Mit <kes>+ lesen

Licht und Schatten um DNSSEC

Die DNS-Erweiterung DNSSEC soll manipulative Sabotage bei der Namensauflösung von Internetadressen verhindern. Gänzlich durchgesetzt hat sich das standardisierte Verfahren aber bis heute nicht – aus vielerlei Gründen. Eine Daseinsberechtigung hat die DNS-Erweiterung allemal, primär kritische Domains profitieren von der Lösung – DNSSEC birgt aber auf der anderen Seite auch ein nicht zu unterschätzendes Gefahrenpotenzial.

Lesezeit 8 Min.

Von Patrick Simon, München

Cyberattacken auf das Domain-Name-System (DNS) und die zugehörigen Verwaltungs- und Service-Akteure sind ein ernst zu nehmendes Problem in der modernen Internetlandschaft. Aufgrund seiner Rolle für die Namensauflösung sämtlicher Dienste – egal ob Webseiten, VoIP-, E-Mail- oder Streaming-Angebote und vieles mehr – ist das DNS eine der essenziellen Komponenten in IP-basierten Netzwerken. Da das System allerdings noch aus den Anfangstagen des Internets stammt, als Cyberkriminalität, Tracking oder Zensur noch keine Themen waren, ist es anfällig für böswillige Manipulationen und Angriffe: Denn standardmäßig werden DNS-Anfragen unverschlüsselt im Klartext übertragen und es findet keine Verifizierung der Einträge statt. Das macht das DNS zu einem mächtigen Werkzeug für Cyberkriminelle.

Akute Probleme

Durch Manipulationen an der Delegationsstruktur von Domänennamen können Angreifer die IP-Adressen von Webservern austauschen, um Traffic gezielt auf eigene oder kontrollierte Systeme umzuleiten. Dadurch lassen sich Nutzer etwa auf gefälschte Webseiten führen, um Logindaten abzugreifen, Malware zu verbreiten oder Desinformation zu streuen. Solche Angriffsmethoden werden als DNS-Cache-Poisoning, DNS-Spoofing oder auch DNS-Hijacking bezeichnet.

Welches Bedrohungspotenzial Angriffe auf das DNS besitzen, zeigte sich etwa 2019: Damals warnte die Internet Corporation for Assigned Names and Numbers (ICANN) eindringlich vor einer globalen DNS-Hijacking-Kampagne, die dutzende Domains von Regierungs-, Telekommunikations- und Internet-Infrastruktur-Organisationen in Europa, Nordamerika, Nordafrika sowie im Nahen Osten betraf. Verantwortlich für die Angriffe sollen Akteure mit staatlichem Hintergrund gewesen sein, die primär politische Ziele verfolgten.

DNSSEC sichert Integrität

Um das DNS gegen solche Attacken abzusichern, entwickelte die Internet Engineering Task Force (IETF) die standardisierten Domain Name System Security Extensions (DNSSEC), welche die Sicherheit des DNS erhöhen und gleichzeitig für Abwärtskompatibilität sorgen sollen.

DNSSEC nutzt dafür ein asymmetrisches Verschlüsselungssystem zur Validierung, das dank Hash-Abgleich selbst kleinste Modifikationen an den Domaineinträgen zuverlässig identifiziert. Hierzu werden die DNS-Einträge zur Quellenauthentisierung digital signiert. Anhand dieser Signatur können DNS-Resolver dann überprüfen, ob die Informationen mit den vom Zonenbesitzer veröffentlichten Daten und den auf autoritativen DNS-Servern bereitgestellten Informationen identisch sind.

Dafür vergleicht der DNS-Resolver den mitgelieferten Hashwert mit dem selbst berechneten – stimmen die Werte überein, erfolgt der Abgleich in der gesamten Chain of Trust bis hin zur obersten Instanz (Trust-Anchor). Auf diese Weise lässt sich die Integrität von Abfragen prüfen und sicherstellen, dass Internet-Anwender auch wirklich auf der Webseite landen, die sie besuchen möchten. Des Weiteren findet DNSSEC Verwendung zur Absicherung digitaler Kommunikation, etwa per E-Mail oder Voice over IP (VoIP). Eine Verschlüsselung der DNS-Anfragen ist hingegen nicht Bestandteil von DNSSEC – sie werden trotz Validierung im Klartext übertragen.

Holpriger Start und langsame Adaption

Der Startschuss für DNSSEC fiel schon vor über 20 Jahren, dennoch hat sich die Erweiterung noch längst nicht flächendeckend durchgesetzt. Grund dafür ist nicht zuletzt der holprige Start im Jahr 1999: Die ursprüngliche Fassung DNSSEC (RFC 2535) musste technologisch überarbeitet werden, da die Schlüsselverwaltung zu umständlich war und Kompatibilitätsprobleme mit bestehender Software verursachte. Die Neufassung der Erweiterung (RFC 4033 [1], RFC 4034, RFC 4035) ging erst 2005 an den Start. Im Jahr 2008 folgte mit dem Einsatz von NSEC3 Resource Records (RFC 5155) schließlich eine Möglichkeit, um die bis dahin vorhandene Gefahr von Zone-Walking-Attacken zu verringern.

Auf allen 13 Root-Servern ist DNSSEC seit 2010 adaptiert, nahezu alle Top-Level-Domains unterstützen mittlerweile die Sicherheitserweiterung – dennoch liegt die globale Validierungsrate aktuell noch unter der 30%-Marke. Verantwortlich hierfür ist nicht zuletzt die komplexe Umsetzung in der Praxis, bei der viele Akteure zusammenarbeiten müssen: Für eine erfolgreiche Integritätsprüfung müssen sowohl der Verwalter der Top-Level-Domain als auch Domainhändler, DNS-Serverbetreiber und Internet-Zugangsprovider (Resolver) den Standard unterstützen und aufeinander abgestimmt konfiguriert haben.

Gleichwohl steigt die weltweite DNSSEC-Validierungsrate kontinuierlich, wenn auch zögerlich. Vorrangig in Westeuropa lässt sich seit 2019 ein deutliches Wachstum ablesen. In Ländern mit starken Finanz- und Versicherungsmärkten, wie der Schweiz, Luxemburg oder auch Deutschland, beträgt die Validierungsrate deutlich über 50 % (vgl. Abb. 1). Nochmals höhere Validierungsraten von über 80 % liegen laut APNIC Labs in Skandinavien vor, wo Initiativen, Schulungsangebote und Subventionen von Behörden für eine starke Adaption der DNS-Erweiterung gesorgt haben.

DNSSEC in Deutschland

In der .de-Zone wurde DNSSEC 2011 eingeführt. Zur Förderung der DNS-Erweiterung veranstaltete 2015 das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen DNSSEC-Day, der die Vorzüge des Verfahrens beleuchtete. Unter anderem sieht die technische Richtlinie „Sicherer E-Mail-Transport“ (BSI TR-03108) des BSI den Einsatz von DNSSEC zur Absicherung der digitalen Kommunikation vor.

Das BSI empfiehlt die Verwendung der Sicherheitserweiterung allem voran für geschäftskritische Domains: Hier gilt es, mittels Signierung den Kommunikationsweg zum Kunden sicherzustellen. In Deutschland vertrauen in erster Linie Behörden und Organisationen aus hochregulierten Sektoren (Finanzen, Versicherungen, Gesundheitswesen, etc.) auf DNSSEC. Laut APNIC Labs liegt die DNSSEC-Validierungsrate in der Bundesrepublik bei über 50 % und damit leicht über dem westeuropäischen Durchschnitt.

Abbildung 1

Abbildung 1: DNSSEC-Validierungsrate auf Resolverebene in Westeuropa

Schattenseite DDoS-Gefahr

Durch die Validierung von Domains kann DNSSEC zwar Manipulationen an DNS-Einträgen vereiteln. Jedoch birgt der Einsatz der Erweiterung auch großes Potenzial für Missbrauch – und das hängt nicht mit der vielfach kritisierten fehlenden Verschlüsselung zusammen. Aufgrund der größeren Antworten der Nameserver, die DNSSEC hervorruft, eignen sich validierende DNS-Server vielmehr besonders für sogenannte verstärkende Reflection-Attacken: Dabei leiten Cyberkriminelle mittels Spoofing böswillige Anfragen von Botnetzen über einen DNS-Dienst an das Ziel weiter. Durch diesen Zwischenschritt wird das Angriffsvolumen massiv gesteigert und zugleich der DDoS-Angriff verschleiert: Auf diese Weise können Cyberkriminelle ihre DDoS-Attacken um über das Fünfzigfache verstärken. Und aus Sicht der betroffenen Unternehmen kommen die Anfragen von vertrauenswürdigen DNS-Servern.

Gleichzeitig erhöht DNSSEC durch die gestiegene Last die DDoS-Anfälligkeit der Nameserver selbst, da insgesamt weniger Rechenkapazität frei bleibt. Tatsächlich sind Nameserver sogar häufig Ziel von DDoS-Attacken: Cyberkriminelle schwenken von Firmen-Websites auf DNS-Server um, wenn beispielsweise die erste Angriffswelle nicht zum gewünschten Erfolg führte. Geht der für die Namensauflösung verantwortliche Nameserver in die Knie, bleibt schließlich auch die dahinterliegende Webressource nicht erreichbar.

Best Practice: DDoS-Abwehr auf DNS-Server
Den besten Schutz gegen DDoS-Attacken auf DNS-Server bietet ein mehrfach (geo-)redundanter Aufbau in Verbindung mit Anycast-Adressierung. So können Angreifer nicht gezielt einzelne Server angehen, weil sich die Last automatisch auf das gesamte Netzwerk verteilt. Auf diese Weise sind auch die 13 Root-Server konsequent vor Überlastungsangriffen geschützt: Anfragen werden hier auf mehreren hundert Servereinheiten an verschiedenen Orten der Welt verarbeitet.

Ein solches Schutzkonzept schließt jedoch den Inhouse-Betrieb in aller Regel aus – Aufwand und Nutzen stehen dann in keinem Verhältnis. Für eine dedizierte Absicherung von DNS-Servern ist daher das Outsourcing an einen Dienstleister die beste Wahl. In der Praxis ergeben sich dadurch mehrheitlich Vorteile, denn Konfi gurationsfreiheit besteht auch beim Dienstleister. Im Gegenzug ist der eigene Betrieb eines DNS-Servers nur noch in Ausnahmefällen (Intranet und dergleichen) sinnvoll, weil die dort hinterlegten Daten sonst ohnehin öffentlich zur Verfügung gestellt werden.

DNS-Reflection und -Amplification

DNS-Server kommunizieren standardmäßig über UDP, das im Gegensatz zu TCP ein verbindungsloses Protokoll ist. Das DNS-Protokoll per se bietet keine Möglichkeit für den Empfänger von Paketen, die Integrität des Senders zu prüfen. Daher liefern DNS-Server die Antworten strikt an die IP-Adresse, die im Anfragenpaket hinterlegt ist.

Diesen Fakt machen sich Cyberkriminelle zunutze: Sie platzieren bei ihren Angriffen die IP-Adresse des Ziels als Quelladresse (IP-Spoofing). Dadurch versendet der DNS-Server seine Antwort an die Adresse der betroffenen Organisation (Reflection). Nur geschieht das nicht bloß von einem einzigen Rechner aus, sondern parallel durch tausende Systeme, die in einem Botnetz organisiert sind.

Die UDP-Pakete von DNS-Abfragen sind in der Regel sehr klein – die Antwortpakete fallen hingegen deutlich größer aus. Bei DNSSEC-Unterstützung sind die Antworten nochmals deutlich umfangreicher. Angreifer können diese Eigenschaften missbrauchen, um das Volumen ihrer Attacken massiv zu steigern (Amplification). Laut US-CERT liegt der Verstärkungsfaktor bei DNS zwischen 28 und 54.

Fazit

DNSSEC hatte einen schweren Start und hat sich bis heute nicht global durchgesetzt. Nüchtern betrachtet könnte man die Meinung vertreten, DNSSEC wäre gescheitert, weil es selbst 15 Jahre nach der Nachbesserung immer noch eine Verbreitung von unter 30 % aufweist. Die Trendkurve wird jedoch steiler! Denn mit zunehmender Digitalisierung erkennen mehr und mehr Organisationen den konkreten Mehrwert der Erweiterung – besonders für Unternehmen in einem sensiblen Umfeld ist eine zusätzliche Sicherheitsebene zum Schutz vor böswilliger Manipulation sinnvoll.

Trotzdem muss festgehalten werden, dass DNSSEC nicht alles Wünschenswerte in diesem Bereich leisten kann. Kritiker bemängeln meist die fehlende Verschlüsselung. Vor allem in den letzten Jahren hat sich die Diskussion um DNS-Sicherheit daher verlagert: Entwicklungen wie DNS-over-HTTPS (DoH) versprechen neben Sicherheitsvorteilen auch einen verbesserten Tracking-Schutz.

Solche Verschlüsselungsmethoden mögen partiell sinnvoll sein, aus globaler Sicht gefährden sie jedoch die Abwärtskompatibilität im Netz. Vor allem die Kommunikation im (Industrial) Internet of Things ([I]IoT) lässt sich nicht ohne Weiteres auf verschlüsselte DNS-Übertragungen umstellen. Viele vernetzte Sensoranlagen in der Produktion oder auch andere IoT-Geräte sind softwareseitig nicht erweiterbar. Darüber hinaus ist beim Einsatz von DoH ein zentraler Provider erforderlich, bei dem alle Fäden zusammenlaufen – Tracking-Potenzial besteht also weiterhin.

In der Praxis ist die fehlende Verschlüsselung ohnehin weniger problematisch – viel schwerwiegender ist das Bedrohungspotenzial von DNSSEC als Katalysator für DDoS-Attacken! Hier braucht es dedizierte Schutzsysteme und mehrfach redundante Netzwerke, um sowohl auf Seite der Nameserver als auch bei allen anderen Akteuren im Internet für die erforderliche Sicherheit und Stabilität zu sorgen.

Patrick Simon ist als Produktmanager bei der Myra Security GmbH tätig.

Diesen Beitrag teilen: