Direkt zum Inhalt wechseln
Blogpost in
domains

Das müssen Sie über DNSSEC wissen

Überwachungskameras zeigen in alle Richtungen, der Hintergrund ist lila.
time to read icon 8 Min

Wie können Sie sicherstellen, dass Ihre User auf die Website gelangen, nach der sie gesucht haben? Eine Möglichkeit, ein höheres Maß an Sicherheit und Vertrauen zu gewährleisten, ist DNSSEC. Erfahren Sie mehr über dieses Internetprotokoll zum Schutz Ihrer Domains!

Published by

Author

Simone Catania

Date

05.04.2023

Wenn das Internet über eine kritische Infrastruktur verfügt, ist es definitiv das Domain Name System (DNS). Dieses System wurde allerdings zu einer Zeit entwickelt, in der Überlegungen zu Cybersicherheit noch keine große Rolle spielten. Während sich das Internet weiter ausbaute und immer mehr Dienste und Daten mit einbezog, wurde die Bedeutung eines sicheren DNS immer größer. Um eine sichere Kommunikation zu gewährleisten, haben Internet-Ingenieure die Domain Name System Security Extensions (DNSSEC) entwickelt: ein System, das den DNS-Cache schützt und so das Internet zu einem sicheren Raum macht.

Bei der Entwicklung des DNS spielte Sicherheit keine Rolle

1983 erfand der Internet-Pionier Paul Mockapetris das Domain Name System (DNS), um das neu entstandene Internet-Netzwerk nutzerfreundlicher zu machen. Dank seiner Erfindung können wir jetzt über leicht zu merkender Domains statt mit langen numerischen IP-Adressen surfen.

So funktioniert das DNS: Wenn Sie die URL im Internetbrowser eingeben, wird ein DNS-Server angefragt, dessen Aufgabe es ist, die Anfrage an die mit dem Domain-Namen verknüpfte IP-Adresse weiterzuleiten. Diese grundlegende Aufgabe des DNS wird als (Domain-)Namensauflösung (Domain Name Resolution) bezeichnet.

Leider birgt diese Kommunikation ernsthafte Sicherheitsrisiken in sich. Das DNS wurde im kleinen Kreis in einem akademischen Umfeld erstellt. Das Thema Cybersicherheit war zum damaligen Zeitpunkt nicht wirklich präsent. Mit der Zeit stellte sich heraus, dass Hacker Nameserver und DNS-Client einfach infiltrieren und so beispielsweise den Server-Cache vergiften konnten. Eines der Hauptprobleme bestand darin, dass DNS nicht so konzipiert wurde, dass die Identität des Absenders überprüft werden kann. Der Empfänger kann also nicht feststellen, ob die empfangene DNS-Antwort tatsächlich vom abgefragten Server stammt. Um diesem Problem entgegenzuwirken, wird DNSSEC eingesetzt – um Angriffe zu stoppen und um zu verifizieren, dass es sich um die korrekte Domain handelt.

Was ist DNSSEC?

DNSSEC (Domain Name System Security Extensions) beschreibt eine Reihe verschiedener Netzwerkstandards, die von der IETF (Internet Engineering Task Force) verabschiedet wurden. Es erweitert das DNS um eine Quellauthentifizierung und garantiert so die Authentizität und Integrität der Daten. Darüber hinaus gewährleistet es die Sicherheit und Verlässlichkeit der vom DNS bereitgestellten Informationen.

Mit diesen Erweiterungen können DNS-Resolver insbesondere folgende Aspekte authentifizieren:

  • Den tatsächlichen Ursprung der DNS-Daten
  • Die Integrität der empfangenen Daten (nicht jedoch deren Vertraulichkeit oder Verfügbarkeit)
  • Authentifiziertes Denial of Existence

Ohne DNSSEC lässt sich nicht feststellen, ob die DNS-Antworten korrekt oder verfälscht sind und insbesondere nicht, ob die Verbindung mit dem gewünschten Partner aufgebaut wurde. Die von DNSSEC gebotene überprüfbare „Korrektheit“ hat DNS zu einer zuverlässigen Informationsquelle gemacht.

Wie kam es zu dieser Entwicklung?

Die Forschung zur Sicherung des DNS begann 1990, als Steve Bellovin den ersten kritischen Fehler entdeckte. Seitdem arbeitet die IETF an der Entwicklung von DNSSEC. Dieses Protokoll wurde erstmals 1997 in RFC 2065 beschrieben, mit einer überarbeiteten Spezifizierung, die 1999 als RFC 2535 veröffentlicht wurde. Diese als voll funktionsfähig erachtete Version erwies sich für große Netzwerke jedoch als ungeeignet. Im Jahr 2005 haben drei RFCs (RFC 4033, RFC4034 und RFC4035) eine neue DNSSEC-Version definiert, die das moderne Internet effektiv skalieren kann. Diese Trilogie hatte jedoch einen unerwünschten Nebeneffekt auf die Zoneninhalte, was zu Problemen mit Datenschutz-Verpflichtungen führte. Im Jahr 2008 wurde mit RFC 5155 ein alternativer Ressourceneintrag (Resource Record NSEC3), eingeführt, um die Zone Enumeration zu schützen und delegierungszentrische Zonen zu erweitern.

Die Einführung von DNSSEC hat für mehr Sicherheit im Netz gesorgt. Dennoch gibt es in verschiedenen Bereichen: immer noch technische Probleme

  • Skalierbarkeit: Es fehlt ein Protokoll, das nach Größe des stetig wachsenden Internets skalierbar ist, ohne die Abwärtskompatibilität zu beeinträchtigen.
  • Auflistungen: Ungültige DNS Zone Enumerations werden nicht verhindert.
  • Variationen: Die Entwicklung des DNSSEC für eine Vielzahl unterschiedlicher DNS-Server und -Clients steht noch aus.
  • Awareness: Das Bewusstsein für DNSSEC muss noch verstärkt und verschiedene Mythen bezüglich seiner Komplexität müssen zerstreut werden.
  • Kontrolle: Es gibt keine Vereinbarung darüber, wer die TLD Keys kontrollieren sollte.

Dies sind die vordringlichen Aspekte, die DNS-Experten zu adressieren und zu lösen versuchen, während Prozesse zur Implementierung bereits im Gange sind.

DNSSEC: Die Lösung für DNS-Cache-Poisoning?

DNSSEC wurde in erster Linie entwickelt, um die sogenannten DNS-Cache-Poisoning-Angriffe zu vermeiden. Die kritische und fragile Situation des DNS wurde schnell deutlich, als das Internet zu wachsen begann. Die ersten Fehler wurden 1990 von Steve Bellovin entdeckt und 1995 in der Veröffentlichung „Using the Domain Name System for System Break-Ins“ publik gemacht. Die Internet-Community war schockiert, als Daniel Kaminsky 2008 einen kritischen Fehler entdeckte, der fast jeden DNS-Server der Welt betraf. Eine gemeinsame Task Force konnte diese Schwachstelle beheben, bevor sie der Öffentlichkeit zugänglich gemacht wurde.

Wie funktioniert DNSSEC?

DNSSEC schützt Ihre Domains, aber wie? Einfach ausgedrückt, blockiert es nicht authentifizierte Kommunikation. Angenommen, ein Hacker versucht, die IP-Adresse einer Domain auf einem DNSSEC-geschützten DNS-Server während der Namensauflösung zu ändern. Dann weist der Server die nicht authentifizierte Anfrage zurück und die Kommunikation wird beendet.

DNSSEC basiert auf asymmetrischer Kryptographie und verwendet daher ein Public-Key-System. Private Keys signieren digital alle DNS-Informationen, die als Resource Records bezeichnet werden. Andererseits verwenden die Clients den Public Key, um die Signatur zu überprüfen und damit die Authentizität der Datenquelle zu bestätigen. DNSSEC kann kritische DNS-Daten wie Text Record (TXT) und Record Mail Exchange (MX) gezielt schützen.

Wenn DNSSEC bereitgestellt wird, kann der Server mit den Keys überprüfen, ob die empfangenen Informationen mit dem Datensatz auf dem autorisierenden Server für den angegebenen Domain-Namen identisch sind. Wenn der rekursive Server feststellt, dass der Adressdatensatz des autorisierenden Servers während der Kommunikation nicht geändert wurde, wird der Domain-Name aufgelöst und der User kann auf die Site zugreifen.

Im Falle eines geänderten Datensatzes oder wenn der Datensatz nicht von der angegebenen Quelle stammt, würde der rekursive Server dem Browser nicht erlauben, eine als betrügerisch bewertete Adresse zu erreichen.

DNSSEC ist kein Allheilmittel

DNSSEC ist ein hervorragendes Mittel, um den Datenaustausch im DNS in IP-Netzwerken abzusichern. Wir können also festhalten, dass DNSSEC zusätzliche Sicherheit bietet und in die Best Practices für Internetsicherheit aufgenommen werden sollte. Gleichzeitig ist es wichtig, falsche Erwartungen zu wecken, da DNSSEC keine Lösung für alle DNS-bezogenen Schwachstellen ist.

DNSSEC kann nicht:

  • die Vertraulichkeit der Daten garantieren, da sie nicht verschlüsselt sind. DNS-Antworten sind nur authentifiziertes DNS.
  • direkt vor DDoS-, Phishing- oder Spoofing-Angriffen schützen.

Gibt es Gründe, DNSSEC nicht zu verwenden?

Es spricht nichts dagegen, DNSSEC für Ihre Domains in Betracht zu ziehen. Wenn Sie Wert auf Datenschutz legen, ist DNSSEC eine kluge Entscheidung. Dennoch gibt es einige wenige Argumente, die diese Technologie unattraktiv machen könnten. Zunächst erfordert das DNSSEC-Protokoll umfangreiche Verarbeitungsfunktionen, die die Performance einer Website reduzieren können. Zweitens wird das DNS dadurch weniger stabil, wodurch die Wahrscheinlichkeit von Ausfällen erhöht wird.

Organisationen sind oft das Ziel böswilliger oder betrügerischer Aktivitäten, sie sammeln sensible Daten und müssen sich auf Sicherheitsmaßnahmen verlassen können. Die potenziellen Risiken im Zusammenhang mit DNSSEC sind minimal. Alles in allem gibt es also keinen kritischen Grund, warum DNSSEC nicht für Domains genutzt werden sollte.

Können alle TLDs mit DNSSEC geschützt werden?

Aktuell unterstützen noch nicht alle TLDs DNSSEC. Registrys sind nicht dazu verpflichtet, das Protokoll für ihre Endungen bereitzustellen. DNSSEC ist immer noch ein Entwurf und kein anerkanntes Standardmodell, das TLD-Betreiber verpflichtend übernehmen müssen. Aber DNSSEC ist derzeit für mehr als 90% der TLDs im DNS aktiviert, wobei .se, die schwedische ccTLD, als weltweit erste TLD im September 2005 die Rolle des Vorreiters eingenommen hat.

Zwei Parteien müssen DNSSEC aktivieren: Einerseits müssen die für die Veröffentlichung von DNS-Informationen zuständigen Registrare sicherstellen, dass DNSSEC ihre DNS-Daten signiert. Auf der anderen Seite müssen Netzwerkbetreiber, die eine DNSSEC-Validierung auf den Resolvern aktivieren, die DNS-Lookups für Benutzer durchführen.

Leider wird DNSSEC heute noch nicht großflächig eingesetzt, und wenn doch, so wird es häufig nicht korrekt implementiert. Der Anteil der DNSSEC-Validierung im Juni 2021 wird weltweit auf 26,53% geschätzt.

Warum wird DNSSEC nicht häufiger genutzt, wenn es das Internet zu einem sichereren Ort macht? Der Grund dafür ist, dass die weltweite Umsetzung ein riesiges Unterfangen darstellt. Es erfordert Engagement, Konsens und erhebliche finanzielle Aufwendungen. Heutzutage gibt es neue Protokolle, wie die DNS-basierte Authentifizierung von Named Entities (DANE), die die Veröffentlichung von Transport Layer Security (TLS) Keys in Zonen für Anwendungen wie z. B. den E-Mail-Transport ermöglicht. Im Verlauf dieses Einführungsprozesses gewinnt die Internet-Community wertvolle Erkenntnisse und viele Resolver-Betreiber werden sich des Themas DNSSEC bewusster. Je häufiger es eingesetzt wird, desto wahrscheinlicher ist es, dass dieses Protokoll zu einem echten Standard wird, um authentische DNS-Antworten auf Anfragen zu erhalten.

Welcher Gefahr sind Domains ohne DNSSEC ausgesetzt?

Wir empfehlen die Aktivierung von DNSSEC, um die Authentizität der vom DNS-Server bereitgestellten Antwort zu gewährleisten und so sicherzustellen, dass die Benutzer auf der Website landen, die sie tatsächlich besuchen möchten.

Wenn DNSSEC für Domains nicht aktiv ist, können Hacker ein Lücke in einem DNS-Server finden und die Kommunikation zwischen dem Domainnamen und der IP-Adresse ändern. Tritt ein solches Szenario ein, werden User auf eine andere Website mit anderen Inhalten weitergeleitet.

DNSSEC IN AUTODNS AKTIVIEREN icon-arrow--right