slider

DNS over HTTPS (DoH) - Prof. Dr. Norbert Pohlmann

DNS over HTTPS (DoH)

DNS over HTTPS (DoH) Schutz des DNS-Dienstes

Was ist DNS over HTTPS (DoH)?


Die Idee von DNS over HTTPS (DoH) ist, dass sich die Manipulation von DNS-Anfragen für missbräuchliche Zwecke verhindern lässt.
DNS-Anfrage an den DNS-Server die von Browsern, E-Mail-Komponenten, SIP-Client usw. erfolgen, werden in der Regel unverschlüsselt in der Kommunikationsinfrastruktur durchgeführt.
Das damit einhergehende Sicherheitsrisiko bezüglich Privatheit und IT-Sicherheit könnte mit dem DoH-Protokoll insbesondere bei der Nutzung von öffentlichen Netzen verringert werden, weil die DNS-Anfrage aus der Anwendung zu einem DoH-Dienst, bei dem die Kommunikation verschlüsselt und integritätsgesichert über HTTPS realisiert ist und damit einige Angriffe nicht mehr umgesetzt werden können.


Traditionelles Domain Name System (DNS)

Das Domain Name System (DNS) wird hauptsächlich benutzt, um Domänen-Namen auf IP-Adressen abzubilden.
Bei der Nutzung eines traditionelles Domain Name System (DNS) wird in einem ersten Schritt das Betriebssystem des suchenden IT-Systems (Notebook, Smartphone usw.) durch die Anwendung, z.B. den Browser initiiert, gefragt, welcher DNS-Resolver – der typischerweise im Heim- oder Office-Router oder in einem öffentlichen Hotspot integriert ist – verwendet werden soll.
Dieser DNS-Resolver ist dafür verantwortlich, die IP-Adresse zu finden, die passend zum Domänen-Namen ist, die ein Nutzer in seinem IT-System (Notebook, Smartphone, …) im Browser eingegeben hat. Falls der DNS-Resolver im Router diese Information noch von einem früheren Besuch gespeichert hat, kann er diese sofort zurückgeben.
Ist dies nicht der Fall, leitet der DNS-Resolver im Router die Anfrage an den DNS-Resolver (Name Server) des ISPs oder des Unternehmens weiter. Wenn er diese Anfrage erhält, wird überprüft, ob die passende IP-Adresse zum Domänen-Namen in seinen Cache gespeichert ist. Falls ja, sendet er das Ergebnis sofort zurück und falls nicht, startet er eine rekursive Auflösung. Der DNS-Resolver (Name-Server) hat dann die Aufgabe, solange nach einem passenden Name-Server für die entsprechende Domäne zu suchen, bis er die Anfrage beantworten kann.
Im  Fall der traditionellen DNS-Anfrage kann ein Angreifer prinzipiell die DNS-Kommunikation im Klartext mitlesen und manipulieren.

DNS over HTTPS (DoH) im Vergleigleich traditionelles Domain Name System (DNS) als Architekturbild
Abbildung: Traditionelles Domain Name System (DNS) – © Copyright-Vermerk



DNS über HTTPS

Das DoH-Protokoll ändert im Prinzip nur den Kommunikationsweg zum DNS-Resolver (Name Server). Statt das unverschlüsselte DNS-Protokolls zum UDP-Port 53 zu verwenden, wird die DNS-Antrage jetzt über eine TLS verschlüsselt und integritätsgesichert Kommunikation (HTTPS) zu einem Web-Server (DoH-Server) zum TCP-Port 443 gesendet. Die Anwendung, zum Beispiel der Browser, E-Mail- oder SIP-Client kann dann – unabhängig von der im Betriebssystem beschriebenen und gewünschten DNS-Infrastruktur – den DNS-Dienst über einen Web-Server-Dienst (DoH-Server) nutzen.

DNS over HTTPS (DoH) als Architekturbild
Abbildung: DNS over HTTPS (DoH) – © Copyright-Vermerk


Damit DoH bringt grundsätzlich Verbesserungen für den Schutz der Nutzer, birgt aber auch neue Risiken . Auf der einen Seite hat die DNS-Verschlüsselung den Vorteil, dass die Privatsphäre und Cyber-Sicherheit der Nutzer – insbesondere in unsicheren Umgebungen – erhöht wird. Auf der anderen Seite lassen sich jedoch durch die DNS-Verschlüsselung typische und hilfreiche Filtertechniken umgehen sowie neue Möglichkeiten der Analyse des Nutzerverhaltens in den notwendigen DoH-Servern umsetzen. Diese Punkte sollten bei der Einführung von DoH-Diensten berücksichtigt werden.

Mit der Einführung von DoH sind einige recht komplexe Fragen – sowohl rechtlicher als auch technischer Natur – verbunden. Diese Fragestellungen von DoH werden in einem englischsprachiges Diskussionspapier, das von Mitgliedern des Verbands der Internetwirtschaft (eco) verfasst wurde, behandelt. Das Papier enthält insgesamt neben Empfehlungen für die Umsetzung und den Betrieb auch Hintergrundinformationen und Erläuterungen für nicht-technische Leser sowie Handlungsempfehlungen, um DoH datenschutzkonform und nutzerfreundlich einzusetzen.

DNS over HTTPS (DoH) Schutz des DNS-Dienstes
Abbildung: DNS over HTTPS – © Copyright-Vermerk



Weitere Informationen zum Begriff “DNS over HTTPS (DoH)”:



DNS over HTTPS (DoH) – Schutz der Privatsphäre und Sicherheit auf Protokollebene

Von überall her – Internetdienste vor DDoS-Angriffen schützen

IT-Sicherheit konsequent und effizient umsetzen

Vertrauen – ein elementarer Aspekt der digitalen Zukunft

Mit Vertrauenswürdigkeit in eine sichere Zukunft

Identity Provider zur Verifikation der vertrauenswürdigen digitalen Identität



Lehrbuch Cyber-Sicherheit

Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download



Vorlesungen zum Lehrbuch Cyber-Sicherheit



TeleTrusT IT-Sicherheitsagenda 2029 – IT-Sicherheit in der Digitalisierung

Security: Sich an den Symptomen abarbeiten – oder es doch einmal mit dem Grundkonstrukt versuchen?

Self-Sovereign Identity als Treiber einer dezentralen Revolution

Künstliche Intelligenz (KI) und Cyber-Sicherheit



Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

Marktplatz IT-Sicherheit: IT-Notfall

Marktplatz IT-Sicherheit: IT-Sicherheitstools

Marktplatz IT-Sicherheit: Selbstlernangebot

Vertrauenswürdigkeits-Plattform


Zurück zur Übersicht




Summary
DNS over HTTPS (DoH)
Article Name
DNS over HTTPS (DoH)
Description
Bei DNS over HTTPS (DoH) wird das DNS-Protokoll statt unverschlüsselte über den UDP-Port 53 über eine TLS verschlüsselte und integritätsgesicherte Kommunikation (HTTPS) zu einem Web-Server (DoH-Server) zum TCP-Port 443 umgesetzt. Dadurch werden Manipulationen verhindert.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
DNS over HTTPS (DoH) Schutz des DNS-Dienstes
DNS over HTTPS (DoH) Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten