DNSSEC sorgt für mehr Sicherheit im Domain-Betrieb

DNSSEC ein Service für sicheren Domainbetrieb

Die Domain Name Security Extensions, kurz DNSSEC, enthalten eine Reihe von Verfahren, die das „normale“ DNS erweitern und den Domainbetrieb dadurch sicherer machen. Vereinfacht gesagt, geht es darum, sicherzustellen, dass bei einem Domain-Aufruf auch nur die richtigen und unverfälschten Daten geliefert werden. Damit vermeiden Sie, dass unbefugte Dritte Ihnen verfälschte DNS-Daten „unterjubeln“ und Sie auf Phishing-Seiten oder ähnliche locken. Also zum Beispiel die Domainabfrage auf falsche Webseiten umleiten, die von Hackern als Köder für kriminelle Aktivitäten ausgelegt worden sind. Aber das ist nur ein Anwendungsfall von vielen.

Wie funktioniert DNSSEC?

Bei einem Domainaufruf müssen sich zwei Seiten miteinander verbinden, nämlich ein Client wie zum Beispiel Ihr PC, Notebook oder Smartphone mit einem sogenannten autoritativen Nameserver, der für die Erreichbarkeit der Domain zuständig ist. Allerdings durchläuft diese Anfrage eine oder mehrere Zwischenstationen, sogenannte DNS-Resolver, über die beide Seiten keine Kontrolle haben. Das heisst, die Integrität dieser Zwischenstationen  ist Vertrauenssache. Meistens geht es bei Netzbetreibern wie z. B. Vodafone oder DTAG gut. Aber es gibt auch Störfälle.

Hier greift DNSSEC, indem es bei einer DNS-Abfrage die inhaltliche Integrität der DNS-Daten sicherstellt. Damit soll sichergestellt werden, dass die empfangene Antwort identisch ist mit den Informationen, die im für die jeweilige Domain zuständigen autoritativen Nameserver gespeichert sind.

Ein Beispiel

Der Host „www.bb-one.net“ ist unter der IP-Adresse 193.193.167.15 zu erreichen. Damit DNSSEC funktioniert, sind folgende Schritte beispielhaft notwendig:

  1. Die Zone „bb-one.net“ wird mit einer digitalen Signatur versehen und dies wird via Registry auch den sogenannten Root-Servern mitgeteilt
  2. Der zuständige autoritative Nameserver (ns1.dns-hotel.net) liefert diese Signatur für diese Zone bei jeder Abfrage mit
  3. Der Resolver überprüft das Vorhandensein bzw. die Korrektheit der Signatur.

Für viele Hosting-Provider (z.B. Hetzner) ist der Betrieb eines DNS-Service mehr oder weniger Pflichtprogramm, der kein Geld einbringt und deshalb wenig Arbeit machen soll. Deshalb scheuen die meisten Anbieter den Aufwand, welchen sie bei der Einführung von DNSSEC betreiben müssen. Dabei sollte dieser Dienst für echte Business-Provider eigentlich auch zum Standard gehören, da die Bedrohungslage für DNS-Dienste gewiss nicht ab- sondern ständig zunimmt. Die BB-ONE.net sieht es als Selbstverständlichkeit, ihren Kunden diese Verbesserung des Sicherheits-Standards anzubieten.

Idealer Weise sollten auch die Access-Provider wie DTAG, Kabel Deutschland/Vodafone, Telefonica, MNet, NetCologne, … )  mitspielen, damit der Nutzen von DNSSEC vollumfänglich zum Tragen kommt. Leider tun sie dies noch nicht vollständig, aber wir hoffen auf entsprechende Nachbesserung, damit alle Schwachstellen im DNS geschlossen werden können. In diesem Kontext verweisen wir auf unseren Artikel „Lokaler Resolver“.

Machen Sie einen Test

Wenn Sie Ihren Access Provider testen möchten, ob dieser mit DNSSEC arbeitet, können Sie dies mit dem folgenden Kommando auf jedem einfachen Linux-Host tun:

dig @8.8.8.8 ebusiness-lotse-berlin.de +dnssec

In der Antwort muss dann unter anderem diese Zeile erscheinen:

;; flags: qr rd ra ad … (… mit weiteren Informationen)

Wichtig ist das Flag „ad“.

Wer über keinen Linux-Host verfügt, der kann mittels eines in einer WebSite integrierten Tests prüfen, ob der eigene Access-Provider die DNS-Abfragen auf DNSSEC überprüft. Der entsprechende Test findet sich hier: https://dnssec.vs.uni-due.de/

Welchen Nutzen hat DNSSEC?

Zu Beginn dieses Beitrages haben wir die Antwort bereits angedeutet, aber etwas zu kurz gegriffen. Deshalb hier eine etwas ausführlichere Erklärung am Beispiel „bb-one.net“. Wenn Sie auf Ihrem PC einen Host mit der Browsereingabe „bb-one.net“ suchen, dann wird der PC sein lokales Gateway, also den DSL-Router o.ä, danach fragen. Der kennt die Antwort meist nicht, wird also den konfigurierten Resolver, sprich den auflösenden DNS-Server des Access Providers wie z.B. DTAG oder Vodafone Kabel Deutschland fragen. Hat dieser die Antwort nicht (mehr) auf Lager, wird er  einen übergeordneten Resolver den für den gesuchten Host zuständigen (autoritativen) Nameserver fragen.

Phishing & Co. gezielt unterbinden

Auf diesem Weg gibt es mehrere Möglichkeiten der gewollten bösartigen Verfälschung. Der bekannteste Angriffsvektor führt über sogenanntes „Cache Poisoning“ dazu, dass beispielsweise statt der erwarteten WebSite eine entsprechend präparierte Seite angezeigt wird, die Zugangsdaten zum Kunden oder im schlimmsten Fall zum Bankkonto abgreift. Dieser Angriff ist auch als Phishing bekannt und erfolgt durch die Benutzung von bewusst verfälschten DNS-Informationen.

Die verfälschten DNS-Information können an verschiedenen Stellen eingeschleust werden, sowohl im lokalen Netzwerk als auch auf den Resolvern im Internet. DNSSEC kann derartige Angriffe verhindern, denn es stellt sicher, dass die Echtheit (Authentizität) und die Vollständigkeit (Integrität) der Daten von DNS-Antworten gewährleistet ist. Der Erfolg setzt allerdings voraus, dass sich die für die Domain verantwortlichen Personen auch wirklich um die Korrektheit und Aktualität der DNS-Einträge kümmern. Schließlich kann DNSSEC falsche Daten im autoritativen Nameserver zwar nicht erkennen, aber es sorgt sehr nachhaltig dafür, dass die Informationen auf dem gesamten Weg zwischen Fragestellung und Antwort nicht verfälscht werden.

Der Nutzen für den Website-Besucher

Der Website-Besucher, im besten Fall Ihr Kunde, kann sich darauf verlassen, dass er mit einer WebSite interagiert, deren Betreiber er überprüfen kann. Im Falle der offiziellen WebSite seiner Hausbank kann er von deren Authentizität ausgehen. Er wird nicht auf einer „nachgemachten“ Seite landen.

Der Nutzen für Domaininhaber und Website-Betreiber

Sie als Betreiber und Inhaber der Domains und Webseiten profitierén von einer erhöhten Reputation beim Kunden. Denn eine nachprüfbare Webadresse ist für die Kunden gleichzeitig transparent und unterstützt das Vertrauen. Deshalb sollten Sie in Ihrer Rolle als Verantwortlicher die Verwendung von DNSSEC unbedingt in Erwägung ziehen und dann diesen Vorteil auch in der Kundenkommunikation nutzen. Spätestens wenn Sie einen Online-Shop betreiben und beispielsweise auch DNSSEC-Prüfungsmöglichkeiten auf Ihren WebSite anbieten, haben Sie gegenüber dem Wettbewerb noch bessere Karten.

Weiterführende Informationen

Einen sehr schönen Artikel hat die DENIC unter der Rubrik „Wissen“ zu der ganzen Thematik veröffentlicht: https://www.denic.de/wissen/dnssec/. Aber auch der eBusiness Lotse Berlin wird demnächst Webinare zu diesem Thema anbieten. Selbstverständlich werden wir Sie darüber auf dem laufenden halten.