Verschlüsselte DNS: Vor- und Nachteile
Verschlüsselte DNS bieten den Vorteil, dass sie den Internetnutzern mehr Sicherheit bieten, da diese und während der Auflösung einer DNS-Anfrage eine Dateninfiltration oder das Hijacking auf andere Webseiten erschweren. Es bestehen jedoch Zweifel an der tatsächlichen Sicherheit, die sie bieten. In diesem Beitrag erläutern wir, wie die von FlashStart angebotenen Tools die Verwendung von verschlüsselten DNS zuverlässiger machen.
1. Was bedeutet DNS?
Das DNS – Domain Name System – ist sozusagen das Telefonbuch des Internets. Jede Website kann anhand einer Reihe von Zahlen und Punkten, der sogenannten IP-Adresse (Internet Protokoll), zurückverfolgt und so eindeutig identifiziert werden. Darüber hinaus sind auch alle Internet fähigen Geräte mit einer eindeutigen IP-Adresse ausgestattet. Praktisch zu vergleichen mit der Kommunikation zwischen zwei Telefonnummern, wobei die eine anruft und die andere antwortet.
Das DNS-Protokoll ist das System, mit dem der Name der gesuchten Domäne oder Webseite, der leicht zu merken oder in einer Liste von Suchergebnissen zu identifizieren ist, in die vom Internet erkannte Folge von Zahlen übersetzt wird. Sobald dies abgeschlossen ist, was nur Bruchteile dauert und kaum merkbar ist, leitet der Browser den Benutzer auf die gewünschte Webseite weiter.
Genauer gesagt, arbeiten wir bei jeder unserer Anfragen zum Laden einer Webseite mit vier Servern in einem Prozess.
2. Rekursiver DNS-Server
Es handelt sich um einen rekursiven Resolver, der Abfragen (zur Weiterleitung auf Webseiten) entgegennimmt, die in der Regel von einem Webbrowser ausgehen. Für jede Anfrage speichert er die Informationen, die er von den anderen am Prozess beteiligten Servern erhält.
Wenn ein Benutzer mehrmals den Zugriff auf dieselbe Webseite anfordert, kann der rekursive Resolver auf diese Weise den Prozess mit den vier Servern umgehen und den Benutzer direkt auf die gewünschte Webseite weiterleiten. Dies ist möglich, weil der DNS-Recursor der Server ist, der die Strings des Prozesses speichert und Anfragen an die anderen Server sendet, sobald er deren Bestätigung erhält.
3. Root-Nameserver
Der Root-Nameserver ist der erste Schritt bei der eigentlichen sogenannten Auflösung und ist für die Weiterleitung der rekursiven Resolver-Anfrage auf der Grundlage der Erweiterung der gesuchten Domain (.net, .org, .it, .com usw.) zuständig.
Es gibt 13 root nameserver auf der Welt. Sie werden von einer Organisation namens Internet Corporation for Assigned Names and Numbers (ICANN) verwaltet, die nach dem Motto „Eine Welt, ein Internet“ arbeitet. Alle Root-Nameserver setzen Anycast zur Lastverteilung ein, übrigens verwendet auch FlashStart das Anycast Netzwerk, um so über 1700 weltweit verteilte Server zu bedienen.
Im Vergleich zu Bibliotheksdiensten entspricht der Root-Nameserver dem Bibliothekskatalog, in dem der spezifische Standort eines bestimmten Buches aufgeführt ist.
4. TLD Nameserver
Ein TLD-Nameserver verwaltet die Informationen zu allen Domain-Namen, die über die gleiche Endung verfügen. Zum Beispiel umfasst der TLD-Nameserver .com alle katalogisierten Websites, deren URL auf .com endet.
Diese Server werden von der IANA – der Internet Assigned Numbers Authority – verwaltet, die eine Tochtergesellschaft der ICANN ist. Die IANA hat die TLD-Nameserver in zwei Kategorien unterteilt: generische (wie .com, .edu, .gov, .org und .net) und solche mit internationalen Codes, zu denen alle Domains gehören, die sich auf bestimmte Länder oder Staaten zurückführen lassen (.de, .es, .it, .uk usw.).
In unserer Bibliotheksmetapher entsprechen die TLD-Nameserver dem jeweiligen Regal mit den Büchern in der Bibliothek.
5. Autoritativer Nameserver
Der autoritative Nameserver ist der letzte Schritt im DNS-Auflösungsprozess der IP-Adresse und ist daher vergleichbar mit einem Wörterbuch im Regal, das zuvor identifiziert wurde und die Umwandlung eines Namens in eine bestimmte Definition ermöglicht.
Wenn der autoritative Nameserver Zugriff auf die angeforderten Informationen hat, gibt er die IP-Adresse direkt an den rekursiven Resolver zurück.
>> FlashStart schützt Sie vor Bedrohungen aus dem Internet und blockiert den Zugang zu bösartigen Webseiten. Starten Sie jetzt Ihre kostenlose Testversion.
6. Verschlüsselte DNS
Normalerweise erfolgen DNS-Anfragen und deren Antworten im Klartext, d.h. mit unformatiertem Text, der keinerlei Verschlüsselung aufweist. Das bedeutet, wenn wir beispielsweise nach www.flashstart.com suchen, fragen die verschiedenen Server erst die .com-Domäne ab und dann von dort aus den Namen Flashstart. Bei verschlüsselten DNS hingegen wird nach einem chiffrierten Code gesucht, z.B. “4&s$(„71ha” also etwas, das nicht entzifferbar ist.
Die Verwendung von verschlüsselten DNS wird durch das DNS over HTTPS-Protokoll – kurz DoH genannt – ermöglicht, das es Benutzern erlaubt, die Auflösung von Domain Name System über das HTTPS-Protokoll durchzuführen. Im Vergleich zum herkömmlichen DNS gilt dieses Protokoll als zuverlässiger und eignet sich deshalb besser für den Schutz der Privatsphäre der Benutzer.
Anstelle der Übertragung im Klartext leitet der Browser die Anfrage und damit den Namen der gesuchten Webseite über eine verschlüsselte Verbindung an einen HTTPS-Server weiter. Die Idee dahinter ist, dass bei einer verschlüsselten Verbindung Außenstehende nicht in der Lage sein sollten, in die Suche einzugreifen, um herauszufinden, welche Webseiten man erreichen möchte.
>> Sie können die FlashStart® Internet-Sicherheitslösung auf jedem Router oder jeder Firewall aktivieren, um Ihre Desktop- und Mobilgeräte sowie IoT-Geräte in lokalen Netzwerken zuverlässig zu schützen.
6.1 Verschlüsselte DNS: wirklich zuverlässiger?
Es gibt viele Internetdienstanbieter, die Zweifel an der größeren Sicherheit des DoH-Protokolls im Vergleich zum herkömmlichen DNS-Protokoll äußern. Die Zweifel beziehen sich zum einen auf die Qualität verschlüsselter DNS, die nachweislich schlechter ist als die des traditionellen DNS, und zum anderen auf die tatsächliche Privatsphäre, die dieses Protokoll garantieren kann.
Was den ersten Punkt betrifft, so finden Sie weitere Informationen darüber, wie DNS über HTTPS funktioniert, in unserem diesbezüglichen Artikel.
Im Hinblick auf die Sicherheit verringert das DoH-Protokoll andererseits die Wahrscheinlichkeit von zwischengeschalteten Angriffen, sogenannten „Man-in-the-Middle“-Angriffe, die darauf abzielen, unsere Informationen zu stehlen, ohne dass wir es merken, und unsere Anfragen vielleicht auf gefälschte Webseiten umzuleiten, die Malware und gefährliche Inhalte verbreiten.
Da der DoH-Dienst jedoch unverschlüsselt übertragen wird, können Benutzer die Browser-Filter leicht umgehen, was das Surfen anfälliger macht. Das passiert, wenn diese Filter keinen Schutz über DoH bieten, was bei FlashStart nicht der Fall ist.
Das DoH-Protokoll zwingt Netzwerkadministratoren daher dazu, die Internetsicherheit von verwalteten Netzwerken zu überdenken und die Filterrichtlinien für den Webzugang der Benutzer zu überprüfen. Aus diesen Gründen kann das DoH-Protokoll ein sehr ernster und gezielter Angriffspunkt für die Sicherheit von Daten, Infrastruktur und den Benutzern selbst sein.
Darüber hinaus haben sich auch Hacker in dieser Hinsicht weiterentwickelt und Angriffe entwickelt, die speziell auf DoH-Protokoll-basierte Abfragen abzielen. Dies wie zum Beispiel bei dem Angriff Ende Juli 2020 durch die iranische Gruppe Oilrig, die das DoH-Protokoll zur Handhabung, Exfiltration und Diebstahl von Daten nutzte.
7. FlashStart-Tools: Internetfilter und CloudBOX
FlashStart bietet umfassende Internetsicherheit durch die beiden wichtigsten Instrumente: den DNS-Internetfilter und die CloudBOX.
7.1 Der Internet-Filter von FlashStart
Der Internetfilter von FlashStart nutzt Algorithmen der künstlichen Intelligenz (AI), um alle mit dem Netzwerk verbundenen Benutzer zu schützen. Dies bezieht sich sowohl auf diejenigen, die über den Router des Unternehmens oder zu Hause auf das Netzwerk zugreifen, als auch Nutzer, die aus der Ferne angeschlossen sind und deren Schutz durch die Anwendung ClientShield gewährleistet wird.
Der FlashStart-Schutz ist vollständig Cloud-basiert und erfordert daher keine Updates von den Benutzern. Das Tool blockiert automatisch den Zugriff auf bösartige Inhalte wie Malware, Phishing-Versuche und Spyware. Der Netzwerkadministrator kann dann entscheiden, ob er auch unangemessene Inhalte, wie Pornografie, gewalttätige Inhalte oder Glücksspiel, als auch ablenkende Inhalte, zu denen soziale Netzwerke, Audio- und Video-Streaming-Plattformen und Webseiten zum Online-Shopping gehören, blockieren möchte.
Weitere Informationen über den FlashStart-Inhaltsfilter finden Sie hier.
7.2 FlashStart CloudBOX
Um Sicherheit und Geschwindigkeit zu gewährleisten, bietet FlashStart spezielle Anwendung an: die FlashStart CloudBOX, ein Cache, der als Vermittler zwischen den Benutzern und der FlashStart Cloud fungiert und sowohl als physische Hardware als auch auf virtueller Ebene verfügbar ist.
Die CloudBOX speichert sowohl die DNS-Anfragen der Benutzer als auch die vom Internetfilter erhaltenen Antworten, also sowohl die von der Cloud erteilten als auch die verweigerten Berechtigungen. Dies ermöglicht eine weitere Optimierung der Auflösungszeiten für wiederholte Anfragen, unabhängig von der ohnehin schon sehr geringen Latenz des FlashStart Internetfilters, dessen Anycast-Netzwerk laut www.dnsperf.com zu den schnellsten der Welt gehört.
Darüber hinaus können Sie mit der CloudBox von FlashStart interne DoH-Resolver installieren, wodurch die mit verschlüsselten DNS verbundenen Sicherheitsprobleme vermieden werden und ein zuverlässiges Surfen gewährleistet ist.
Sie können den FlashStart® Cloud-Schutz auf jeder Art von Router und Firewall aktivieren, um Desktop- und Mobilgeräte sowie IoT-Geräte in lokalen Netzwerken zuverlässig zu schützen.