DNSSec und DANE – wozu braucht man das eigentlich?

DNSSec und DANE – wozu braucht man das eigentlich?

Immer wieder hört man von Sicherheitsproblemen bei DNS im Internet. Aber wo genau sind die Probleme? Gibt es in diesem Zusammenhang echte Bedrohungen oder ist das alles nur Theorie? Zur Beantwortung dieser Fragen braucht es ein wenig technischen Background. Aber keine Angst, es ist wirklich leicht zu verstehen!

Rufen Sie mit dem Browser eine sichere Webseite wie z. B. https://www.genua.de auf, ergibt sich folgender Ablauf: Per Domain Name System (DNS) wird eine IP-Adresse zur Domain genua.de nachgefragt. Dann wird eine Verbindung zu dieser IP-Adresse aufgebaut. Da eine Webseite mit HTTPS angefordert wurde (also verschlüsselt), erhält der Client ein TLS-Zertifikat. Anschließend prüft er, ob dieses Zertifikat vertrauenswürdig ist. Schließlich wird zwischen Client und Server ein Kryptoschlüssel ausgehandelt. Fertig, die verschlüsselten Daten fließen, die Webseite wird im Browser dargestellt.

Beim Surfen lauern Sicherheitslücken

Das Verschlüsselungsprotokoll TLS ist im Detail recht komplex und hat diverse Sicherheitsprobleme, die wir bereits beleuchtet hatten. Im oben dargestellten Ablauf weist bereits der erste simple Schritt ein Problem auf: Wer garantiert denn, dass ich als Antwort auf meine DNS-Anfrage eine korrekte Antwort bekomme? Der Client hat eine Liste der DNS-Rootserver, welche die Nameserver der Zone "de" liefern und diese wiederum liefern die Nameserver, welche genua.de zu einer IP-Adresse auflösen können. Man muss zwar allen Instanzen in der Kette vertrauen, aber sonst scheint das System erst einmal ausreichend sicher zu sein. Aber leider ist es das nicht, denn es existieren zahlreiche Probleme.

Freie WLAN-Hotspots sind praktisch und beliebt – doch blind vertrauen sollte man ihnen nicht

Ein Beispiel: In einem öffentlichen WLAN kann der Betreiber den gesamten Web Traffic sehen und auch manipulieren. Da DNS keine weiteren Sicherheitsvorkehrungen bietet, können DNS-Antworten unbemerkt verändert werden. Wer an einem belebten Ort einen Hotspot mit einem Namen wie "Free_Wifi" anbietet, wird nicht lange warten müssen, bis sich die ersten Clients verbinden. Ein bösartiger Betreiber kann den durchgeleiteten Datenverkehr und damit z. B. Passwörter oder vertrauliche Informationen mitlesen. Er kann aber auch die Daten verändern und so die Clients mit Malware infizieren.

Gefahren mit DNSSec und DANE eindämmen

Die Lösung dieser Probleme existiert schon lange und heißt DNSSec. Bei DNSSec gibt es, ähnlich wie bei TLS, eine Kette digitaler Signaturen.

Der Client verfügt über die öffentlich bekannten kryptographischen Schlüssel der DNS Root-Server. Von den Root-Servern erhält er die Information, welche Server für die Zone "de" zuständig sind und welcher öffentliche Schlüssel für diese gilt. Diese Informationen kann er mit seinem Schlüssel überprüfen.

Die "de"-Server fragt man nun, welcher Server für genua.de zuständig ist und welcher Schlüssel für diesen Server gilt. Von diesem Server erhält man schließlich die gesuchte IP-Adresse. Man hat durch die kryptographischen Prüfungen die Sicherheit, die richtigen Server gefragt und die richtige Antwort erhalten zu haben. So wird sichergestellt, dass DNS-Antworten unverfälscht sind.

Weiter oben ging es neben DNS auch um TLS. Auch hier gilt: Wenn das System so funktioniert, wie vorgesehen, ist es sicher. Wie aber bereits angemerkt, gibt es auch hier diverse Probleme: Beispielsweise darf grundsätzlich jede Zertifizierungsstelle für digitale Zertifikate (CA) jedes Zertifikat signieren. Wenn sich also jemand selbst ein Zertifikat für genua.de ausstellt und eine CA findet, die es signiert, dann besitzt er ein gültiges Zertifikat, ohne dass genua davon etwas weiß. Er kann sich nun anderen gegenüber als genua ausgeben.

Durch DNSSec hat man ein System, mit dem man auch dieses Problem lösen kann. Mit DANE, oder mit vollem Namen "DNS-based authentication of named entities", kann man eindeutig herausbekommen, welches Zertifikat zu einer Domain gehört. Dafür kann man prinzipiell sogar ohne eine CA auskommen. Dazu wird ein Eintrag im DNS gemacht, der eine Prüfsumme des richtigen Zertifikats enthält. Da dieser Eintrag durch DNSSec abgesichert ist, kann er nicht gefälscht werden. Durch die Prüfsumme wird nur noch das richtige Zertifikat akzeptiert.

Um nochmal den böswilligen Anbieter des WLANs zu bemühen: Er möchte, dass der Client sich mit von ihm kontrollierten Servern verbindet. Mit DNSSec konnte er nicht verhindern, dass der Client auf seine DNS-Anfrage die richtige Antwort bekommt und sich mit seinem eigentlichen Ziel verbindet. Aber in dem Moment, in dem sich der Client mit seinem Ziel verbindet, kann er die Verbindung als Man-in-the-Middle übernehmen und manipulieren. Er kann sein eigenes falsches Zertifikat anbieten und so den verschlüsselten Datenverkehr mitlesen und sogar manipulieren. Er kann dann den Client z. B. durch eine Weiterleitung auf seine Angriffsserver lenken.

DNSSec und DANE für mehr Sicherheit

Dank des Zusammenspiels von DNSSec und DANE ist auch damit Schluss: Der Client weiß genau, welches Zertifikat er erwartet und kann davon ausgehen, dass Verschlüsselung zum Einsatz kommt. Wird ihm ein abweichendes Zertifikat präsentiert oder eine unverschlüsselte Kommunikation versucht, liegt offensichtlich eine unsichere Verbindung vor.

genugate HardwareDie genugate Version 8.6 enthält Support für DANE

Insbesondere für Email war bisher immer die Zustellung der Mail absolute Priorität. Bei Fehlern beim Verschlüsseln wurde die Verbindung ohne Kryptografie erneut versucht. Es gab zu oft Probleme mit TLS und Zertifikaten. Das Sicherheitsbewusstsein war kaum ausgeprägt.

Um das Sicherheitsniveau hier endlich zu erhöhen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einsatz von DNSSec und DANE für Mail. Das zeigt bereits Wirkung: Viele deutsche Mailprovider nutzen inzwischen DANE und DNSSec.

Die High Resistance Firewall genugate unterstützt seit Jahren DNSSec. Seit der aktuellen Version 8.6 ist auch Support für DANE enthalten. Wir kümmern uns um die schwierigen Themen, damit Sie bestmöglich geschützt sind!

 

Bildquellen: © peshkova, georgejmclittle  - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.