An die 25 Prozent aller Internet-Name-Server weisen laut einer Untersuchung von Infoblox die Sicherheitslücke auf, die der Security-Spezialist Dan Kaminsky vor einigen Wochen entdeckte. Das Sicherheitsprotokoll DNSsec unterstützen ganze 0,002 Prozent der Systeme.

»Unsere fünfte DNS-Survey förderte einige gute Trends, aber auch etliche schlechte zutage«, sagt Cricket Liu, Vice President Architecture von Infoblox. Die kalifornische Firma stellt Appliances her, die Basisnetzwerkdienste wie DNS, DHCP, Radius oder TFTP bereitstellen.

Zu den guten Nachrichten gehört, dass rund 90 Prozent der DNS-Server im Internet, die auf BIND basieren, die aktuelle und sichere Ausgabe 9 von Berkeley Internet Name Domain verwenden. Der Anteil der DNS-Server, die auf Technik von Microsoft aufsetzen, ging dagegen von 2,7 Prozent auf 0,17 Prozent zurück.

Schlecht dagegen ist laut Liu der immer noch hohe Anteil von Systemen, auf denen der Workaround von Dan Kaminsky nicht implementiert wurde. Er soll Angriffe mittels Cache-Poisoning verhindern, also das Manipulieren von Daten, die sich im Zwischenspeicher von DNS-Servern befinden.

Laut Infoblox ist ein Viertel aller DNS-Systeme verwundbar. Derzeit gibt es etwa eine Milliarde solcher Server.

Der Hauptgrund ist, dass IT-Manager keine Zeit haben, die Lücke zu schließen, die Kaminsky entdeckt hat. Hinzu kommen mangelndes Know-how bezüglich des Domain-Name-Services und die Tatsache, dass etliche IT-Fachleute von der Schwachstelle noch nichts gehört haben.

An die 40 Prozent der DNS-Server ermöglichen eine rekursive Namensauflösung. Bei diesem Verfahren holt sich ein Server die Daten von einem anderen System. Die Technik ist allerdings nicht sicher und ermöglicht Cache-Poisoning und Denial-of-Service-Angriffe (DoS).

Einsatz von DNSsec noch verpönt

Die Sicherheitserweiterung DNSsec (DNS Security Extension), die einen Großteil der Angriffe auf DNS-Server verhindern würde, ist dagegen gerade einmal in 0,002 Prozent der Zones zu finden. Mithilfe der Extension kann ein DNS-User-System überprüfen, ob es sich bei dem Name-Server, mit dem es kommuniziert, auch tatsächlich um den betreffenden Rechner handelt.

Systemverwalter scheuen offenbar vor dem Aufwand zurück, DNSsec zu implementieren. Die Technik arbeitet mit einem asymmetrischen Schlüsselsystem, um DNS-Server zu authentifizieren. In Europa ist laut Liu DNSsec vor allem in den Niederlanden und Schweden verbreitet, nicht dagegen in Deutschland oder den USA.

Firmen, die ihre interne DNS-Infrastruktur testen möchten, können das mit dem Tool DNS Advisor Pro von Infoblox tun. Die Light-Version der Software steht gegen Registrierung kostenlos zur Verfügung. Hier der Link zur Download-Seite.