Das DNS als zentraler Baustein des Internets steht in der Wertschöpfungskette ganz am Anfang und ist besonderen Bedrohungen ausgesetzt. Daher kamen am 22. Juni 2022 führende Köpfe zum Security Expert Talk zusammen, um Schutzmöglichkeiten für das DNS zu besprechen.
Im ersten Vortrag ging Herr Sven-Holger Wabnitz, Senior Advisor bei DomiNIC, auf die grundlegenden Bausteine des DNS ein und erklärt anschaulich ihre Arbeitsweise. Das DNS, quasi das Telefonbuch des Internet, ist ein redundanter, verteilter hierarchischer Verzeichnisdienst, der den Namensraum des Internets verwaltet. In diesem Raum kommen unterschiedliche Server zum Einsatz:
- DNS Root Server sind als letzte Instanz über den Name Servern für die Auflösung der Top Level Domains zuständig. Sie sind damit die zentrale Schnittstelle zwischen Domains/Content und den Benutzern im Internet.
- Autorative Name Server geben verbindliche Antworten auf Namensanfragen innerhalb der verwalteten Zone an die anfragenden User. Sind Nameserver nicht für eine festgelegte Zone zuständig, so bezeichnet man sie als „nicht-autorative Mailserver“.
- Resolver wiederum bilden die Schnittstelle zwischen Anwendungen und Nameservern. Sie sind lokal auf den Routern bzw. Rechnern der User installiert und übernehmen die DNS-Anfragen der einzelnen Programme.
Die Daten im DNS liegen unverschlüsselt vor und werden meist auch unverschlüsselt übertragen. Aufgrund der Funktionsweise des DNS kann jeder diese Daten abrufen – Herr Wabnitz stellt hier die berechtigte Frage nach Sicherheitsmechanismen im DNS. Wer kann solche Daten schreiben? Gibt es ein Rechte- oder Rollen-Konzept? Wie steht es um die Rückverfolgbarkeit von Änderungen?
Diese Strategien sichern die Integrität des DNS
Diesen Gedankengang greift Patrick Ben Kötter von der Sys4 AG auf und verlangt eine grundlegende Modernisierung des DNS. Als das DNS erfunden wurde, wurde zunächst ein einfacher Service gesucht, der Namen im Internet auflösen kann und jedem Namen eine IP-Adresse zuordnet. Aus diesem ist der zweitwichtigste Dienst im Internet erwachsen, nach dem IP-Protokoll. Über die Jahre entwickelte sich das DNS von einer reinen Namensauflösung zu einem identitätsstiftenden Dienst. Im DNS werden Zertifikate hinterlegt, das DNS schafft Vertrauen über Allow- und Deny-Listen – aber es ist in vielen Fällen immer noch nicht wirksam abgesichert. Hier bricht Herr Koetter eine Lanze für die Sicherstellung der Integrität der vom DNS übertragenen Daten. DNSSEC ist bereits in einigen europäischen Ländern eine Erfolgsstory, in diese Richtung sollte sich auch die deutsche Internetwirtschaft stärker bewegen. Alle im Internet Wirtschaft treibenden Unternehmen und Personen brauchen ein Netz, indem sie sich verlässlich und vertrauensvoll bewegen können.
Mit ihrem Vortrag zu möglichen Angriffen gegen das DNS beschließt Prof. Haya Shulman den Expert Talk. Cache Poisoning im DNS ist die Hauptbedrohung im Internet. Hier versuchen Kriminelle, einem DNS-Resolver gefälschte Antworten zu geben, indem sie die Nachricht eines DNS Nameservers an den Resolver durch eine eigene Antwort fälschen. Wir vertrauen den DNS-Antworten, die wir von unserem DNS Resolver bekommen. Allerdings zeigt Frau Prof. Dr. Shulman in Ihrem Vortrag, dass Resolver angreifbar sind, sogar wenn DNSSEC eingesetzt wird. 43 % der von ihrer Forschungsgruppe untersuchten Router sind anfällig für verschiedene Angriffe.
Auf die Fachvorträge folgte eine angeregte Diskussion über das DNS und seine Perspektiven für Entwicklung und Sicherheit in der Zukunft.
Unter Webinar+: Security Expert Talk: DNS als zentraler Punkt aller Sicherheit – eco finden Sie als eco Mitglied die Aufzeichnung des Security Expert Talks „DNS als zentraler Punkt aller Sicherheit“, die Präsentationsfolien von Frau Prof. Dr. Shulman können Sie Sich unter https://www.eco.de/download/198584/ downloaden.
Eine Studie des BSI widmet sich dem Thema „IP Fragmentierung und Maßnahmen gegen Cache-Poisoning“. Diese können Sie unter https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/Frag-DNS/frag-dns-studie.html einsehen.
Unter der Webseite https://xdi-attack.net kann man seinen Resolver auf verschiedene Vulnerabilitäten testen.
Weitere Informationen des BSI unter https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/Frag-DNS/frag-dns-studie.html
