DNSCrypt | Aufbau, Funktionsweise und Einsatzbereiche
Als Netzwerk-Protokoll trägt DNSCrypt neben DNSSEC dazu bei, DNS-Traffic zu authentifizieren. DNSCrypt bedient sich dabei kryptographischer Signaturen und stellt sicher, dass DNS-Resolver korrekt abgefragt werden. So schützt es effektiv vor DNS-Spoofing.
Published by
Carina Prüll
Date
DNSCrypt ist ein Netzwerk-Protokoll, das ursprünglich von Frank Denis und Yecheng Fu ins Leben gerufen wurde, mit dem Ziel die Sicherheit, Privatsphäre und Integrität im Netz zu erhöhen. Es ist eine Spezifikation mit freien und quell-offenen Referenz-Implementierungen und kann zum Einsatz kommen, um sowohl auf Computern als auch auf Servern oder mobilen Endgeräten für erhöhte Sicherheit bei DNS-Anfragen zu sorgen.
Die Entwicklung von DNSCrypt ergab sich aus der Schwachstellen-Analyse des Domain Name Systems. DNS-Spoofing, sog. Manipulationen von DNS-Antworten, ist eine von Hackern häufig genutzte Methode, um in ein DNS-System einzudringen und DNS-Anfragen zu manipulieren. DNSCrypt ist eine Ergänzung oder Erweiterung zu DNSSEC – ein erstes, auch von der ICANN anerkanntes Vorhaben, die Integrität und Authentizität der DNS-Datenübertragung zu gewährleisten.
Obwohl das DNSCrypt Protokoll weithin genutzt wird, um UDP-basierte Amplifikationsangriffe wie Denial of Service (DoS) zu entschärfen bzw. zu verhindern, wurde es nie als Request for Comment (RFC) bei der Internet Engineering Task Force (IETF), einer Organisation zur Förderung frei zugängliche Internetstandards, vorgeschlagen. Im Gegensatz hierzu ist DNSSEC im RFC 4033 dokumentiert.
DNSSEC gewährleistet ein hohes Maß an Sicherheit und Vertrauen. Erfahren Sie mehr in unserem Artikel über dieses Internetprotokoll zum Schutz Ihrer Domains.
Funktionsweise des DNS
Als das DNS im Jahr 1983 vom IT-Pionier Paul Mockapetris entwickelt wurde, spielte Sicherheit bei der Datenübertragung zunächst eine eher untergeordnete Rolle. Die primäre Aufgabe bestand darin, die Usability des noch im Entstehen befindlichen Internets zu erhöhen. Anstelle komplizierter numerischer Zeichenfolgen sollten User über deutlich leichter zu merkende Domain-Namen auf Internetseiten zugreifen können.
Das Domain Name System basiert auf einem einfachen Funktionsprinzip: Wird eine URL in einem Browserfenster eingeben, geht die Anfrage an einen DNS-Server. Die Aufgabe dieses DNS-Servers besteht darin, die Anfrage an die IP-Adresse weiterzuleiten, die mit dem Domain-Namen verknüpft ist. Diese wesentliche Aufgabe des Domain Name Systems ist auch als “Domain Name Resolution” bekannt.
Bei diesem Vorgang werden quasi alle Informationen, die für die Auffindung der gesuchten Web-Adresse nötig sind, zusammengetragen und am Ende dem Client als IP-Adresse zur Verfügung gestellt. Über die IP-Adresse kann der Client dann den konkreten Server ansprechen – die gesuchte Website wird im Browser angezeigt.
Im Detail läuft dies so:
- Der Client schickt die Anfrage nach der konkreten IP-Adresse an den DNS Resolver.
- Der sendet zunächst eine Anfrage an den Root Server (DNS Root), um zu erfahren, welcher DNS Server für die jeweilige Top-Level-Domain (z. B. .de) zuständig ist.
- Nach Erhalt der Information geht die Anfrage weiter an den TLD Server, der die Autoritativen Nameserver des Providers zurückschickt.
- Dann folgt die Anfrage an einen der autoritativen Nameserver (DNS Zone), der die gesuchte IP-Adresse an den DNS Resolver zurücksendet.
- Dieser schickt die IP-Adresse an den Client, der damit den zuständigen Server ansprechen kann (Request – Response), um die gewünschte Website aufzurufen.
Auf diese Weise verarbeiten DNS-Server grundsätzlich sämtliche Internet-Dienste. Und das macht DNS-Server zu einem interessanten Ziel für Cyberangriffe. Das DNS braucht daher Schutzmechanismen, um Schwachstellen abzusichern und die Datenverarbeitung nach notwendigen Schutzstandards zu gestalten. An dieser Stelle kommt DNSCrypt zum Einsatz.
Finden Sie perfekte Domains
DNSCrypt: Zur Vermeidung von DNS-Schwachstellen
Grundsätzlich ist im DNS-System jede:r in einem Netzwerk imstande, Anfragen mitzulesen, die von einem Endgerät ausgehen. In Firmennetzwerken können auf diese Weise exakte Protokolle darüber erstellt werden, welche Internetseiten Mitarbeiter:innen im Verlauf des Tages besucht haben. Dies geschieht unauffällig und ohne, dass der Traffic über HTTP(S) mitgelesen werden muss.
Auch Universitäten und andere Institutionen machen sich dies zunutze, um Internet-Traffic genau zu loggen. Oftmals werden nur eigene DNS-Server erlaubt, während andere blockiert werden. Über eine VPN-Verbindung geleitet, kann auch der Traffic protokolliert werden. Auch Staaten können in diesen Mechanismus eingreifen, um beispielsweise Internet-Filter oder -Sperren einzurichten. Bei dieser Form von Manipulation werden falsche IP-Adressen auf DNS-Anfragen zurückgeschickt, sofern diese Anfragen auf einer Blacklist stehen.
Die Kontrolle der DNS-Anfragen eines Clients macht es möglich, User auf jede beliebige Internetseite umzuleiten. Sie bemerken hiervon zunächst nichts, da in der Adresszeile des Browsers genau das steht, was sie ursprünglich eingegeben haben. Ebenso ist es auf diese Weise möglich, auf dem Nutzergerät fremde Software zu installieren. Einige Tools prüfen automatisch beim Start einer Anwendung im Internet, ob Updates oder neue Versionen zur Verfügung stehen.
Die meisten Anwendungen bieten Usern dabei an, Updates oder neue Versionen sofort herunterzuladen und anschließend zu installieren. Wird der Download nicht auf Grundlage einer Signatur verifiziert, können Angreifer grundsätzlich jede Software installieren, die sie möchten. DNSCrypt kann an mehreren Stellen ansetzen, um die Vertraulichkeit der DNS-Anfragen sicherzustellen oder zu erhöhen.
Was ist DNS Security und wie kann uns Technologie dabei helfen, eine Domain zu schützen? Klaus Darilion (nic.at) beantwortet unsere Fragen im Artikel, damit wir das beschützen können, was uns allen besonders am Herzen liegt: Domains.
So trägt DNSCrypt zu Integrität und Datenschutz bei
DNSCrypt stellt die Integrität der Anfragen client- und serverseitig sicher, in dem es den DNS-Traffic verschlüsselt. Beim kryptographischen Verfahren durch den DNScrypt Proxy kommt die “Elliptische Kurven Kryptographie” zum Einsatz – konkret die Curve25519.
Standardmäßig wird die Anfrage des Browsers über eine UDP-Verbindung (User Datagram Protocol) an den Server übertragen. Die Übertragung von Anfragen über TCP (Transmission Control Protocol) dient hier nur als Fallback-Lösung, denn TCP liefert für Angreifer viele nützliche Informationen. In vielen Netzwerken ist nicht nur UDP über den Port 443 freigeschaltet, sondern auch TCP, da es die Kommunikation mit HTTPS-verschlüsselten Internetseiten ermöglicht.
Der Übertragungsweg des DNSCrypt trägt dazu bei, eine wichtige Schwachstelle zu entfernen: Die Filterung von Anfragen auf DNS-Basis über Port 53 wird überwunden. Der durch DNSCrypt verschlüsselte DNS-Traffic kann nur noch auf dem gefragten DNS-Server mitgelesen und protokolliert werden. Somit wird eine Man-in-the-Middle-Attacke verhindert.
InterNetX bietet zahlreiche Produkte und Services, um die Sicherheit von Domains und die Integrität von DNS-Anfragen optimal zu gewährleisten.
Registrieren Sie Domains in AutoDNS