Verstärkung der DNS-Sicherheit mit DNS über HTTPS (DoH)
Das Domain Name System (DNS) ist für das Funktionieren des Internets von entscheidender Bedeutung. Das Protokoll wurde vor mehr als 30 Jahren geschaffen, um die manuelle Aktualisierung von Listen von Servern (IP-Adressen) im Internet/Arpanet zu ersetzen. DNS ist zunehmend anfällig für eine Vielzahl von böswilligen Angriffen auf Netze und Teilnehmer geworden. Im Laufe der Jahre hat die Branche auf diese wachsenden Bedenken mit mehreren Sicherheitsverbesserungen reagiert - der jüngste vorgeschlagene Standard ist DNS over HTTPS (DoH).
Was ist das Domänennamensystem und wie funktioniert es?
Stellen Sie sich das DNS als ein Adressbuch vor, das die IP-Adresse jedes Ziels in einen Domänennamen übersetzt, den man sich leicht merken kann. Jede Web-Sitzung wird durch eine DNS-Abfrage eingeleitet. Wenn die Abfrage fehlschlägt, können die Benutzer nicht zu den Websites gelangen, auf die sie zuzugreifen versuchen. Jeder hat ein Interesse am ordnungsgemäßen Funktionieren des DNS.
Für Dienstanbieter hängt die Sicherheit, Geschwindigkeit und Zuverlässigkeit ihrer Dienste von der ordnungsgemäßen Ausführung von DNS-Abfragen ab. Für Unternehmen hängen geschäftskritische Vorgänge und der Online-Handel davon ab, dass Kunden und Mitarbeiter das finden und aufrufen können, wonach sie suchen. Gewöhnliche Websurfer wollen einfach nur dorthin gelangen, wohin sie online surfen - schnell und sicher.
Das Domänennamensystem wurde nicht für die Sicherheit konzipiert
DNS wurde 1983 als Standard-Internetprotokoll ratifiziert, als man sich noch wenig Gedanken über Sicherheit und DNS-Angriffe machte - also lange vor dem Auftauchen bösartiger Cyberkrimineller, wie wir sie heute kennen. Das Protokoll hat keine eingebaute Sicherheit oder Verschlüsselung und wird im Klartext übertragen, der leicht abgefangen und für DNS-Angriffe gefälscht werden kann. Da die Unterbrechung von DNS-Anfragen einen einzigen Ausfallpunkt für Netzwerkdienste und -anwendungen darstellt, ist DNS zu einem häufigen Angriffsvektor für Cyberkriminelle geworden.
Eine typische DNS-Abfrage beginnt damit, dass ein Nutzer, der auf eine bestimmte Website zugreifen möchte, über sein Gerät eine DNS-Abfrage an den rekursiven DNS-Server eines lokalen Internetanbieters sendet. Der Internetdienstanbieter fragt dann einen maßgeblichen DNS-Server ab, um die IP-Adresse der angeforderten Website zu ermitteln. Dieser gesamte Prozess wird, wie bereits erwähnt, mit wenig oder gar keiner Sicherheit übertragen. Daher hat die Branche die Notwendigkeit erkannt, den Prozess der DNS-Auflösung besser zu sichern.
DNS über HTTPS: Ein neuer Weg zur Verbesserung der DNS-Sicherheitslösungen und der Privatsphäre der Nutzer
Hier kommt DNS over HTTPS (DoH) ins Spiel, ein kürzlich entworfener Standard, der die Funktionsweise des DNS-Auflösungsprozesses verändert. DoH betrifft nur die erste Verbindung zwischen einem Gerät und dem lokalen DNS-Auflöser (d. h. die sogenannte "letzte Meile"). Er bietet die Möglichkeit, die Übertragung von DNS-Anfragen zu verschlüsseln, so dass sie nicht mehr von HTTPS zu unterscheiden sind.
Der Rest der Abfragekette zwischen dem auflösenden DNS-Server und den autoritativen Servern wird jedoch nicht behandelt. Vielmehr konzentriert sich DoH auf DNS-Hijacking und die böswilligen Aktivitäten, die sich aus der Manipulation, Umleitung oder Beeinträchtigung der Abfragen ergeben und die DNS-Auflösung anfällig für verschiedene Arten von DNS-Angriffen machen.
Wie man diese Angriffsschwachstellen entschärfen kann, ist derzeit ein heiß diskutiertes Thema. Aufgrund der zunehmenden Besorgnis über den Datenschutz und die DNS-Sicherheit in der heutigen, von COVID-19 betroffenen und zunehmend ferngesteuerten Arbeitswelt sind wir jedoch der Meinung, dass DoH einem ähnlichen Muster wie HTTPS folgen und eine beschleunigte Übernahme durch die Industrie erfahren wird. HTTPS wurde 1994 ins Leben gerufen und im Jahr 2000 formell spezifiziert. Nach dem Bekanntwerden der streng geheimen Geheimdienstinformationen durch Edward Snowden im Jahr 2013 stieg die Nutzung von HTTPS so stark an, dass heute mehr als 80 Prozent der Webseiten das Protokoll nutzen.
Auf dem Spiel steht: Wer darf DNS-Anfragen auflösen?
Ursprünglich von der Internet Engineering Task Force (IETF) Ende 2018 vorgeschlagen, führte DNS over HTTPS (DoH) bald zu einem Revierkampf. Traditionell wurde DNS auf Betriebssystemebene aufgelöst, aber die ersten DoH-Implementierungen von Mozilla und Google erfolgten auf der Anwendungsebene. Das ändert die Art und Weise, wie DNS aufgelöst wird, und damit auch, wer es auflösen darf.
Für Internet-Diensteanbieter besteht durch DoH die Gefahr, dass sie von DNS-Anbietern aus dem Auflösungsprozess ausgeschlossen werden, was sich auf ihre Abonnenten auswirken kann. Viele Mehrwertdienste (z. B. Kindersicherung und Anti-Malware), für die die Abonnenten bezahlen, hängen davon ab, dass sie DNS-Anfragen sehen können. Darüber hinaus befürchten die Dienstanbieter, die Kontrolle über die Dienstqualität zu verlieren, da die Verwendung eines anderen DNS-Auflösers zu erhöhten Latenzzeiten führen kann. Auch die Beantwortung von Anfragen der Strafverfolgungsbehörden könnte beeinträchtigt werden.
Was die Teilnehmer betrifft, so wollen sie nur, dass ihre Kommunikation sicher ist und vor DNS-Angriffen geschützt wird, und DoH scheint ihre langjährigen Bedenken in Bezug auf Malware, Eindringlinge, Datendiebstahl und Datenschutz zu berücksichtigen.
A10's DNS über HTTPS Lösung
Der DNS-über-HTTPS-Standard befindet sich noch im Entwurfsstadium. Der Prozess befindet sich noch in einem frühen Stadium, aber die Diskussionen sind im Gange und die Branche reagiert schnell. Bei A10 Networks glauben wir, dass die meisten Betreiber DoH als Option anbieten werden. Dementsprechend hat A10 eine DNS-Sicherheitslösung mit unserer Thunder® Convergent Firewall (CFW) entwickelt, die es ISPs ermöglicht, dies zu tun, ohne ihre bestehende DNS-Infrastruktur oder ihre Investitionen zu beeinträchtigen.
Unsere DNS-Sicherheitslösung wurde vor kurzem von einem führenden Betreiber in Nord- und Südamerika ausgewählt, der sicherstellen wollte, dass er die Anforderungen seiner Abonnenten auch weiterhin erfüllen kann, wenn sich der DNS-Standard weiterentwickelt, und dass er vor DNS-Angriffen geschützt ist.
Tier-1-Kabelnetzbetreiber schützt die Privatsphäre seiner Abonnenten mit verschlüsseltem DNS im großen Maßstab
Die Lösung hilft dem Carrier, die Kontinuität seiner bestehenden Mehrwertdienste zu gewährleisten und die Kontrolle über die Servicequalität zu behalten. Darüber hinaus trägt die DNS-over-HTTPS-Lösung von A10 zur Kostensenkung bei und minimiert die Auswirkungen auf bestehende DNS-Infrastrukturen. Durch die Implementierung vor den DNS-Servern schützt die Lösung von A10 die DNS-Investitionen und gewährleistet gleichzeitig eine hohe Leistung und geringe Latenzzeiten. Lesen Sie die Fallstudie, um zu erfahren, wie der Kunde von A10 ein verschlüsseltes DNS-Protokoll implementiert hat, um die Privatsphäre und Sicherheit seiner Abonnenten zu schützen.