DNS-Schutz per Signierung einen Schritt weiter: Unterstützung für DNS-Signierung bei Home-Router meist mangelhaft

Die Domain »bund.de« verfügt nun über eine Signierung für einen besseren Schutz der Übertragung mittels DNSSEC. Dies ist Teil der Erprobung. Allerdings weisen Home-Router derzeit in vielen Fällen Mängel bei der DNSSEC-Unterstützung auf.

Das Domain-Name-System (DNS) ist das Herzstück des Internets. Daher gibt es auch zahlreiche Angriffe, um das System zu manipulieren. Dann lassen sich Nutzer etwa auf infizierte Webseiten umleiten. Um das DNS besser zu schützen, wird DNSSEC entwickelt. Derzeit gibt es in verschiedenen Ländern Testbetriebe, unter anderem auch in Deutschland. Bei DNSSEC werden die Record-Einträge der DNS-Server signiert. Dies soll Manipulationen der Einträge während der Übertragung verhindern. Die Einträge der Domain »bund.de« sind kryptografisch gesichert. Nutzer der Testumgebung in Deutschland können nun die Abfragen überprüfen. Für den Einsatz von DNSSEC hat das BSI (Bundesamt für Sicherheit in der Informationstechnik) auch einen Test von Home-Routern auf ihre Kompatibilität durchgeführt. Diese war aber alles andere als gut. Zudem hatte mehr als die Hälfte der Geräte keine aktive WLAN-Verschlüsselung.

Wie das Siegel auf einem Testament bestätigt DNSSEC, dass der Eintrag im Domain-Name-System (DNS) nicht manipuliert wurde. (Quelle: Fotolia, Gina Sanders)

Hintergrund für die Einführung von DNSSEC ist eine Schwachstelle im DNS. Bis heute lässt sich diese nutzen, wenn auch mit mehr Aufwand. Über die Schwachstelle lässt sich Internetverkehr umlenken, DNS-Daten lesen oder manipulieren. DNSSEC soll dies verhindern.

DNSEC signiert die Einträge (Records) in den DNS-Servern. Dadurch wird eine Manipulation verhindert und der Absender ist eindeutig. Dies verhindert auch die Veränderung in den Caches.

Allerdings müssen auch die Geräte wie Router auf der Anwender-Seite DNSSEC beherrschen. Dabei sieht es nach einem Test von 36 Geräten durch das BSI nicht so gut aus. Nur 42 Prozent der untersuchten Home-Router sind kompatibel mit DNSSEC. So lange die Clients nicht selbst Domain-Antworten per DNSSEC überprüfen, ist dies kein Problem. Nur neun der untersuchten Geräte kommen mit der DNS-Erweiterung zurecht. Bei den restlichen muss der Anwender den DNS-Proxy umgehen, wenn er die Schutzfunktion nutzen will.

Die mangelnde Kompatibilität ergibt sich bei den Geräten meistens durch die fehlende Implementierung von EDNSO (Extended-DNS). Diese ist notwendig, weil durch die Signierung die DNS-Antworten deutlich größer werden, als dies DNS bisher vorsieht. Hinzu kommt nicht vorhandene TCP-Unterstützung. Diese dient als Backup, wenn die UDP-Frage nicht funktioniert. Das Fehlen führt übrigens auch bei Enum-Abfragen zu Problemen.