DNSSEC

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

DNSSEC (Domain Name System Security Extensions) ist eine Erweiterung des im Internet verwendeten Basis-Dienstes DNS. DNS (Domain Name System) sorgt dafür, dass die im Internet verwendeten kryptischen IP-Adressen (z.B. 209.85.135.104) in eingängige Bezeichner (in Beispiel Weblink zu google.de) umgewandelt werden können und umgekehrt.

Zur Förderung von DNSSEC veranstalteten am 30. Juni 2015 das BSI, die Registrierungsstelle für Domains mit der deutschen Länderendung .de (DENIC), und der IT-Nachrichtendienst Heise Online einen DNSSEC-Day.

Das BSI hat zwischenzeitlich den Entwurf einer Technischen Richtlinie "Sicherer E-Mail-Transport" veröffentlicht, in der neben vertrauenswürdigen TLS-Zertifikaten für den Mail-Transport sowie "sicherer Kryptografie" auch DNSSEC und DANE/TLSA vorgeschrieben werden. Es ist davon auszugehen, dass dies bei einer zukünftig möglichen Zertifizierung dann auch gefordert wird.

Allgemeines

Der DNS-Dienst stammt aus den Anfangszeiten des Internets und ist deshalb nicht verschlüsselt oder signiert. So können Web-Nutzer beispielsweise auf vorgetäuschte Internetseiten (z.B. auf Bankportale) gelenkt werden. DNSSEC nun signiert die Nameserver-Einträge digital, eine Fälschung dieser Daten kann damit verhindert werden (über Cache Poisoning, vergleichbar mit dem ARP Cache Poisoning im LAN). Zudem steigert DNSSEC das Vertrauen ins Internet, indem es Benutzer vor der Umleitung zu betrügerischen Websites oder unerwünschten Adressen schützt. So können Man-In-the-Middle-Angriffe minimiert werden, aber auch DNS-basierende DDoS-Attacken[1] oder der Adress-Diebstahl bei IaaS-Systemen[2].

In Deutschland wurde DNSSEC am 31. Mai 2011 für die .de-Zone eingeführt. Die Schweiz hatte bereits ihre Top-Level-Domain (.ch) umgestellt. Für Österreich (.at-Domains) wurde DNSSEC am 29.02.2012 öffentlich aktiviert. Mittlerweile unterstützen einige Provider sowie auf Sicherheit spezialisierte Dienstleister DNSSEC und DANE. Die Domain der Bundesverwaltung (www.bund.de) verfügte als eine der ersten Seiten der Bundesverwaltung über DNSSEC und einen DANE/TLSA DNS-Record, bei den Ländern haben bisher nur Bayern und Brandenburg auf DNSSEC umgestellt. Im besonders kritischen Onlinebanking-Bereich wurden bisher fast keine Aktivitäten unternommen. Man vertraut, wie auch in anderen Bereichen, der etablierten SSL-Verschlüsselung und -zertifizierung, obwohl gerade in letzter Zeit sich hier die Sicherheitsprobleme häufen. Hinzu kommt, dass der Registrar / Provider für die Domain die Übermittlung der für DNSSEC notwendigen Daten unterstützen muss - ebenso die zuständigen Nameserver. Hier gibt es noch deutliches Nachholpotenzial bei vielen Providern.

Besonderen Schutz verspricht der Einsatz von DNSSEC in Zeiten des Cloud Computing beim Setzen von Verlinkungen. Wenn Web-Funktionalitäten in fremde Domänen ausgelagert werden, kann per DNSSEC die Verlinkung von den eigenen Web-Seiten auf die ausgelagerten Webseiten der fremden Domäne sicher gestaltet werden, um Link-Fälschungen technisch auszuschließen. Dazu muss der Einsatz von DNSSEC vom Outsourcing-Partner gefordert werden.

Auf DNSSEC können weitere Sicherheitsdienste aufbauen.


DANE

DANE (DNS-based Authentication of Named Entities) ist ein grundlegender auf DNSSEC aufbauender Dienst. Damit kann die Authentizität von Servern mit SSL-Kommunikation oder auch öffentlichen Schlüsseln bei Public key-Verfahren ohne extra Zertifizierungsstelle gewährleisten werden. Die Rolle der Vertrauensstelle nimmt dabei dann der DNS-Dienst ein, da diesem Dienst zur Internetkommunikation bei der Umsetzung der IP-Adresse ohnehin vertraut werden muss und hier bereits eine hierarchische Vertrauenskette über die DNS-Registrare besteht.

DANE/TLSA

Mit Hilfe des auf Basis des Internet-Standards RFC 6698 entwickelten DANE/TLSA lässt sich die SSL-Kommunikation von Mail- und Webservern sichern. Dazu trägt der DNS-Verwalter einen zusätzlichen Datensatz (TLSA-Record) ein, durch den die Authentizität der Mail- bzw. Webserver-Zertifikate validiert wird. Durch die DNS-Verankerung können dabei auch selbstsignierte Zertifikat eingesetzt werden, die man mit wenig Kenntnissen erzeugen kann. Der Umweg über Zertifizierungsstellen mit ihren hohen Kosten entfällt. Eine neue DANE-Testseite hilft beim technischen Aufsetzen [3]. Während immer mehr Betreiber die Mailserverkommunikation mit diesem Dienst absichern [4] und damit den Vorrang vor der Mailsicherung per SPF/DKIM/DMARC-Einträgen geben, ist bei Webservern diese Methode noch relativ ungebräuchlich. Das liegt daran, dass durch Zertifizierungsstellen signierte Webserverzertifikate weit verbreitet sind und die Prüfung per DANE/TLSA durch die Nutzer eine Zusatzsoftware (DNS-Resolver) voraussetzt. Allerdings haben Unternehmen wie z.B. VeriSign durchaus entsprechende Befürchtungen und womöglich auch aus diesem Grund ihre Zertifikatssparte bereits verkauft[5]. Diesen Schritt machten danach auch Symantec[6] und im Herbst 2017 der Zertifikatsgigant Commodo[7]. Die ins Gerede gekommene Zertifizierungsstelle StartCom stellt ab 2018 ebenfalls keine Zertifikate mehr aus [8]. Ein praktikabler Zwischenschritt der Webserver-Absicherung mit DNS-Verankerung wäre aber über das Certification Authority Authorization (CAA)-Konzept erreichbar.

DANE/SMIMEA

Bei DANE/SMIMEA werden die Hashs von S/MIME-Schlüsselzertifikaten auf den DNS-Server hinterlegt. Die Validierung erfolgt dann gegen den zur Signatur der ankommenden S/MIME-Mail genutzten öffentlichen Schlüssel. Ein entsprechender Internet-Standard ist seit 2015 in Arbeit (https://tools.ietf.org/html/draft-ietf-dane-smime-02), allerdings findet der aufkommende Standard aktuell noch keine produktive Anwendung, wie es z.B. bei DANE/TLSA bereits sehr früh während der Standardisierung der Fall war.

DANE/OPENPGPKEY

Auch das bekannte Verschlüsselungsprogramm PGP soll DNSSEC zur Schlüsselauthentifizierung und -propagierung nutzen können. Ein entsprechender Internet-Standard ist kurz vor der Fertigstellung[9][10]. Im Gegensatz zu DANE/SMIMEA werden aber hier ganze öffentliche PGP-Schlüssel im DNS deponiert.

Sonstiges

Möglich ist via DNSSEC / DANE auch die Publizierung von SSH-(verschlüsselter Dienst zur Fernsteuerung von Computern per Konsole) und VPN-Schlüsseln.


DNS over TLS / DNS over HTTPS

Während DNSSEC nur die Integrität von übertragenen DNS-Daten sicherstellen kann, verschlüsseln DNS over TLS (DoT) bzw. DNS over HTTPS (DoH) den Datenstrom und sollten so auch die Vertraulichkeit der DNS-Daten sicherstellen. Damit ergänzen sich diese Neuentwicklungen mit DNSSEC.

DNS over TLS

DNS over TLS (RFC 7858) ist zwar bereits im Internet standardisiert und nutzt (wie der Name schon sagt) zur Verschlüsselung TLS, verwendet aber den noch relativ unbekannten TCP-Port 853 und hat Nachteile im Performancebereich durch das Einpacken der Nutzdaten in die "Verschlüsselungshülle". Zudem muss der Dienst im Betriebssystem verankert sein, da die DNS-Auflösung normalerweise dort vorgenommen wird. So wird sich der Dienst erst mit der Zeit über neueren Betriebssystemen durchsetzen können (angekündigt für die Android-Version P und DNS-Resolver auf Linux-Basis).

Der Internetdienst Cloudflare (bekannt für die Abwehr von DDoS-Angriffen und Webhosting) bietet nun, neben der https-eigenen Verbindungsverschlüsselung zu Webseiten nun auch eine TLS-gesicherte DNS-Abfrage per Smartphone-App zu eigenen DNS-Servern an[11]. Dies weckt wegen der zentralen Verfahrensweise allerdings auch Überwachungsängste.

DNS over HTTPS

DNS over HTTPS verfolgt das gleiche Ziel auf Web-Ebene (per https), spart sich aber bei der DNS-Auflösung den Umweg über das Betriebssystem. Durch den Einsatz von Webserver-Resolver, die direkt mit den Browsern sprechen, wird der o.a. Performance-Nachteil bei "DNS over TLS" ausgeglichen. Allerdings ist es ein vornehmlich dezentraler Ansatz und das Einsatzgebiet nur auf die Web-Kommunikation zwischen Browser und Web-Server beschränkt. Die Internet-Standardisierung ist zwischenzeitlich aber abgeschlossen (RFC 8488).


Weblinks

Tools


Einzelnachweis

  1. "Google Public DNS FAQ" auf den Webseiten von Google abgerufen am 30.Mai.2016
  2. Beitrag in der c't 7/2018 "Adress-Diebstahl bei IaaS-Systemen" von Carsten Strotmann
  3. "Verschlüsselter Mail-Transport: Neue DANE-Testseite hilft beim Aufsetzen" in heise.de/Security vom 15.Januar.2015
  4. "Cloudmark kündigt überraschend DANE/TLSA für Mail-Sicherheit an " in heise.de/Security vom 04.April.2017
  5. "DANE disruptiv: Authentifizierte OpenPGP-Schlüssel im DNS" in heise.de/Security vom 28.August.2014
  6. "Nachspiel einer fatalen Panne: Symantec verkauft Zertifikatssparte an DigiCert" in heise.de/Security vom 04.August.2017
  7. "Zertifikatsgigant Comodo verkauft seine TLS-Sparte" in heise.de/Security vom 02.November.2017
  8. "Zertifizierungsstelle StartCom: Eigentümer zieht den Stecker" in heise.de/Security vom 17.November.2017
  9. "DANE disruptiv: Authentifizierte OpenPGP-Schlüssel im DNS" in heise.de/Security vom 28.August.2014
  10. "Mail-Verschlüsselung: Mail.de bringt automatisierte PGP-Schlüsselverwaltung" in heise.de/Security vom 10.März.2015
  11. "Smartphone-Sicherheit: Cloudflare beschleunigt und verschlüsselt DNS-Verkehr" in heise.de/Security vom 12.November.2018


Siehe auch



Diese Seite wurde zuletzt am 13. November 2018 um 11:44 Uhr von Oliver Wege geändert. Basierend auf der Arbeit von Ralf Schulze und Christopher Hoth.

Anzeigen