Norbert Pohlmann (Institut für Internet-Sicherheit): „DNS over HTTPS (DoH) – Schutz der Privatsphäre und Sicherheit auf Protokollebene“, IT-Sicherheit – Mittelstandsmagazin für Informationssicherheit und Datenschutz , DATAKONTEXT-Fachverlag, 6/2020
DNS over HTTPS (DoH) 2018 wurde das „DNS over HTTPS (DoH)“-Protokoll vorgestellt. Der Vorteil von DoH besteht darin, dass sich die Manipulation von DNS-Anfragen für missbräuchliche Zwecke verhindern lässt. Aus diesem Grund haben Apple, Google, Microsoft und weitere Internetfirmen DoH bereits eingebunden oder haben vor dies zu tun. Die Vorteile von DoH sind offensichtlich: Anfragen an DNS-Server die von Browsern, E-Mail-Komponenten, SIP-Client usw. erfolgen, werden in der Regel unverschlüsselt in der Kommunikationsinfrastruktur durchgeführt. Das damit einhergehende Sicherheitsrisiko bezüglich Privatheit und Cyber-Sicherheit könnte mit dem DoH-Protokoll in einigen Netzwerkumgebungen verringert werden. Darüber kann zum Beispiel die Gefahr einer Manipulation von DNS-Anfragen mit Hilfe eines Man-in-the-Middle (MITM) Angriffes in nicht vertrauenswürdigen Netzwerkumgebungen deutlich reduziert werden. Die Verschlüsselung von DNS-Anfragen ist derzeit die einzig brauchbare Cyber-Sicherheitslösung , die zur Bekämpfung solcher Angriffe zur Verfügung steht. DoH bringt grundsätzlich Verbesserungen für den Schutz der Nutzer, birgt aber auch neue Risiken. Auf der einen Seite hat die DNS-Verschlüsselung den Vorteil, dass die Privatsphäre und Sicherheit der Nutzer – insbesondere in unsicheren Umgebungen – erhöht wird. Auf der anderen Seite lassen sich jedoch durch die DNS-Verschlüsselung typische und hilfreiche Filtertechniken umgehen sowie neue Möglichkeiten der Analyse des Nutzerverhaltens in den notwendigen DoH-Servern umsetzen. Diese Punkte sollten bei der Einführung von DoH-Diensten berücksichtigt werden. Traditionelles Domain Name System (DNS) Server im Internet, auf denen Web-Anwendungen, E-Mail-Gateways, Firewalls usw. laufen, werden über die IP-Adresse mit Hilfe des Internet-Protokolls angesprochen. Da die IP-Adressen für einen Menschen schwer zu merken sind, wird im Internet mit Domänen-Namen gearbeitet, die ein IT-System (Server, IoT-Geräte, …) beschreiben und einfach zu merken sind. Das Domain Name System (DNS) wird hauptsächlich benutzt, um Domänen-Namen auf IP-Adressen abzubilden. Das Konzept von DNS ist einerseits ein hierarchisches domänen-orientiertes Namenssystem und anderseits ein verteiltes Dateisystem (Ressourcen Records) zur Realisierung dieses Namenssystems. In den Ressourcen Records stehen neben weiteren hilfreichen Informationen die IP-Adresse, die zu einem Domänen-Namen gehört (Web-Server, Mail-Server …). Das Domain Name System arbeitet im Rahmen einer Art Client/Server-Beziehung mit einer Infrastruktur von Name-Server zusammen. In einem ersten Schritt wird das Betriebssystem des suchenden IT-Systems (Notebook, Smartphone usw.) durch die Anwendung, z.B. den Browser initiiert, gefragt, welcher DNS-Resolver – der typischerweise im Heim- oder Office-Router oder in einem öffentlichen Hotspot integriert ist – verwendet werden soll. Dieser DNS-Resolver ist dafür verantwortlich, die IP-Adresse zu finden, die passend zum Domänen-Namen ist, die ein Nutzer in seinem IT-System (Notebook, Smartphone, …) im Browser eingegeben hat. Falls der DNS-Resolver im Router diese Information noch von einem früheren Besuch gespeichert hat, kann er diese sofort zurückgeben. Ist dies nicht der Fall, leitet der DNS-Resolver im Router die Anfrage an den DNS-Resolver (Name Server) des ISPs oder des Unternehmens weiter. Wenn er diese Anfrage erhält, wird überprüft, ob die passende IP-Adresse zum Domänen-Namen in seinen Cache gespeichert ist. Falls ja, sendet er das Ergebnis sofort zurück und falls nicht, startet er eine rekursive Auflösung. Der DNS-Resolver (Name-Server) hat also die Aufgabe, solange nach einem passenden Name-Server für die entsprechende Domäne zu suchen, bis er die Anfrage beantworten kann. Der Algorithmus für die Abfrage, den ein DNS-Resolver nicht selbst auflösen kann, ist, dass sich der Name-Server sofort an einen der Root-Server wendet und dieser die Adresse (IP-Adresse und/oder Domänenname) des nächsten Name-Servers zurückgibt (z.B. eine entsprechenden TLD Name Server, im Beispiel der Abbildung „de“), der bei dieser Abfrage weiterhelfen kann. Dies geschieht so lange, bis der Name-Server gefunden ist, in dessen Domäne der Name in den Ressourcen Records enthalten ist, und dieser die passende IP-Adresse zurückgeben kann. In dem Beispiel der Abbildung, steht die IP-Adresse zum Web-Server der Domäne example.de im entsprechenden Ressourcen Records des Name Servers, der die Domäne example.de verwaltet. Dieser gibt dann die IP-Adresse des Web-Servers zurück, die zum Domänen-Namen passt.
DNS über HTTPS (DoH) Das DoH-Protokoll ändert im Prinzip nur den Kommunikationsweg zum DNS-Resolver (Name Server). Statt das unverschlüsselte DNS-Protokolls zum UDP-Port 53 zu verwenden, wird die DNS-Antrage jetzt über eine TLS -gesicherte und verschlüsselte Kommunikation (HTTPS) zu einem Web-Server (DoH-Server) zum TCP-Port 443 gesendet (Abb. 2) /Pohl2019/. Die Anwendung, zum Beispiel der Browser, E-Mail- oder SIP-Client kann dann – unabhängig von der im Betriebssystem beschriebenen und gewünschten DNS-Infrastruktur – den DNS-Dienst über einen Web-Server-Dienst (DoH-Server) nutzen. Diese Vorgehensweise hat einige Vorteile im Bereich der Absicherung der öffentlichen Netzumgebung, kann potenziell aber auch Probleme verursachen, da die Anwendungen zu verschiedenen DNS-Resolvern die Auflösung anfragen kann, unabhängig von der traditionellen DNS-Infrastruktur. Dies kann zu unterschiedlichen Geschwindigkeiten, Verfügbarkeiten und Ergebnissen führen.
…
Siehe auch: eco – Discussion Paper zum Thema DoH
kostenlos downloaden |