#Security: Und wer schürft Ihre DNS-Daten?

DNS-Standards DoT und DoH verschlüsseln den DNS-Verkehr. Durch die Zentralisierung der DNS-Namensauflösung gewinnen multinationale Internetkonzerne noch mehr Macht, so Michael Hausding von SWITCH.
 
Das Domain Name System (DNS) bildet die Grundlage für die Adressierung nach Namen im Internet. In letzter Zeit erhält das DNS mehr Aufmerksamkeit. Einerseits durch technische Erweiterungen, die die Privatsphäre erhöhen und von multinationalen Konzernen für ihre DNS-Resolverdienste genutzt werden. Andererseits von Nationalstaaten, die versuchen das Internet zu regulieren.
 
Gegen Überwachung und Missbrauch
DNS-Anfragen, die jeder Internetnutzende unbemerkt durchführt, verraten detailliert das individuelle Nutzungsverhalten im Internet. So ist zu sehen, wann welche Webseiten aufgerufen oder welche anderen Dienste genutzt werden. 2013 legte Snowden die staatliche Überwachung des Internets und des DNS offen. Als Reaktion darauf begann die Weiterentwicklung vom DNS-Protokoll zum Schutz der Privatsphäre.
 
In den letzten Jahren haben sich die beiden Standards DNS over TLS (DoT) und DNS over HTTP(s)(DoH) etabliert (technische Details unten). Beide Standards verschlüsseln die DNS-Anfragen und -Antworten zwischen Client und Resolver und schützen so die Privatsphäre der Internetnutzenden, so dass es nicht einfach möglich ist sie abzuhören. Beide bieten eine Authentisierung des DNS-Servers und verhindern so Man-in-the-Middle-Attacken. Während DoT-Verkehr blockierbar ist, verstecken sich DNS-Anfragen über DoH im Webverkehr und sind somit nicht mehr als DNS-Verkehr erkennbar und blockierbar.
 
DNS-Daten bleiben der Preis
Die grössten Player, die diese Standards auf ihren sogenannten öffentlichen Resolvern (öffentlich im Sinne für alle zugänglich) anbieten, sind Google (8.8.8.8), Cloudflare (1.1.1.1) und Quad9 (9.9.9.9). Internetnutzende, die einen dieser Dienste über DoT oder DoH nutzen, müssen dem Anbieter vertrauen, geniessen aber ansonsten Vorteile, die ihr lokaler Internetanbieter (ISP) meistens nicht in diesem Umfang bieten kann: Die Verschlüsselung der DNS-Anfragen und -Antworten bis zum Resolver, die Validierung von DNSSEC und damit den Schutz vor Umleitungen, sowie den Geschwindigkeitsvorteil eines grossen Caches und weltweite Verfügbarkeit mit Anycast.
 
Eine Messung vom April 2018 zeigt Anteile am globalen Resolvermarkt von 13 Prozent für Google und 1.82 Prozent für Cloudflare. Es ist davon auszugehen, dass der Marktanteil seitdem weiter gewachsen ist.
 
DNS-Verkehrsdaten liefern wertvolle ökonomische und sicherheitstechnische Informationen, die sich potentiell monetisieren lassen. User bezahlen die Dienste nur mit ihren DNS-Verkehrsdaten. Die grossen Anbieter können durch die Korrelation mit bereits vorhandenen User-Daten weiteren Nutzen erzielen. Die zunehmende Konzentration auf einige wenige Anbieter und der Verlust der Kontrolle durch Netzwerkbetreiber und den Gesetzgeber führen zunehmend zu einer Diskussion um das DNS, sogar im Britischen Parlament gab es eine Anfrage zu DoH.
 
Nationale Regulierung nicht mehr möglich
Rekursive DNS-Resolverdienste sind weder in der Schweiz noch international reguliert. Nur durch die Regulierung von Fernmeldeanbietern besteht eine indirekte Regulierung. Diese Regulierung schreibt in einigen Ländern eine "Sperre" für gewisse Websites vor, ohne eine Technologie zu nennen. Das DNS, das bis jetzt relativ ungesichert war, hat sich als einzige mögliche Umsetzung dieser Sperren erwiesen. Mit der Verlagerung von DNS-Resolvern von den ISPs, die als Fernmeldeanbieter reguliert sind, zu multinationalen Konzernen wird nun diese Regulierungsmöglichkeit zur einfachen Kontrolle von Inhalten im Internet wirkungslos.
 
In der Schweiz dürfte die Adaption von DoT und DoH auch Auswirkungen auf die Durchsetzung des neuen Geldspielgesetzes haben. Wie einfach Benutzer die Filtermassnahmen umgehen können, ist dem Gesetzgeber sicherlich bewusst. Aber mit so schnellen Veränderungen auf der Infrastrukturebene hat wohl niemand gerechnet: Chromium und Mozilla diskutieren bereits öffentlich, DoH als Voreinstellung für ihre Browser einzustellen. Und damit sind dann regulatorische Massnahmen wirkungslos, noch bevor der erste Domain-Name auf der Sperrliste steht.
 
DNS-Resolverdienste in der Schweiz
DNS-Resolverdienste in der Schweiz werden bis jetzt fast ausschliesslich vom Internetanbieter (ISP) betrieben. Eine prominente Ausnahme ist Salt, die Googles Resolver verwenden. Salt-Kunden haben dadurch einen Resolver, der Verschlüsslung über DoT anbietet sowie DNSSEC validiert. Auch Android 9 User profitieren davon, dass ihr Mobilgerät automatisch feststellt, dass der per DHCP konfigurierte DNS-Server über DoT zu erreichen ist und kommunizieren verschlüsselt mit dem DNS-Server.
 
Doch auch Nutzer anderer Anbieter können vom zusätzlichen Schutz profitieren, wenn ihr Betriebssystem oder Browser DoT oder DoH unterstützt. Wer seine DNS-Anfragen nur noch verschlüsselt versenden möchte, kann aktiv einen der grossen globalen öffentlichen Resolver nutzen oder falls er einen Schweizer Anbieter bevorzugt den DoT oder DoH Server der Digitalen Gesellschaft Schweiz, die auch eine Konfigurationsanleitung bereit stellt. Auch SWITCH bietet einen DoH- und DoT-Dienst an.
 
Bei der Wahl eines DNS-Resolverdienstes ist dessen Vertrauenswürdigkeit entscheidend. Hierbei spielt das Datenschutzgesetz des Landes eine wesentliche Rolle, in dem der Resolverdienstbetreiber seinen Hauptsitz hat. Der Betreiber des DNS-Resolverdienstes ist theoretisch in der Lage das Nutzerverhalten selbst dann zu überwachen, wenn der DNS-Verkehr verschlüsselt ist. Die Wahl des DNS-Resolvers ist also entscheidend, unabhängig davon, ob der DNS-Verkehr verschlüsselt wird oder nicht. Mit der Nutzung eines externen DNS-Resolverdienstes vertraut man seine Nutzerdaten einer zusätzlichen Unternehmung an. Wer also auf Privatsphäre Wert legt, betreibt am besten seinen eigenen rekursiven DNS-Resolver.
 
Die Entwicklung des DNS-Systems ist noch nicht abgeschlossen, wie die Neuentwicklungen auf technischer und politischer Ebene zeigen. Es ist davon auszugehen, dass auch in Zukunft eine verstärkte Auseinandersetzung über die Kontrolle der DNS-Resolver und damit über das Internet geführt wird. Für den Internetnutzenden ist es wichtig, dass er seine DNS-Resolver bewusst und auf sein Risiko angepasst auswählt und einen vertrauenswürdigen Anbieter wählt, der das nötige Schutzniveau bieten kann. Von der DNS-Auflösung hängt schliesslich die Sicherheit aller anderen verwendeten Dienste ab. (Michael Hausding)
 
Glossar
Technische Details DoH/DoT/DNSSEC
Während das vor etwa zehn Jahren eingeführte DNSSEC eine Möglichkeit bietet, die Authentizität und die Integrität von DNS-Antworten zu überprüfen, blieben zwei weitere Sicherheitsprobleme des DNS lange ungelöst, nämlich die unverschlüsselte Datenübertragung zwischen Client und Resolver, sowie die Authentisierung des DNS-Resolvers. Erst in den letzten Jahren haben sich die beiden Standards DoT und DoH etabliert, die DNS-Server authentisieren und DNS-Anfragen und -Antworten verschlüsseln und so die Privatsphäre der Internetnutzer schützen.
 
DNS over Transport Layer Security (DoT)
Die Entwicklung von DoT hat 2014 nach der durch Snowden offengelegten Überwachung des Internets und des DNS begonnen. Ziel ist es, die Verschlüsselung vom Systemweiten Stub Resolver bis zum Recursiven Resolver zu schützen. DoT versucht dies durch das verschlüsseln der DNS-Anfragen und -Antworten über die bekannte Transport Layer Security (TLS) auf Port 853. Der DNS-Verkehr ist so vor dem Abhören geschützt. Auf Client Seite kann DoT opportunistisch genutzt werden, das heisst dass Clients einen per DHCP zugeteilten DNS-Server auf DoT-Unterstützung anfragen können und diese, falls vorhanden, nutzen können. DoT wird von Android ab Version 9 unterstützt und ist per Default eingeschaltet. Ein alternativer DNS-Resolver lässt sich über die Systemeinstellungen konfigurieren. Der Router Turris Omnia und andere OpenWRT basierte Heimrouter unterstützen DoT ebenfalls und ermöglichen es so, den gesamten DNS-Verkehr eines Netzes verschlüsselt bis zu einem vertrauenswürdigen Resolver zu übermitteln.
 
DNS Queries over HTTPS (DoH)
DoH wurde 2018 standardisiert und versucht das gleiche Problem zu lösen und die Vertraulichkeit der DNS-Kommunikation zu schützen. Darüber hinaus ist DoH aber so entwickelt worden, dass es mit HTTPS einen vorhandenen Kanal nutzt und den DNS-Verkehr sozusagen im HTTPS Query versteckt. Die operative Konsequenz ist im RFC angegeben: "Filtering or inspection systems that rely on unsecured transport of DNS will not function in a DNS over HTTPS environment due to the confidentiality and integrity protection provided by TLS." Aus diesem Grund wird DoH von einigen DNS-Spezialisten auch als politisch motivierte Entwicklung abgelehnt, so unter anderem von Paul Vixie der vor einem Kontrollverlust für die Netzwerkbetreiber warnt: "DoH is an over the top bypass of enterprise and other private networks. But DNS is part of the control plane, and network operators must be able to monitor and filter it. Use DoT, never DoH." Einige Bürgerrechtler sehen das anders und können sogar damit leben, dass der Dienst momentan von Google und Cloudflare dominiert wird. So zum Beispiel die Open Rights Group aus England: "DoT and DoH provide valuable new protection for users online". Firefox unterstützt DoH seit Version 62 und ermöglicht so DNS_Abfragen direkt aus der Applikation und am Systemweiten DNS-Dienst vorbei.
 
Referenzen
Über den Autor: Michael Hausding studierte Informatik an der TU Darmstadt und MTEC an der ETH Zürich. Seit 2008 arbeitet er als Sicherheitsexperte im Team von SWITCH-CERT und ist auf DNS- und Domain-Missbrauch spezialisiert.
 
Über #Security: Die Kolumne über Sicherheit erscheint sechs Mal jährlich. Die Autoren äussern unabhängig ihre Meinung, die sich nicht mit der Redaktionsmeinung von inside-it.ch und inside-channels.ch decken muss.