Sicherheit und Erweiterungen

In dieser interaktiven Lerneinheit lernst du die wichtigsten Sicherheitsbedrohungen für DNS-Systeme kennen und verstehst typische Angriffsmuster. Du erfährst, wie du DNS-Server durch moderne Sicherheitserweiterungen und Best Practices effektiv schützen kannst und welche praktischen Maßnahmen sich im Arbeitsalltag bewährt haben.

Einführung

Stell dir vor, du gibst eine Website-Adresse in deinen Browser ein – und landest auf einer manipulierten Seite, obwohl du alles richtig gemacht hast. Genau das kann passieren, wenn DNS-Daten gefälscht werden. DNS ist das Telefonbuch des Internets, doch genau wie ein manipuliertes Telefonbuch kann es zur Falle werden.

In dieser Lerneinheit lernst du zwei typische Bedrohungen für DNS kennen – Cache Poisoning und DNS Amplification – und bekommst einen Überblick, wie grundlegende Schutzmechanismen wie DNSSEC und gezielte Netzwerkkonfiguration zur Absicherung und Erweiterung des DNS beitragen können.

Lernziele

Nach der Lerneinheit kannst du:

  1. typische DNS-Angriffe wie Cache Poisoning und DNS Amplification erkennen und ihre Mechanismen erklären,
  2. DNSSEC in seiner Funktionsweise beschreiben und dessen Nutzen zur Integritätssicherung beurteilen,
  3. moderne Erweiterungen wie DANE, DoH und DoT funktional einordnen und voneinander abgrenzen,
  4. konkrete Maßnahmen zur Absicherung und Verschlüsselung von DNS-Kommunikation benennen und bewerten.

Überleitung

Wenn du eine Adresse im Browser eingibst, vertraust du darauf, dass dein Gerät mit der echten Website verbunden wird. Doch dieses Vertrauen kann ausgenutzt werden. DNS-Angriffe wie Cache Poisoning unterbrechen genau diesen Prozess – sie schleusen manipulierte Antworten ein und lenken dich unbemerkt auf falsche Ziele.

Schauen wir uns deshalb zuerst an, wie Cache Poisoning funktioniert – und warum es so effektiv ist.

Cache Poisoning – Wenn DNS-Antworten zur Falle werden

Cache Poisoning (auch DNS Spoofing genannt) bezeichnet einen Angriff, bei dem ein Angreifer gefälschte DNS-Antworten an einen Resolver schickt, um dessen Cache zu manipulieren. Ziel ist es, künftige Anfragen auf eine falsche IP-Adresse umzuleiten – etwa zu einer Phishing-Seite.

So läuft ein Angriff ab:

  1. Ein DNS-Resolver fragt eine Domain an.
  2. Der Angreifer schickt massenhaft gefälschte Antworten mit zufälligen Transaktions-IDs.
  3. Trifft eine Antwort die richtige ID, akzeptiert der Resolver sie – und speichert sie im Cache.
  4. Jede weitere Anfrage liefert die manipulierte Antwort aus dem Cache.

Cache Poisoning – Wenn DNS-Antworten zur Falle werden

Beispiel: Kaminsky-Bug

Dieser Angriff wurde 2008 bekannt. Durch gezielte Manipulation und das Ausnutzen fehlender Authentifizierung konnten öffentliche DNS-Resolver großflächig vergiftet werden. Das zeigte: DNS braucht Schutzmechanismen.

Schutzmaßnahmen gegen Cache Poisoning

  • DNSSEC nutzen, um Antworten digital zu signieren.
  • Zufällige Ports und unvorhersehbare Transaktions-IDs einsetzen, um das Erraten zu erschweren.
  • Nur vertrauenswürdige Resolver nutzen – idealerweise lokal und geschützt.

DNS Amplification – Wenn kleine Anfragen große Wirkung haben

DNS Amplification ist eine Technik für DDoS-Angriffe. Dabei missbrauchen Angreifer offene DNS-Server, um mit wenig Aufwand großen Schaden anzurichten. Die Idee: Eine kleine Anfrage löst eine sehr große Antwort aus – an ein gefälschtes Ziel.

So funktioniert der Angriff:

  • Der Angreifer sendet DNS-Anfragen mit gefälschter Absenderadresse (die des Opfers).
  • Die DNS-Server antworten mit großen Datenmengen an das Opfer.
  • Durch viele parallele Anfragen wird die Bandbreite des Opfers überlastet.

Schutzmaßnahmen gegen DNS Amplification

  • Offene Resolver schließen oder nur für bekannte IPs freigeben.
  • Rate Limiting aktivieren, um Massenzugriffe zu drosseln.
  • Monitoring einsetzen, um ungewöhnlichen Traffic frühzeitig zu erkennen.

DNSSEC – Digitale Signaturen für DNS-Antworten

DNSSEC (Domain Name System Security Extensions) erweitert DNS um einen wichtigen Aspekt: Integrität. Es stellt sicher, dass DNS-Antworten wirklich vom autoritativen Server stammen – und nicht manipuliert wurden.

Die zentralen Komponenten:

  • Zonen-Signaturschlüssel (ZSK): Signiert die Records einer Zone.
  • Schlüssel-Signaturschlüssel (KSK): Signiert den DNSKEY-Eintrag der Zone.
  • DS-Record: Wird in der übergeordneten Zone gespeichert und ermöglicht eine Kette des Vertrauens.

So prüft ein Resolver eine DNSSEC-Antwort:

  1. Er ruft den DNS-Eintrag samt Signatur ab.
  2. Er lädt den öffentlichen Schlüssel der Zone (DNSKEY).
  3. Er prüft die Signatur gegen den Eintrag.
  4. Die Vertrauenskette wird bis zur Root-Zone verfolgt (Chain of Trust).

DNSSEC schützt die Datenintegrität, nicht die Verfügbarkeit. Gegen DDoS-Angriffe wie Amplification hilft es nicht direkt – dafür sind andere Maßnahmen notwendig.

⏳ Lädt Dataview-Inhalt...

Überleitung

Nach den grundlegenden Bedrohungen wie Cache Poisoning und DNS Amplification stellt sich die Frage: Wie können wir DNS nicht nur absichern, sondern auch modernisieren und an neue Anforderungen wie Datenschutz und Integrität anpassen?

Genau hier setzen DANE, DNS over HTTPS (DoH) und DNS over TLS (DoT) an. In diesem Teil lernst du, wie diese Technologien funktionieren und wie du sie konkret einsetzen kannst, um DNS-Kommunikation sicherer zu gestalten.

DANE (DNS-based Authentication of Named Entities)

Definition: DANE nutzt DNSSEC, um TLS-Zertifikate (Transport Layer Security) oder deren Hashwerte im DNS zu veröffentlichen und zu verifizieren.

TLSA-Record

Ein TLSA-Record enthält:

  • Port: TCP-Port des Dienstes (z. B. 443 für HTTPS).
  • Protokoll: Übertragungsprotokoll (z. B. TCP).
  • Host: Domainname des Dienstes.
  • Zertifikatdaten: Fingerabdruck oder vollständiges Zertifikat.

Beispiel:

_443._tcp.www.example.com. IN TLSA 3 1 1 d2abde240d7cd3ee6b4b28c54df034b9...

DANE (DNS-based Authentication of Named Entities)

Sicherheitsvorteile

  • Schutz vor Man-in-the-Middle: Client prüft Zertifikat direkt gegen DNSSEC-gesicherte TLSA-Daten.
  • Reduzierte Abhängigkeit von CAs: DANE ergänzt Zertifizierungsstellen (CAs), ersetzt sie aber nicht vollständig.
  • Feingranulare Kontrolle: Administratoren legen präzise fest, welche Zertifikate gelten.

Einsatzbedingungen

  • Dein DNS-Server muss DNSSEC aktiviert und konfiguriert haben.
  • Der Client (Browser, Mailserver etc.) muss DANE unterstützen.

DNS over HTTPS (DoH)

Definition: DoH verschlüsselt DNS-Anfragen und -Antworten über HTTPS (Hypertext Transfer Protocol Secure), um Privatsphäre und Integrität zu gewährleisten.

Merkmale

  • Verschlüsselung: HTTPS schützt DNS-Daten vor Ausspähen.
  • Integrität: TLS gewährleistet Unversehrtheit der Daten.
  • Authentizität: Zertifikate bestätigen dem Client den Server.

Konfiguration (Beispiel Firefox)

  1. Öffne Einstellungen → Netzwerk-Einstellungen.
  2. Aktiviere DNS über HTTPS.
  3. Wähle einen DoH-Anbieter (z. B. Cloudflare, Google).

DNS over TLS (DoT)

Definition: DoT verschlüsselt DNS über das TLS-Protokoll auf Port 853, statt über HTTPS.

Merkmale

  • Dedizierter Port (853): Erleichtert Erkennung durch Netzwerkadministratoren.
  • Verschlüsselung, Integrität, Authentizität: Wie bei DoH.

Konfiguration (Beispiel Android)

  1. Einstellungen → Netzwerk & InternetErweitertPrivate DNS.
  2. Wähle Privater DNS-Anbieter hosten.
  3. Gib den Hostnamen des DoT-Servers ein (z. B. dns.example.com).
⏳ Lädt Dataview-Inhalt...

Zusammenfassung

Zusammenfassung:

Teil 1: DNS-Bedrohungen & DNSSEC

  • Cache Poisoning manipuliert die DNS-Antworten eines Resolvers, sodass Nutzer auf gefälschte Seiten geleitet werden. Der Kaminsky-Bug zeigte 2008 eindrücklich, wie real dieses Risiko ist.
  • Schutzmaßnahmen umfassen den Einsatz von DNSSEC, zufällige Transaktions-IDs und Ports sowie die Nutzung vertrauenswürdiger Resolver.
  • DNS Amplification ist ein DDoS-Angriff, bei dem kleine DNS-Anfragen große Antworten an ein Opfer liefern. Der Angreifer nutzt gefälschte Absenderadressen und offene Resolver.
  • Schutzmaßnahmen bestehen in der Begrenzung offener Resolver, Rate Limiting und Monitoring.
  • DNSSEC schützt durch digitale Signaturen die Integrität der DNS-Daten und ermöglicht eine Vertrauenskette vom Root-Server bis zur Ziel-Domain.

Teil 2: DANE, DoH & DoT

  • DANE (DNS-based Authentication of Named Entities) nutzt DNSSEC, um TLS-Zertifikate über sogenannte TLSA-Records abzusichern. Dies reduziert die Abhängigkeit von klassischen Zertifizierungsstellen.
  • Ein TLSA-Record beschreibt Port, Protokoll, Host und Zertifikat oder Fingerabdruck – signiert durch DNSSEC.
  • DoH (DNS over HTTPS) verschlüsselt DNS-Anfragen über das HTTPS-Protokoll. Vorteil: Schutz der DNS-Daten vor Ausspähen durch Dritte.
  • DoT (DNS over TLS) verschlüsselt DNS ebenfalls, jedoch über einen dedizierten Port (853), was die Administration erleichtern kann.
  • Beide Protokolle (DoH und DoT) erhöhen die Vertraulichkeit und Integrität der DNS-Kommunikation und sind in modernen Systemen (Browser, Android) konfigurierbar.

Wichtigste Erkenntnisse auf einen Blick

  1. DNSSEC schützt die Integrität von DNS-Antworten, nicht aber deren Vertraulichkeit.
  2. DANE erweitert DNSSEC um die sichere Verwaltung von TLS-Zertifikaten.
  3. DoH und DoT sorgen für verschlüsselte Kommunikation zwischen Client und Resolver – ein bedeutender Fortschritt für Datenschutz und Sicherheit im DNS.

Diese Technologien ergänzen sich: DNSSEC sichert die Quelle, DANE stärkt das Vertrauen in Zertifikate, DoH und DoT sichern den Transportweg.