/

Was ist DNSSEC?

Domain Name System Security Extensions (DNSSEC) sind Erweiterungen für das Domain Name System (DNS). Sie werden eingesetzt, um schadhafte Manipulationen bei der Namensauflösung von Webadressen zu verhindern.

Auf einen Blick

  1. 01. DNSSEC: eine Definition
    1. 02. Wie funktioniert DNSSEC?
      1. 03. Wovor schützt DNSSEC?
        1. 04. Wie verbreitet ist DNSSEC?
          1. 05. Welche Gefahren gehen von DNSSEC aus?
            1. 06. DNSSEC: Das müssen Sie wissen
              /

              01

              DNSSEC: eine Definition

              Angriffe auf das DNS zählen zu den größten Bedrohungen in der modernen Internet-Landschaft. Die Technologie zur Namensauflösung weist Domains den entsprechenden IP-Adressen zu – etwa für Webseiten, VoIP-, E-Mail- oder Streaming-Dienste. Erst durch eine erfolgreiche Namensauflösung wissen beispielsweise Webbrowser auf Smartphones oder PCs, welche Webserver die Inhalte für eine spezifische Webseite bereithalten. Da das DNS allerdings noch aus der Anfangszeit des Internets stammt, beinhaltet die Technologie noch keine Funktionen zur Abwehr von Angriffen oder Sabotageversuchen. Viel mehr werden die versendeten DNS-Anfragen unverschlüsselt im Netz übertragen, ohne Verifizierung. Aus diesem Grund können Cyberkriminelle das DNS als mächtige Waffe missbrauchen – etwa für DDoS-Attacken, die durch das DNS sogar noch verstärkt werden. Um gegen solche und andere Gefahren vorzugehen, wurde DNSEC entwickelt.

              /

              02

              Wie funktioniert DNSSEC?

              DNSSEC setzt auf kryptografische Methoden, um Manipulationen bei der Namensauflösung zu entlarven. Hierfür kommt bei der DNS-Erweiterung ein asymmetrisches Verschlüsselungssystem zur Validierung zum Einsatz, das mittels Hash-Abgleich sogar kleinste Modifikationen an den Domaineinträgen zuverlässig identifiziert. Grundlage hierfür bildet die digitale Signatur von DNS-Einträgen zur Quellenauthentisierung. DNS-Resolver überprüfen anhand dieser Signatur, ob die Informationen mit den vom Zonenbesitzer veröffentlichten Daten und den auf autoritativen DNS-Servern bereitgestellten Informationen identisch sind. Das ist über einen Vergleich der mitgelieferten Hash-Werte mit den selbst berechneten Daten möglich. Sobald die Werte übereinstimmen, erfolgt der Abgleich in der gesamten Chain of Trust bis hin zur obersten Instanz (Trust Anchor). Über diesen Prozess prüft DNSSEC die Integrität von Abfragen.

              03

              Wovor schützt DNSSEC?

              Angriffe und Sabotageversuche auf das DNS haben ein enormes Bedrohungspotenzial. Eine globale DNS-Hijacking-Kampagne sorgte zuletzt 2019 für Schlagzeilen. Damals warnte die Internetverwaltung ICANN (Internet Corporation for Assigned Names and Numbers) eindringlich vor den Attacken, die auf dutzende Domains von Regierungs-, Telekommunikations- und Internet-Infrastruktur-Organisationen in Europa, Nordamerika, Nordafrika sowie im Nahen Osten abzielten. Hinter den Angriffen sollen politische Akteure gesteckt haben, die mit der globalen Kampagne in erster Linie politische Ziele verfolgten.

              Mittels DNS-Hijacking können Angreifer reguläre Seitenaufrufe unbemerkt umleiten, etwa um auf gefälschten Webseiten Zugangsdaten zu erbeuten, Schadsoftware zu verbreiten oder um politische/ideologische Gegner bloßzustellen. Ebenso ist es mittels DNS-Hijacking möglich, den Zugriff auf bestimmte Webseiten zu zensieren.

              04

              Wie verbreitet ist DNSSEC?

              Der Startschuss für DNSSEC fiel schon 1999, global hat sich die DNS-Erweiterung allerdings bis heute nicht durchgesetzt. Dazu trugen nicht zuletzt Kinderkrankheiten bei, die umfassende Nachbesserungen erforderten. So musste die ursprüngliche Fassung DNSSEC (RFC 2535) überarbeitet werden, um die Schlüsselverwaltung zu vereinfachen und um Kompatibilitätsprobleme mit bestehender Software zu beheben. Erst 2005 ging schließlich mit RFC 4033, RFC 4034, RFC 4035 die Neufassung der Erweiterung an den Start. Es folgte im Jahr 2008 schließlich mit NSEC3 Resource Records (RFC 5155) eine Option, um die bis dahin vorhandene Gefahr von Zone-Walking-Attacken zu verringern. Seit 2010 ist DNSSEC auf allen 13 Root-Servern, nahezu alle Top-Level-Domains unterstützen mittlerweile die DNS-Erweiterung. Trotzdem liegt die globale Validierungsrate von DNSSEC noch unter der Marke von 30 Prozent.

              Komplexität als Hemmschuh für DNSSEC

              Verantwortlich für die langsame Adaption von DNSSEC ist nicht zuletzt die hohe Komplexität, die mit dem Einsatz der Erweiterung einhergeht. So genügt es beispielsweise nicht, dass Root-Server und die Verwalter der Top-Level-Domains den Standard unterstüzen. Für eine erfolgreiche Integritätsprüfung müssen zusätzlich Domainhändler, der DNS-Serverbetreiber sowie der Internetzugangsprovider (Resolver) den Standard unterstützen und aufeinander abgestimmt konfiguriert haben.

              DNSSEC in Deutschland

              In Deutschland beziehungsweise der .de-Zone wurde DNSSEC im Jahr 2011 eingeführt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veranstaltete 2015 einen DNSSEC-Day, der informieren und zur Adaption der Technologie motivieren sollte. Das BSI empfiehlt zudem in der technischen Richtlinie „Sicherer E-Mail-Transport“ (BSI TR-03108) den Einsatz von DNSSEC zur Absicherung der digitalen Kommunikation. Insbesondere geschäftskritische Domains profitieren laut der Behörde von der zusätzlichen Schutzebene, die DNSSEC bereitstellt. In der Bundesrepublik setzen in erster Linie Behörden und Organisationen aus hochregulierten Sektoren (Finanzen, Versicherungen, Gesundheitswesen, etc.) auf DNSSEC. Insgesamt liegt die Validierungsrate in Deutschland laut APNIC Labs bei über 50 Prozent und damit leicht über dem westeuropäischen Durchschnitt.

              /

              05

              Welche Gefahren gehen von DNSSEC aus?

              Gänzlich unumstritten ist der Einsatz von DNSSEC nicht. Vor allem die fehlende Verschlüsselung wird oftmals kritisiert. DNSEC sorgt lediglich für eine Validierung bei der Namensauflösung, um Manipulationen zu verhindern. Die Anfragen selbst werden weiterhin im Klartext übertragen.

              Viel gravierender ist allerdings das Bedrohungspotenzial, das von DNSSEC für die IT-Sicherheit im Internet ausgeht. Die DNS-Erweiterung kann von Cyberkriminellen gezielt für DDoS-Attacken missbraucht werden. Technologisch bedingt erzeugen validierende Nameserver größere Antworten als sie bei herkömmlichen DNS-Anfragen anfallen. Dadurch eignen sich validierende DNS-Server besonders für verstärkende Reflection-Attacken. Bei solchen Angriffen leiten Cyberkriminelle mittels Spoofing ihre schädlichen Botnetz-Anfragen über einen DNS-Dienst an das Ziel weiter. Dies steigert das Angriffsvolumen massiv und verschleiert zugleich den Ursprung der Attacke. In der Praxis lassen sich DDoS-Attacken mittels DNSEC um über das Fünfzigfache verstärken.

              Gleichzeitig werden DNS-Server durch den Einsatz von DNSSEC selbst verwundbarer gegenüber DDoS-Attacken, da die Validierung für eine höhere Last sorgt. Dadurch bleiben geringere Restkapazitäten frei, die im Angriffsfall schneller aufgebraucht sind.

              06

              DNSSEC: Das müssen Sie wissen

              DNSSEC ist eine Sicherheitserweiterung, die bei der Namensauflösung für die Quellenauthentisierung sorgt. Über die Technologie lässt sich die Integrität von Webservern und den damit aufgebauten Verbindungen validieren. So wird sichergestellt, dass eine spezifische Domain auch wirklich dem korrekten Webserver zugeordnet wird. Sabotageversuche können dadurch aufgedeckt und vereitelt werden. Daneben kann mittels DNSSEC auch die Integrität der digitalen Kommunikation via E-Mail oder VoIP abgesichert werden.

              Aufgrund der hohen Komplexität und verschiedener Anlaufschwierigkeiten hat sich der Standard aber bis heute nicht global durchgesetzt. Allerdings lässt sich ein gewisser Trend in der Adaption feststellen. So setzen insbesondere Organisationen aus sensiblen Sektoren zunehmend auf DNSSEC – speziell, wenn es um die Absicherung geschäftskritischer Domains geht.

              Als Schwachstelle von DNSSEC wir oftmals die fehlende Verschlüsselung angesehen. Darüber hinaus besteht ein großes Bedrohungspotenzial durch DDoS-Angriffe – sowohl durch als auch für DNSSEC-validierende Webserver. Cyberkriminelle können die technologischen Eigenschaften des Standards missbrauchen, um ihre Attacken zu verstärken und zu verschleiern. Gleichzeitig sind DNSSEC-validierende Webserver anfälliger für DDoS-Attacken, da sie bei der Namensauflösung eine höhere Rechenlast stemmen müssen.

              © Myra Security GmbH 2023, alle Rechte vorbehalten

              Responsible DisclosureGlossarImpressumDatenschutzAGB