Modernes DNS: mehr Sicherheit und mehr Privatsphäre?

Einer der fundamentalsten Dienste im Internet ist der DNS-Dienst. DNS steht für Domain Name Service.

Der Service „kennt“ die IP-Adresse, die hinter einer URL steckt. Immer wenn wir einen Namen, z.B. „www.datenschutzpraxis.de“, in den Rechner tippen, findet der DNS-Dienst die IP-Adresse, hier 194.15.165.104.

Ohne DNS müssten wir die IP-Adressen auswendig wissen und die Nummernfolge direkt in den Browser eintippen.

Unverschlüsselte Datenpakete

Die DNS-Datenpakete sind unverschlüsselt und nicht signiert. Nur eine 16-Bit-Zufallszahl, die die Zuordnung von Anfrage und Antwort ermöglicht, liefert rudimentären Schutz.

Die erste eingehende Antwort mit der richtigen Zufallszahl wird akzeptiert und vorübergehend gespeichert. Ein Angreifer muss also nur schneller antworten als der offizielle DNS-Server.

Werden falsche DNS-Einträge gespeichert, spricht man vom DNS Cache Poisoning. Die unverschlüsselte Übertragung macht es zudem möglich, den Datenverkehr zu belauschen und auf das Surfverhalten der Nutzer zurückzuschließen.

Dass hier Sicherheitsmechanismen nötig sind, um Angriffe zu verhindern, ist offensichtlich.

Sicherheitsmaßnahmen

Es gibt derzeit mehrere Möglichkeiten, den DNS-Dienst abzusichern.

1. DNSSEC

Etabliert, aber noch nicht sehr weit verbreitet ist DNSSEC (Domain Name System Security Extensions).

Das ist ein Standard, um signierte und damit verifizierbare DNS-Antworten zu generieren. Es ist dringend erforderlich, dass Provider und Unternehmen mindestens diesen Standard umsetzen.

Damit wären Angriffe wie DNS Cache Poisoning, auch DNS-Spoofing gen…