DNS über HTTPS: Was ist das? Schützt es die Benutzer?
Das Domain Name System (DNS) ist das Telefonbuch des Internets. Wenn Menschen das Web nutzen, geben sie nicht die IP-Adresse der Website ein, die sie besuchen möchten. Stattdessen verwenden sie einen Domainnamen, wie www.google.com.
Die Aufgabe von DNS besteht darin, diesen Domainnamen in eine IP-Adresse umzuwandeln, die ein Computer verwenden kann. Dies geschieht durch eine Reihe von Abfragen an DNS-Server.
DNS-Server sind hierarchisch organisiert, sodass ein Computer mehrere unterschiedliche Anfragen an verschiedene Server stellen kann. Jede Anfrage enthält weitere Informationen über die Website, die der Benutzer besuchen möchte.
Das Problem ist, dass DNS diese Anfragen im Klartext versendet. Jeder, der den Netzwerkverkehr abfangen oder abhören kann, sieht die Websites, die jemand besuchen möchte.
DNS über HTTPS (DoH) versucht, dieses Problem zu beheben. HTTPS verwendet verschlüsselten Webverkehr und ist aktiv, wenn Sie das Schlosssymbol in der Adressleiste Ihres Browsers sehen. Indem DNS-Anfragen und -Antworten in HTTPS-Paketen verpackt werden, schützt DoH den DNS-Verkehr vor Lauschern.
Warum ist es in den Nachrichten?
DoH ist in letzter Zeit in den Nachrichten, weil mehrere Browser, einschließlich Firefox und Chrome, es jetzt als Option in ihren Browsern anbieten.
Die Verwendung von DoH ist jedoch ein sehr kontroverses Thema.
Logischerweise scheint DoH eine gute Sache zu sein. Es soll die Privatsphäre der Internetnutzer erhöhen, indem sichergestellt wird, dass niemand ihre Online-Aktivitäten ausspionieren kann.
Das Gewähren von Privatsphäre für einige Menschen bedeutet jedoch, Privatsphäre für alle zu gewähren. Das Überwachen von DNS-Anfragen ist eine gängige Methode, um Malware auf einem Computer zu erkennen. Es kann auch dazu verwendet werden, Besuche auf illegalen oder unethischen Websites zu verfolgen.
Mit der Einführung von DoH werden diese positiven Anwendungen des Abhörens von DNS-Verkehr nicht mehr möglich sein.
Schützt DoH die Benutzer?
DoH soll die Privatsphäre der Benutzer schützen, indem es ihre DNS-Anfragen verschlüsselt. Da diese Anfragen einem Lauscher verraten können, auf welchen Websites der Benutzer surft, ist dies hilfreich für die Sicherheit.
Obwohl DoH nicht der effizienteste Ansatz dafür ist, verschlüsselt es DNS-Anfragen effektiv. Die Auswirkungen von DoH auf die Sicherheit eines Benutzers sind jedoch vernachlässigbar. Die Informationen, die DoH schützt, werden auch auf verschiedene Weise preisgegeben.
Sobald die DNS-Anfrage abgeschlossen ist, besucht der Benutzer die Zielwebsite mit einem Webbrowser. Wenn die Anfrage über HTTP erfolgt, ist die gesamte Kommunikation unverschlüsselt, und jeder kann sie lesen.
Wenn die Anfrage über HTTPS erfolgt, bleibt ein Feld namens Server Name Indication (SNI) im Datenverkehr unverschlüsselt. Dieses Feld enthält den Domainnamen der Zielwebsite, die gleichen Informationen, die DoH im DoH-Datenverkehr verschlüsselt.
Schließlich muss die Ziel-IP-Adresse unabhängig von der Implementierung unverschlüsselt bleiben. Wie bei einer Postanschrift benötigen die Router auf dem Weg diese Informationen, um den Datenverkehr an sein Ziel zu leiten.
Forschungen haben ergeben, dass in 95% der Fälle die IP-Adresse ausreicht, um festzustellen, welche Website ein Benutzer besucht.
Obwohl DoH dazu beiträgt, sensible Informationen im DNS-Verkehr zu schützen, hilft es dem Benutzer nicht. Die gleichen Informationen werden auf verschiedene Weise preisgegeben.
Die einzige positive Auswirkung wäre, wenn der Lauscher nur den DNS-Verkehr des Benutzers sehen könnte. Obwohl dies möglich ist, wird DoH hauptsächlich als Schutz vor Lauschangriffen von Internetanbietern angepriesen, und ein Internetanbieter sieht alles.
DoH und Cybersicherheit in Unternehmen
DNS über HTTPS soll die Privatsphäre der Endbenutzer verbessern. Es hat jedoch erhebliche Auswirkungen auf die Cybersicherheit ihres Arbeitsplatzes.
Eine dieser Auswirkungen ist stärker technologieorientiert. Die meisten DNS-Server unterstützen DoH nicht, daher wird der DoH-Datenverkehr zu spezialisierten „Resolvern“ geleitet. Der DNS-Verkehr einer Organisation kann zwischen zwei verschiedenen Infrastrukturen (reines DNS vs. DoH) aufgeteilt werden.
Dieses geteilte Modell ist nicht die beste Vorgehensweise für Software-Design.
Der andere große Einfluss von DoH auf Unternehmen besteht darin, dass es die meisten Cybersicherheitswerkzeuge unbrauchbar macht. Viele Unternehmen überwachen den DNS-Verkehr, um ihre Mitarbeiter zu schützen. Die DNS-basierte Verkehrsfilterung sucht nach:
- Malware, die mit Befehls- und Kontrollservern kommuniziert
- Phishing- und andere bösartige Websites
- Websites, die illegal oder für die Arbeit ungeeignet sind
Mit DoH können Mitarbeiter diese Schutzmaßnahmen umgehen.
Während dies ihnen möglicherweise zugutekommt, indem sie Zugriff auf eingeschränkte Inhalte erhalten, setzt es sie auch der Gefahr aus, Phishing- und Malware-belastete Websites zu besuchen. Infolgedessen werden Unternehmen Schwierigkeiten haben, Malware in ihren Netzwerken zu erkennen und sich dagegen zu schützen.
DNS-Überwachung durch Internetanbieter
Einer der Hauptverkaufsargumente von DoH für potenzielle Benutzer ist die Möglichkeit, DNS-Anfragen vor Internetanbietern (ISPs) zu verbergen. Ein ISP kann den DNS-Verkehr eines Benutzers aus verschiedenen Gründen überwachen. Einige davon sind positiv, andere negativ.
Die positiven Vorteile der DNS-Überwachung durch einen ISP sind die gleichen wie bei der Überwachung durch Unternehmen. Diese Systeme sollen Anfragen im Zusammenhang mit Malware und illegalem Material identifizieren (und möglicherweise blockieren).
Zum Beispiel wollte das Vereinigte Königreich die DNS-Überwachung nutzen, um sicherzustellen, dass Besucher von Seiten mit Erwachseneninhalten über 18 Jahre alt sind. Der Schutz vor Malware und die Verhinderung illegaler Aktivitäten gelten im Allgemeinen als positive Auswirkungen der DNS-Überwachung.
ISPs können auch ihre Macht über die Internetverbindung eines Benutzers missbrauchen. Der ISP kann Daten über die Surfgewohnheiten eines Benutzers sammeln und monetarisieren. Zensurprogramme wie die Große Firewall von China werden auch durch die Zusammenarbeit der ISPs durchgeführt.
Die Implementierung von DoH hat jedoch wenig oder keine Auswirkungen auf die Fähigkeit eines ISPs, den Datenverkehr der Benutzer zu überwachen. Die Auswirkungen von DoH auf ISPs sind rein theoretisch. Da ein ISP vollen Zugriff auf die Internetverbindung eines Benutzers hat, kann er die von DoH geschützten Daten auf andere Weise sammeln.
Das Fazit zu DoH
Obwohl DoH gute Absichten hat, hilft es dem Benutzer wenig und hat erhebliche negative Auswirkungen.
Die gleichen Informationen, die DoH schützt, werden auf verschiedene andere Weise preisgegeben, und Benutzer sind mit anderen Lösungen wie VPNs oder dem Tor-Netzwerk besser dran, um ihre Privatsphäre zu schützen.
Auf der anderen Seite erschwert DoH es Organisationen, legitime Anwendungen der DNS-Überwachung zu implementieren.
Die Implementierung von DoH ist ebenfalls problematisch. Es zentralisiert die DNS-Infrastruktur auf einige „Resolver“, wodurch es für einen Lauscher, der Zugang zu einem Resolver hat, einfacher wird, Daten zu sammeln.
Dies erhöht auch die Komplexität der Infrastruktur von Organisationen, da sie eine geteilte DNS-Infrastruktur implementieren müssen.
Obwohl DoH von Google und Firefox erhebliche Unterstützung erfährt, schafft es mehr Probleme, als es löst. Wie DNSSEC und DNS über TLS (DoT) lösen andere Lösungen das gleiche Problem effizienter und effektiver.