Grundlagen des Internets – Secure DNS

Was ist eigentlich DNS?

DNS wurde 1983 von dem IETF standardisiert und wird dafür verwendet, um die für Menschen verständlicheren Domains in die für die Webbrowser notwendigen IP-Adressen umzuwandeln. Wie in einem Telefonbuch: Man sucht den entsprechenden Namen aus und findet die eigentlich benötigte Telefonnummer.

Wie funktioniert DNS:

Sehen wir uns den DNS-Anfrageprozess an dem Beispiel dieses Blogs an:

1. Mein Rechner benutzt aktuell den DNS-Server von Express VPN. (178.162.214.48). Die Anfrage geht von hier zuerst zu dem jeweiligen Root-Server „d.root-servers.net“ (199.7.91.13)

DNS Abfrage

2. Dieser Root-Server routet die Anfrage an dns1.nic.blog (213.248.219.9) weiter. Dieser DNS-Server „kennt“ die TL-Domain „blog“ bzw. weiß wie die Nameserver von WordPress.com zu erreichen sind, die meinen Domain kennen: ns1.wordpress.com, ns2.wordpress.com und ns3.wordpress.com.

3. Wenn ich diese WordPress-Nameserver frage, werden sie mitteilen, dass meine Seite an dem Webserver mit der IP  192.0.78.142 zu finden ist:

DNS_PING

Mit dieser Information kann der Browser die von WordPress generierte HTML Dateien herunterladen und den Content zeigen.

Der Vorgang nochmals an einem einfachen Beispiel:

400px-Example_of_an_iterative_DNS_resolver.svg

Die Rolle des DNS bei online Sicherheit

Eine umfangreiche online Sicherheitskonzept muss zwangsläufig aus mehreren Komponenten bestehen. Bei unserem Vorhaben, im Internet sicher zu surfen wird oft auch  das Domain Name System oft vergessen.

Warum ist das DNS verbesserungswürdig?

Leider ist das DNS damals ohne Sicherheitsfunktionen konzipiert und implementiert worden. Jetzt 35 Jahre später das gesamte Internet-Ecosystem benötigt eine sicherere, stabilere DNS Infrastruktur.

In der Anfangszeit des Internets war DNS lediglich ein technisches Hilfsmittel um die wenigen Hosts einfacher zu identifizieren. Die möglichen Missbrauchszenarien waren noch nicht bekannt und sind bei der Entwicklung auch nicht berücksichtigt worden.

Mögliche Gefahrenquellen im Internet:

DNS Cache Poisoning / DNS Spoofing

Bei DNS Cache Poisoning wird das Cache des DNS-Servers mit falschen Einträgen manipuliert. Die korrekt eingegebenen URLs werden also mit falschen IP-Adressen beantwortet. Die Anfragen werden also an von Kriminellen missbrauchte Server geroutet.

DNS Hijacking 

In diesem Fall werden falsche DNS Server-IP-Adressen in den Einstellungen des Netzwerkadapters oder direkt in dem Registry des Client-Rechners verwendet. Die DNS Anfragen gehen in solchen Fällen direkt zu dem DNS-Servers des Angreifers, der dann dementsprechend die falschen IP-Adressen liefert.

Zensurgefahr

In bestimmten Ländern, wo der Staat die Internetprovider „bittet“ entsprechende gesetzliche Regelungen umzusetzen, werden Zensurmaßnahmen vor Allem mithilfe des DNS umgesetzt. Ob es sich um kriminelle Seiten oder unangenehme Blogs handelt werden DNS Anfragen geblockt oder auf eine Internetseite mit einem entsprechenden Hinweis weitergeleitet. Ein passendes Beispiel aus Deutschland war die Internetsperre, die Kinderpornografie mit DNS-Sperre stoppen wollte. Es wurde Oktober 2009 von dem Wiesbadener Verwaltungsgericht  – als gesetzwidrig – gestoppt.


Schnelles und privates Internet

Auch an diesen Beispielen ist gut zu sehen, dass diese Gefahren und ihre Abwehr wirklich praxisrelevant sind. DNS spielt aber auch beim Surfen – ohne Gefahr von Kriminellen – eine herausragende Rolle. Die Geschwindigkeit unsere DNS Anfragen und die Antwort darauf hat einen unmittelbaren Einfluss darauf, wie wir Surfgeschwindigkeit wahrnehmen.

Deswegen lohnt es sich DNS-Performance regelmäßig messen und bei Bedarf einfach den öffentlichen DNS Anbieter wechseln:

Ein passendes Tool für diese Messung ist DNS Jumper.

Das Tool prüft aus dem jeweiligen Netz heraus, welche öffentliche DNS-Server am schnellsten antwortet.

DNS Jumper Messsung ohne VPN

Warum ist all das wichtig:

  •  Es gibt öffentliche DNS Anbieter wie OpenDNS (Umbrella von Cisco), die dadurch einen ziemlich großen Mehrwert anbieten, dass sie die DNS Abfragen mit zentralisierten Listen abgleichen und so verseuchte Internetseiten oder sonstige fragliche Ziele bereits in dieser Phase herausfiltern können. Hier ist es also schon mal nützlich ggf. einen anderen Anbieter wählen zu können. In meinem Fall ist es OpenDNS mit einem kostenpflichtigen Paket.
  • Es gibt Länder, wo Datenschutz nicht so großgeschrieben wird, wie in Europa. In diesem Fall ist es kein gutes Gefühl nicht zu wissen, was mit unseren jahrelang gesammelten DNS Anfragen /also mit unserer Surfhistorie/ passiert. Werden sie verkauft, missbraucht? Ein Anbieter wie der schnelle, datenschutzbewusste Cloudflare kann in solchen Fällen schon eine gute Option sein. Die prägnante IP 1.1.1.1 kann sich jeder leicht merken.
  • Nicht jeder von uns ist bei einem großen professionellen Anbieter. Es kann also in seltenen Fällen passieren, dass ein großer öffentlicher DNS Anbieter DNS Anfragen schneller beantwortet als der eigene Provider. Dies muss natürlich gemessen werden.

Arbeit mit öffentlichen DNS Anbietern in der Praxis

Ich bin der Meinung, dass ein DNS Anbieter schon einen gewissen Mehrwert bieten soll, wenn wir ihm unser DNS Anfragen (also praktisch unsere gesamte Surfhistorie) anvertrauen.

  • Sie sollen Secure DNS Protokolle gegen Internetkriminellen unterstützen.

Eine kompakte  Übersicht über die unterstützen Secure-DNS Protokolle((https://medium.com/@nykolas.z/dns-resolvers-performance-compared-cloudflare-x-google-x-quad9-x-opendns-149e803734e5)):

SecureDNS

  • Sie bieten eine zusätzliche Schutzlinie gegen bösartige Scripten oder nicht gewollten Content wie Pornoseiten oder Glücksspielwerbung.
  • Im besten Fall sollten sie – meisten als kostenpflichtiges Paket – Custom-Filter anbieten, wo ich die gefilterten Kategorien und Ziele frei festlegen kann und die entsprechenden Statistiken sehe.

Meine aktuellen Empfehlungen:

  • Auf Android benutze ich die App von Cloudflare. Diese legt ein VPN Profil an und läuft ziemlich stabil. Eine noch bessere Lösung ist der App von ExpressVPN, das gleichzeitig natürlich den kompletten Traffic durch den Tunnel routet und dadurch zusätzliche Sicherheit bietet. Diese App stoppt aber immer wieder und es ist etwas mühsam diese immer wieder einzuschalten.
  • Auf Windows-PC benütze ich ExpressVPN, der automatisch startet und sich verbindet. Sehr praktisch. Der VPN Tunnel kann mit OpenDNS oder CleanBrowsing kombiniert werden. Es ist also kein Zwang unbedingt den DNS-Servers des VPN Anbieters benutzen zu müssen. Im Allgemeinen ist es natürlich so, dass jemand, der bei der Auswahl des VPN-Dienstes nicht auf Unternehmen mit US Standort setzen möchten hat meistens etwas gegen DNS Provider mit Unternehmenssitz in den USA. Hier muss also jeder für sich entscheiden, welche Gefahren mit welcher Priorität eingestuft werden.
  • Für den Router zu Hause empfehle ich CleanBrowsing.

Auch die kostenlose Version hat ziemlich umfangreiche Schutzfunktionen:

CleanBrowsing

Die Umsetzung ist sehr einfach. Wir ändern die IP des DNS-Servers im Router auf 185.228.168.168. Fertig! Alle Clients im Netz werden dann diesen DNS-Server benutzen und werden dadurch geschützt.

Wie erwähnt DNS ist eine absolute Grundinfrastruktur des Internets. Die hier erwähnten Gefahren sind Teil unseres Alltags. Die Lösungen dafür sind kostenlose, einfach umsetzbare Optionen. Empfehlenswert.

 

 

Über IT-Mensch

Als jemand der sich seit gefühlten Ewigkeiten für IT-Themen wie VoIP, Netzwerke, Firewalls und sichere Kommunikation interessiert lade ich Dich hier herzlich ein mich auf meinem Weg zu begleiten.

12. Dezember 2018 von IT-Mensch
Kategorien: Netzwerk | Schreibe einen Kommentar

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

%d Bloggern gefällt das: