben verschiedenen Lösungen stehen 3 Verfahren in den Startlöchern, um die Übertragung der DNS-Kommunikation im Klartext zu unterbinden.

• DoT - DNS over TLS
• DoH - DNS over HTTPS
• DoQ - DNS over QUIC

Alle drei Verfahren sollen vor allem das DNS-Poisoning verhindern. Bei DNS-Poisoning oder DNS-Spoofing wird die DNS-Resolver-Tabelle manipuliert, um Benutzer auf bösartige Websites umzuleiten oder Malware auf ihren Computern zu installieren. Durch die Veränderung der DNS-Auflösung können Angreifer beispielsweise eine legitime Website durch eine gefälschte Seite ersetzen, um Benutzerdaten wie Benutzernamen und Passwörter zu stehlen oder Phishing-Angriffe durchzuführen.

Diese Protokoll sind aber noch kein Bestandteil der gängigen Desktop-Betriebssysteme. Man kann sie aber nachrüsten. Welcher Standard sich durchsetzt, ist also völlig unklar.

Neben diesen 3 Verfahren gibt es noch die Erweiterung DNSSEC, die für Integrität und Authentizität von DNS-Daten sorgt, und die Sicherheit weiter verbessert.

DNSSEC - Domain Name System Security Extensions

DNSSEC arbeitet mit digitalen Signaturen. DNS-Antworten werden mit einer Signatur versehen. Der Empfänger kann dann prüfen, ob die DNS-Antwort von einer authentischen Quelle stammt, also unterwegs nicht manipuliert wurde. Die DNS-Anfrage ist aber immer noch im Klartext und kann von Dritten gelesen werden. Die Privatsphäre (Privacy) muss mit anderen Mitteln sichergestellt werden.

• DNSSEC

DoT, DoH und DoQ im OSI-Schichtenmodell

DoT - DNS over TLS

Statt der üblichen ungesicherte UDP-Kommunikation ruft der Client des Anwenders die DNS-Informationen über eine TCP-Verbindung zum Resolver ab, die via Transport Layer Security authentifiziert und verschlüsselt ist. So kann der Client (hoffentlich) DNSSEC-validierte Daten vom Nameserver beziehen, ohne dass Dritte mitlesen. DoT und DNSSEC können sich also prima ergänzen.

• TLS - Transport Layer Security

DoH - DNS over HTTPS

Herkömmliches DNS ist auf Systemebene umgesetzt. Gemeint ist, dass in der Regel das Betriebssystem für die DNS-Kommunikation zuständig ist. DNS ist also ein Systemdienst, den alle in dem betreffenden Betriebssystem installierten Software-Clients nutzen.

Bei DNS over HTTPS, kurz DoH, ist das anders. DoH ist direkt im Software-Client integriert. Also beispielsweise im Browser oder in einer App, die beide zur Namensauflösung mit einem Webserver kommunizieren.

Das hat den Vorteil, dass durch HTTPS der Datenverkehr wie herkömmlicher Datenverkehr aussieht und sich nicht so einfach, wie bei DNS, blockieren lässt. Daraus ergibt sich der Vorteil, dass auch kein versehentlicher Fallback auf unverschlüsseltes DNS möglich ist. Das kann natürlich auch ein Nachteil sein, wenn die Namensauflösung mit DoH nicht gelingt. Dann ist das Problem aber auf diesen Browser oder die App beschränkt.

• HTTPS / HTTP Secure

DoQ - DNS over QUIC

DNS over QUIC, kurz DoQ, ist ein Spezialfall, wenn Quick UDP Internet Connections als Alternative zu TCP/IP verwendet wird.

Neue Probleme durch DoT und DoH

So toll DoT, DoH und DoQ für den Datenschutz und die Sicherheit der Namensauflösung sind, soll nicht verschwiegen werden, dass damit auch neue Problem entstehen, die man vorher nicht hatte.

• Geschwindigkeit: Mit DoT und DoH dauert die DNS-Auflösung länger. Das heißt, die Latenz nimmt zu. Im Gegenzug ist die Namensauflösung zuverlässiger und sicherer.
• Namensauflösung im lokalen Netzwerk: Browser, die DoH verwenden, befragen externe DNS-Server, die Domain-Namen im lokalen Netzwerk natürlich nicht kennen. In kleinen privaten Netzwerken ist das weniger dramatisch, allerdings ein Problem in Unternehmensnetzwerken, die eigene Web-, Mail- und Datenbank-Server betreiben. Für die kann ein externer DNS-Server keine Namensauflösung durchführen.
• Firewall und Sperrfilter: Das Filtern und Sperren über DNS ist eine beliebte Maßnahme, um Browser-Nutzer vor Phishing-Webseiten, mit Werbung überladenen Webseiten und unerwünschten Inhalten zu schützen. Über DoH umgeht die Namensauflösung konfigurierte Sperrfilter.
• Zentralisierung: Mit DoH wickelt ein Browser die DNS-Kommunikation mit einem DNS-Dienstanbieter ab, der vom Nutzer konfiguriert wird oder vom Browser vorgegeben wird. Auf diese Weise lassen sich die gesammelten Daten für Werbezwecke missbrauchen. Außerdem unterstehen viele dieser Firmen dem US-Recht und müssen auf Verlangen der dortigen Behörden die Nutzer-Daten (DNS-Anfrage und IP-Adresse) herausgeben.

Fazit

DoT und DoH sind auf den ersten Blick eine gute Sache. Jetzt kann nicht mehr jeder in den DNS-Datenverkehr hineinsehen oder manipulieren. Prinzipiell ist die Verschlüsselung von DNS-Anfragen als zusätzlicher Schutzmechanismus sehr zu begrüßen, weil damit das Ausspähen des Datenverkehrs deutlich reduziert wird.

Aber, der Betreiber des DNS-Resolvers kann weiterhin sehen, welcher Nutzer wohin und wann surft. Die Konzentration der DNS-Kommunikation auf nur wenige Anbieter, lässt die Nutzerdaten, wenn sie aufgezeichnet werden, zu Gold werden.

Ob der Datenschutz verbessert wird, wenn DNS nur noch von wenigen Dienstanbietern bereitgestellt wird, die hauptsächlich von amerikanischen Internet-Konzernen betrieben werden, und somit im Zugriff der NSA stehen, ist zweifelhaft.

Weitere verwandte Themen:

• DNS - Domain Name System
• Namensauflösung
• Grundlagen der Netzwerk-Sicherheit
• HTTP/2 - HTTP Version 2.0
• HTTP/3 - HTTP Version 3.0

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Artikel-Sammlungen zum Thema Netzwerktechnik

Collection: Netzwerk-Grundlagen

Was du über Netzwerk-Grundlagen wissen solltest.

eBook herunterladen

Collection: IPv6

Was du über IPv6 wissen solltest.

eBook kaufen

Collection: Netzwerk-Sicherheit

Was du über Netzwerk-Sicherheit wissen solltest.

eBook kaufen

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!