DNSSEC (Domain Name System Security Extensions) ist ein standardisiertes Verfahren für den Informationsaustausch im Domain Name System (DNS). Dabei werden die DNS-Informationen digital signiert, um eine Manipulation von DNS-Daten zu verhindern. Wie DNSSEC funktioniert, wie verbreitet es im Internet ist und wie es Unternehmen einsetzen können, lesen Sie in diesem Beitrag.
„Fakt ist, ohne DNS gäbe es kein Internet, so wie wir es heute kennen. Kein Anwender kann mit vier Milliarden IP-Adressen jonglieren, mit griffigen Domainnamen wie adacor.com hingegen schon. Damit Computer die Internetadressen verarbeiten können, müssen sie in maschinenlesbare Zahlen umgewandelt werden. Diese Aufgabe übernimmt das Domain Name System (DNS)“, so bringt es mein Kollege Marc Heinz in seinem Artikel „Einsatz von DNS in der Netzwerktechnik“ exakt auf den Punkt.
In seinen Anfängen war das Internet nicht so groß oder kritisch wie heute. Das DNS wurde damals nach dem Vertrauensprinzip entwickelt und eine Verschlüsselung von DNS-Informationen findet bis heute nicht automatisch statt. Infolgedessen ist das DNS nicht vollkommen sicher und weist Schwachstellen auf, wie zum Beispiel als DNS-Cache-Poisoning.
DNS-Cache-Poisoning
DNS ist standardmäßig nicht sicher. Wenn ein rekursiver Resolver (Namensauflösung) eine DNS-Abfrage durchführt, akzeptiert er jede Antwort, die er zurückerhält, ohne seine Authentizität in Frage zu stellen. Dies hinterlässt eine Sicherheitslücke in einem Dienst, den wir täglich nutzen. Um die Arbeit zu beschleunigen, verwenden rekursive Resolver das Caching, um eine Liste der Adressen zu führen, auf die am häufigsten zugegriffen wird. Wenn ein Hacker gefälschte DNS-Daten an den rekursiven Resolver sendet, werden die Daten für einen bestimmten Zeitraum zwischengespeichert, sodass alle in dieser Zeit durchgeführten DNS-Abfragen gefälschte Antworten erhalten. Dies wird auch als DNS-Cache-Poisoning bezeichnet.
Um diesen Schwachstellen entgegenzuwirken und einzelne DNS-Zonen abzusichern, wurde DNSSEC basierend auf der Verschlüsselung mit öffentlichen und privaten Schlüsseln entwickelt. Mithilfe von DNSSEC lässt sich die Integrität und Authentizität von DNS-Daten überprüfen und validieren, um einen Missbrauch der Daten zu verhindern.
DNSSEC prüft die Integrität einer DNS-Antwort und sorgt für Sicherheit beim Informationsaustausch über ein DNS.
Definition und Geschichte von DNSSEC
DNSSEC ist die Abkürzung für Domain Name System Security Extensions, ein in mehreren Requests for Comments (RFCs) standardisiertes Verfahren für den Informationsaustausch im DNS.
Request for Comments (RFC)
Ein RFC ist ein formelles Dokument der Internet Engineering Task Force (IETF), welches das Ergebnis der Ausarbeitung eines Ausschusses und der anschließenden Überprüfung durch interessierte Parteien ist. Einige RFCs haben informativen Charakter. Von denen, die Internetstandards werden sollen, wird die endgültige Version des RFC zum Standard, weitere Kommentare oder Änderungen sind nicht zulässig. Änderungen können jedoch durch nachfolgende RFCs erfolgen, die alle oder Teile früherer RFCs ersetzen oder ausarbeiten.
Das Ziel von DNSSEC ist es, Resolvern zu ermöglichen, den Ursprung und die Integrität einer DNS-Antwort zu überprüfen. Oder einfacher ausgedrückt: DNSSEC soll sicherstellen, dass die DNS-Antwort, die der anfragende Computer erhält, genau mit der übereinstimmt, die der Eigentümer der Domänenzone bereitgestellt hat. Dazu werden die DNS-Informationen mit digitalen Zertifikaten signiert. Die Verwendung von öffentlichen und privaten Schlüsseln basiert auf den Konzepten der Public Key Infrastructure (PKI).
Die DNSSEC-Technologie durchlebte ihre Anfänge bereits Ende der 90er-Jahre. Nachdem erste Schwachstellen überarbeitet wurden, ist heute die 2005 veröffentlichte Version in Gebrauch. 2010 startete im Internet die Einführung der Domain Name System Security Extensions auf Root-Ebene. Seit 2013 unterstützt Google DNSSEC-Validierung für Abfragen in Google’s öffentlichen DNS Resolvern. 2019 weist auch die ICANN (Internet Corporation for Assigned Names and Numbers) auf eine Bedrohungslage wichtiger Teile der DNS-Infrastruktur hin und wirbt für den Einsatz von DNSSEC.
Verbreitung von DNSSEC
Trotz der langen Geschichte und der Involviertheit zahlreicher großer Akteure der Internet-Community ist der Einsatz von DNSSEC noch nicht flächendeckend verbreitet. Gemessen an der DNSSEC-Validierung kommen wir weltweit gerade einmal auf eine Verbreitung von 25 Prozent. Europa liegt mit knapp 31 Prozent nur auf Platz 2 hinter Ozeanien mit etwa 39 Prozent. Amerika belegt Platz 3 mit 28,08 Prozent. Auf Länderebene ist Saudi-Arabien mit einer DNSSEC-Validierung von 96,85 Prozent Vorreiter. Finnland (92,82 %), Schweden (89,03 %) und Dänemark (85,12 %) liegen in Europa vorne, Deutschland hat mit gerade einmal 55,74 Prozent Nachholbedarf. Eine übersichtliche Grafik zu der Aufstellung finden Sie hier.
Für die ungleiche Verbreitung von DNSSEC gibt es unterschiedliche Gründe. Einer Befragung in Schweden zufolge ist ein Großteil des dortigen Erfolgs darauf zurückzuführen, dass die schwedische Registry die .se-Ländercode-Top-Level-Domain (ccTLD) frühzeitig signiert hat. Außerdem wurden neben umfangreichen Schulungskursen Subventionen für Registrare angeboten, die ihre Zonen signiert hatten. Zusätzlich fanden Meetups statt (technischer Austausch und Studientreffen), bei denen mehrere große Telekommunikationsanbieter, die zuerst die DNSSEC-Validierung unterstützten, ihre Erfahrungen mit kleinen und mittleren Netzanbietern austauschten. In Saudi-Arabien hat die staatliche Regulierungsbehörde CITC wichtige Leistungsindikatoren für die Penetrationsrate der DNSSEC-Validierung festgelegt und die Validierung für Internet Service Provider vorgeschrieben.
Zusammengefasst wird deutlich, dass es weiterer Anreize, der Schaffung eines aktiven Bewusstseins sowie staatlicher Förderung bedarf, um die weltweite Verbreitung von DNSSEC voranzutreiben. Um diesem Bedarf nach Aufklärung nachzukommen, wollen wir die Vorteile, aber auch die Grenzen von DNSSEC mit einem praktischen Beispiel beleuchten.
Managed DNS – 100 % Sicherheit
Das DNS ist die wichtigste Basis für die Erreichbarkeit einer cloudbasierten IT und wird trotzdem oft vernachlässigt.
Mit Adacor Pro DNS bieten wir den schnellen Einstieg in ein professionelles DNS Management für die Hochverfügbarkeit Ihrer Anwendungen.
Informieren Sie sich jetzt über die Adacor Professional DNS Services.
Wirksamkeit und Grenzen von DNSSEC
Wir können den Nutzen von DNSSEC am Beispiel der E-Mail erklären. Wenn eine E-Mail gesendet wird, findet – vereinfacht – der folgende Vorgang statt: Der DNS-Client führt eine DNS-Suche nach dem MX-Eintrag (Mail Exchange Resource Record) der Zieldomäne durch, um den Mailserver der Empfängeradresse herauszufinden. Der Client-Mailserver erhält anschließend eine Antwort und die E-Mail wird an den Empfänger gesendet. Wenn der MX-Datensatz in unserem Beispiel kompromittiert und unter der Kontrolle eines Angreifers in einen MX-Datensatz geändert würde, würde die E-Mail in die falschen Hände geraten.
Durch die Nutzung von DNSSEC lässt sich verhindern, dass DNS-Daten auf diese Weise manipuliert werden. Mithilfe privater Schlüssel findet das digitale Signieren der Resource Records statt. Empfänger prüfen die Signaturen mit den bereitgestellten öffentlichen Schlüsseln auf Echtheit. Wenn eine E-Mail mit aktiviertem DNSSEC gesendet wird, führt der DNS-Client eine DNS-Suche nach dem MX-Eintrag der Zieldomäne durch, der mit DNSSEC signiert ist (eine kryptografische Signatur hinzugefügt). Der Client-Mailserver erhält eine Antwort und führt eine DNSSEC-Überprüfung durch, um zu überprüfen, ob die Signaturen übereinstimmen. Wenn alles stimmt, wird die E-Mail gesendet.
In unserem Beispiel würde also auffallen, dass der MX-Record von einem Angreifer geändert wurde und die E-Mail würde nicht verschickt werden. Ebenso sehen sich Besucher einer Webseite nicht mehr Man-in-the-middle-Angriffen ausgesetzt und können sich sicher sein, beim Aufruf einer Webseite nicht auf bösartige Server weitergeleitet zu werden.
Man-in-the-middle-Angriff (MITM)
DNS-Spoofing oder DNS-Hijacking ist eine Art von MITM. Die Angriffe zeichnen sich hauptsächlich durch das Ändern beziehungsweise Fälschen von DNS-Einträgen aus, die mittels IP-Spoofing vorgeblich vom zuständigen Nameserver stammen. Dadurch wird der Online-Traffic auf einen anderen Server weitergeleitet, wo der Angreifer sich die Daten im Rahmen eines Phishing- oder Pharming-Angriffs zunutze machen kann.
Was DNSSEC dagegen nicht leistet, ist eine Verschlüsselung des Traffics, sodass niemand, der sich in der Leitung befindet, Internet-Aktivitäten ausspionieren kann. DNSSEC signiert lediglich die Antworten, sodass Fälschungen erkannt werden können. Für Verschlüsselung sorgen Technologien wie HTTPS, also der Einsatz von SSL-Zertifikaten.
Fazit: DNSSEC schützt die DNS-Kommunikation effizient und nachhaltig
Trotz oder gerade wegen seiner langen Geschichte besitzt das DNS Schwachstellen bei der Sicherheit des Informationsaustauschs. Durch verschiedene Angriffsarten wie DNS-Cache-Poisoning oder DNS-Spoofing kann der Datenverkehr an den Server eines Betrügers umgeleitet werden. Aus diesem Grund wurde bereits Ende der 90er-Jahre das kryptographische Verfahren DNSSEC entwickelt, mit dem der Ursprung und die Integrität einer DNS-Antwort überprüft und Angriffe unterbunden werden können. Obwohl Internet-Organisationen wie ICANN zur Nutzung von DNSSEC aufrufen und öffentliche DNS Resolver wie Google seit vielen Jahren DNSSEC unterstützen, ist die Verbreitung in Europa und weltweit noch viel zu gering.
Bei Adacor kann DNSSEC für zahlreiche Domainendungen aktiviert werden. Wir finden für jedes Domainportfolio die optimale Lösung und unterstützen aktiv bei der Einrichtung und Pflege. Haben Sie Interesse am Einsatz von DNSSEC für Ihre Domains, dann lassen Sie sich gerne von unseren Experten beraten, damit Ihr Domainportfolio vor DNS-Angriffen geschützt ist.