DNSSEC: Internet benötigt Sicherheitsupdate
2009-11-17 11:15
Tippt man heute die Web-Adresse eines Servers in den Broser ein - z.B. www.itsolution.at - so wird im Hintergrund über das Domain Name Service (DNS) diese Adresse in die physikalische Adresse des Rechners (seine IP Adresse) übersetzt. Das zugrundeliegende Protokoll hat jedoch eine wesentliche Schwäche: durch einen geeigneten Angriff können die Antworten auf solche DNS Abfragen manipuliert und so die Homepage "umgeleitet" werden.
Gefahr im Internet Banking
Der naheliegenste Missbrauchsfall ist das Umleiten einer Internet-Banking Seite auf eine Phishing Seite. Da der Angriff nicht lokal auf dem PC des Anwenders sondern irgendwo tief in der Internet Infrastruktur stattfindet, bemerken die herkömmlichen Schutzmechanismen wie Phishing-Filter, Virenscanner oder Firewalls dieses Problem nicht. Die Benutzerin erhält keine Warnung und glaubt, alles richtig gemacht zu haben.
DNSSEC - Digitale Signatur von DNS Abfragen
Das Grundproblem liegt in der Art und Weise, wie die Systeme im Internet einander vertrauen. Da das DNS System mehrere Jahrzehnte alt ist, spielte Phishing bei seinem Design keine Rolle. Gelingt es einem Server, sich als so genannter "Root DNS Server" auszugeben, kann er gefälschte DNS Antworten liefern.
Im DNSSEC Standard werden Antworten auf DNS Abfragen mit einer digitalen Signatur abgesichert. Damit ist sichergestellt, dass die Antwort auch tatsächlich von einem vertrauenswürdigen Server stammt und nicht auf dem Transportweg verändert wurde. Dabei spielt die Verwaltung der Schlüssel eine wesentliche Rolle.
Für die Massenanwendung wird derzeit das Konzept von sicheren Eintrittspunkten - so genannten Secure Entry Points vorgeschlagen. Vereinfacht gesagt wird z.B. im Rahmen der Konfiguration der öffentliche Schlüssel eines vertrauenswürdigen DNS Server eingetragen. Der lokale Rechner bezieht über diesen DNS Server seine Antworten. Die DNS Server untereinander tauschen ebenfalls Schlüssel aus, so dass in der Folge ein Netz an sicheren Servern entsteht (Web-of-Trust).
Umfassende Updates notwendig
Beim DNS Service handelt es sich um einen grundlegendn Baustein des Internet, der heute in praktisch jedem Rechner implementiert ist, der in einem Netzwerk steht - egal ob nur lokal oder ans Internet angeschlossen. Unabhängig vom Betriebssystem müssen alle Rechner innerhalb einer relativ kurzen Zeit auf das neue Protokoll umgestellt werden. Ein Parallelbetrieb macht nur zeitlich begrenzt einen Sinn, da ja sonst Angriffe über den "rückwärtskompatiblen" Kanal erfolgen können.
Der Umstieg auf DNSSEC ist bereits für kleinere Top-Level Domains im Gange, bei großen Top-Level Domains wie z.B. .com soll der Umstieg Ende 2010 starten.
Wie schütze ich mich bis dahin
Zwar sind Angriffe durch Ausnützen der Lücke im DNS System aufwendig und daher selten. Gerade darum ist es wichtig, sich bei jeder sensiblen Transaktion, wie z.B. Login beim Internet-Banking, von der Authentizität des Servers zu überzeugen. Dies ist heute - wenn auch nur Manuel in jedem Einzelfall - bereits möglich, wenn die Webseite mit einem SSL Zertifikat eines etablierten Trustcenters ausgestattet ist. Wichtig dabei: Überprüfen Sie im Zertifikat, ob die Webseite mit dem im Zertifikat angegebenen Namen übereinstimmt und ob das Zertifikat von einer Zertifizierungsstelle ausgegeben wurde, die Ihr Browser als vertrauenswürdig gekennzeichnet hat.
Weitere Informationen
- Hintergrundinformationen zu DNSSEC
- DNSSec HOWTO - Einführung in DNSSEC (PDF)
- Cache-Poisoning-Gefahr heizt DNSSEC-Debatte an
- DNSSEC - The Security Extensions - Protocol Homepage (Englisch)
- Weitere Artikel im Web
- DNSSEC: Sicherheitsupdate für das Netz
- DNSSEC soll „Man in the Middle“ und „Cache Poisoning“ stoppen
