Verbesserung der Sicherheit des Domain-Name-Systems (DNS)

BSI-Studie zur DNSSEC-Tauglichkeit von Internetzugangs-Routern

(06.05.10) - Seit dem 7. April 2010 stehen die Einträge der Domain ".bund.de" kryptographisch signiert zur Verfügung. Der zur Überprüfung der Signaturen erforderliche Schlüssel ist seit dem
29. April 2010 in der von der Denic Domain Verwaltungs- und Betriebsgesellschaft eG bereit gestellten Testumgebung veröffentlicht. Er kann außerdem auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) herunter geladen werden. Nutzern der Testumgebung wird damit bereits heute bei der Namensauflösung die Validierung der Einträge mit der Endung ".bund.de" ermöglicht. Eine Signierung weiterer Domains der Bundesverwaltung ist geplant. Die Bundesverwaltung beteiligt sich somit aktiv an der Testumgebung für die DNS-Sicherheitserwei-terung DNSSEC (Domain Name Security Extensions) und nimmt hier eine Vorreiterrolle ein.

Im Jahr 2008 wurde in dem für das Internet wichtigen Dienst Domain Name System (DNS) eine Schwachstelle entdeckt, die es Angreifern potenziell ermöglicht, den Internetverkehr von Anwendern umzulenken, Daten mitzulesen und Inhalte zu manipulieren. Die Ausnutzung der Schwachstelle wurde seitdem erschwert, ist aber nicht geschlossen.

Um das Domain Name System nachhaltig zu verbessern, empfiehlt das BSI die Einführung der DNS-Erweiterung DNSSEC, bei der die DNS-Einträge mittels kryptographischer Verfahren auf ihre Gültigkeit geprüft werden. Mit DNSSEC können die bekannten Sicherheitslücken geschlossen und Manipulationen erschwert werden.

DNSSEC

Im Domain Name System (DNS) werden die vom Nutzer eingegebenen Domains in eine vom Computer verarbeitbare Internetprotokoll-Adresse (IP-Adresse) umgewandelt. Es ist sozusagen das Telefonbuch des Internet. Das DNS ist ein hierarchisch organisiertes Verzeichnis. Kann ein Nameserver eine Anfrage nicht selbst beantworten, bezieht er die Antwort vom zuständigen System und hält diese dann in der Regel für die schnelle Bearbeitung zukünftiger Anfragen im Puffer-Speicher (Cache) vor.

Derzeit wird die Information, welche Domain in welche IP-Adresse aufzulösen ist, unverschlüsselt übertragen. Deswegen können auf dem Transportweg beziehungsweise durch Cache-Manipulation in den zur Auflösung verwendeten Nameservern (Resolver) Veränderungen vorgenommen und Nutzer auf manipulierte Seiten gelenkt werden.

DNSSEC hingegen signiert die Nameserver-Einträge. Somit wird sichergestellt, dass die Informationen nicht manipuliert werden und der Absender der Informationen sicher authentifiziert werden kann. Die Sicherung des Pfades zwischen DNS-Servern und DNSSEC-fähigen Klienten bindet dazwischen liegende Resolver mit ihren Caches in die Sicherheitskette ein. Anhand kryptographischer Signaturen lässt sich prüfen, ob die beim Resolver eintreffenden Daten vollständig und unverändert sind.

Durch die Authentisierung des gesamten DNS-Verkehrs schließt das Verfahren unbemerkte Manipulationen an den Daten durch Dritte während des Datentransports aus und bietet dadurch Schutz vor potenziellen DNS-basierten Sicherheitsrisiken wie Cache-Manipulationen, DNS-Umleitungen und Spoofing.

Zusammen mit eco und Denic (Deutsches Network Information Center) startete das BSI im Juli 2009 eine Initiative mit dem Ziel der Einführung von DNSSEC in Deutschland. In der von DENIC bereitgestellten Testumgebung werden operative und technische Erfahrungen gesammelt und geprüft. Potentielle Auswirkungen auf die Sicherheit und Zuverlässigkeit sollen so vor einer möglichen Einführung evaluiert werden.

BSI-Studie zur DNSSEC-Tauglichkeit von Internetzugangsroutern

Das BSI führte in den vergangenen Monaten eine Studie durch, um die Internetzugangs-Router, die üblicherweise an privaten Internetanschlüssen in Deutschland eingesetzt werden, auf ihre DNSSEC-Tauglichkeit und andere Sicherheitseigenschaften zu testen. Die Studie wurde in Zusammenarbeit mit interessierten Herstellern und Internetprovidern erstellt. Eine möglichst vollständige Erfassung des deutschen Marktes beziehungsweise die Erstellung von Einzelbewertungen oder Produkt-empfehlungen stand nicht im Fokus.

Das Ergebnis der Studie zeigt, dass viele Produkte DNSSEC noch nicht optimal unterstützen. Von 36 getesteten Geräten ermöglichen nur neun der in den Geräten eingebauten DNS-Proxies die Nutzung der durch DNSSEC eingeführten Sicherheitserweiterungen. Bei den anderen kann DNSSEC nur bei Umgehung der eingebauten DNS-Proxies verwendet werden.

Auch die Werkseinstellungen in Bezug auf die Sicherheit des durch die Geräte bereitgestellten WLAN-Zugangs sind in vielen Fällen nicht zufriedenstellend. Bei mehr als der Hälfte der getesteten Geräte war keine Verschlüsselung vorkonfiguriert. Ein so betriebener Router ermöglicht die missbräuchliche Verwendung des Internetzugangs durch Dritte. Das BSI empfiehlt in solchen Fällen die manuelle Aktivierung der WPA-2-Verschlüsselung unmittelbar bei Inbetriebnahme. (BSI: ma)