DNS-Cookies und DNS over TLS
Das Domain Name System wird sicherer
Fortsetzung des Artikels von Teil 1
DNS over TLS verhindern Spionage
Im Gegensatz zu DNS-Cookies versucht DoT, das Datenschutzproblem des DNSs zu lösen. Das DNS umfasst eine Vielzahl von Möglichkeiten, Anfragen eines Clients auszuwerten. Viele Anbieter eines DNS-Server sammeln aus den Anfragen Daten über die Nutzer, die später für Marketingzwecke genutzt werden und das Angebot teilweise mitfinanzieren. Browser wie Chrome bieten außerdem Funktionen wie das DNS-Prefetching an, bei dem IP-Adressen für Links abgefragt werden, noch bevor der Anwender einen Link auswählt oder aufruft. Das verkürzt beispielsweise die Ladezeit für Suchergebnisse, allerdings können darüber die Anfragen rekonstruiert und viele andere Informationen gewonnen werden. Schwerwiegender ist allerdings die Möglichkeit, dass die Anfragen auch von Außenstehenden ausspioniert werden können.
DoT hat vermehrt Anhänger gefunden, nachdem der DNS-Dienst 1.1.1.1 von Cloudfare begonnen hat, diese Technologie zu unterstützen. Die Verbreitung hat seitdem deutlich zugenommen. Das Protokoll selbst ist weitestgehend unkompliziert. Dafür wird eine TCP-TLS-Verbindung eingerichtet und die DNS-Abfrage über diesen Tunnel gesendet. Dabei kann es zu einem beachtlichen Overhead kommen, der theoretisch durch die Wiederverwendung der Verbindung reduziert werden könnte. In der Praxis werden die TLS-Verbindungen nur für eine sehr kurze Zeit gehalten, so dass viele zusätzliche Daten anfallen. Natürlich kann der Anbieter immer noch alle Anfragen prüfen, aber das Vorgehen reduziert den Zugriff durch unbefugte Dritte deutlich.
Eine Herausforderung für Unternehmen ist unter Umständen lediglich, dass es bei DoT dazu kommen kann, dass viele Unternehmenssysteme für den Datenverkehr blind werden. Um das zu vermeiden, ist es sinnvoll, DoT (Port 853/TCP) zu blockieren und zu verlangen, dass die Benutzer einen internen rekursiven DNS-Server verwenden. So kann die Protokollierung auf diesem DNS-Server durchgeführt werden, und DoT von dort zu den eigenständigen DNS-Diensten weiterleiten, falls es einen Grund gibt, einen internen Server einem der üblichen Internet Service Provider vorzuziehen.
Fazit
Das Domain Name System ist als Grundlage eines für Menschen zugänglichen, modernen Internets sowie den meisten anderen, IP-basierten Netzwerken unverzichtbar. Seit der Erfindung und dem ersten Einsatz des DNS wurden einige Ergänzungen vorgestellt, die die Möglichkeiten der Technologie erweitern oder relevante Sicherheitsfunktionen bereitstellen sollen. Um den Datenschutz sowie die Prüfung von Authentizität und Integrität von Daten sicherzustellen, sind DNS-Cookies und DoT zwei vielversprechende Ansätze. Die Verbreitung der Technologien hat in den letzten Jahren seit ihrer Einführung massiv zugenommen, sodass sie dazu beitragen können, die Sicherheit im Internet und anderen IP-basierten Netzwerken zu erhöhen.
Johannes Ullrich ist Forschungsdekan des SANS Institutes und Direktor des SANS Internet Storm Centers
- Das Domain Name System wird sicherer
- DNS over TLS verhindern Spionage
Lesen Sie mehr zum Thema
