DNS über HTTPS

Gut aufgelöst

Leider lässt das Domain Name System im Bereich Sicherheit viele Wünsche offen. Mit DNS over HTTPS steht seit Oktober 2018 ein neuer IETF-Standard zur Verfügung, der einige der bekannten Schwachstellen beheben soll. Unser Open-Source-Tipp schaut sich DNS over HTTPS etwas näher an.
Wir starten das neue Jahr mit dem Schwerpunkt 'Netzwerke sicher betreiben'. Während die Netzwerkgrenzen zusehends verschwimmen, gehen Angreifer immer gezielter ... (mehr)

Mit DNS­SEC sollen viele der bekannten Sicherheitsprobleme im DNS-Protokoll behoben werden, allerdings kommt DNS­SEC nicht so richtig in Fahrt und wird praktisch eher selten eingesetzt, was nicht zuletzt der Komplexität dieser DNS-Erweiterung geschuldet ist. Nehmen wir zum Beispiel einen Endanwender, so wird eine rekursive DNS-Anfrage zumeist beim DNS-Resolver des eigenen Internet Service Providers (ISP) gestellt, da der Browser natürlich von selbst nicht weiß, wie die IP-Adresse einer bestimmten Webseite lautet.

Es wird davon ausgegangen, dass die Information nicht bereits lokal oder beim ISP in einem Cache gespeichert ist. Der ISP kümmert sich dann um die Beantwortung der DNS-Anfrage und leitet diese über verschiedene andere DNS-Server weiter, bis die Anfrage bei dem Server ankommt, der in der eigenen DNS-Zonendatei über einen entsprechenden Eintrag verfügt, um die Anfrage beantworten zu können. Die Antwort wird dann an den anfragenden DNS-Server zurückgeliefert wo sie für einen bestimmten Zeitraum für weitere Anfragen in einem Cache vorgehalten wird und auch an den anfragenden Client geschickt wird.

Listing 1 zeigt ein stark vereinfachtes Beispiel, wie eine DNS-Anfrage schließlich beim zuständigen DNS-Server für eine bestimmte Domäne landet. Da die Anfragen im Klartext beim DNS-Resolver ankommen, kann er diese Informationen natürlich loggen und weiterverwenden. Ob die Informationen an interessierte Kunden verkauft oder einfach verworfen werden, bleibt dem Betreiber des DNS-Resolvers überlassen. Kommt beispielsweise der DNS-Resolver von Google (8.8.8.8 und 8.8.4.4) zum Einsatz, ist naheliegend, was mit den Informationen passiert [1]. Auch ist es wünschenswert, dass die DNS-Anfrage selbst verschlüsselt ist, sodass nicht jeder sehen kann, welche Anfrage gerade gestellt wurde. Dies ist auch deshalb wichtig, weil der DNS-Resolver die Anfrage, inklusive der IP-Adresse, von der diese ursprünglich kommt, unter Umständen an

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Mehr zum Thema

DNS-Namensauflösung über HTTPS

Während wir inzwischen auf die Verschlüsselung unserer Webinhalte per HTTPS achten, läuft die zugrundeliegende Namensauflösung oft noch ungeschützt ab. DNS-over-HTTPS ist eine der jüngeren Entwicklungen, um die Vertraulichkeit von DNS-Anfragen zu gewährleisten. Der Security-Tipp in diesem Monat beleuchtet die Probleme des klassischen DNS-Protokolls und diskutiert, ob DNS-over-HTTPS die Lösung für Ihr Netzwerk sein kann.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022