DoT, DoH und DNSSEC: Sichere DNS-Kommunikation
Das Domain Name System, kurz DNS, bildet die Grundlage für das Internet. Im Bestreben die Sicherheit des Systems weiter zu verbessern, wurde DoT resp. DoH addiert. In diesem Artikel erfahren Sie worum es sich dabei handelt, welchen Nutzen DoT resp. DoH bringen und was Sie im Zusammenhang mit dem Netzwerk der Universität Bern berücksichtigen müssen.
Das Wichtigste in Kürze
Das Domain Name System ist eine Schlüsselkomponente des Internets und ermöglicht es für Internetdienste und Webseiten einfach zu merkenden Domänen-Namen wie www.unibe.ch zu verwenden. Im Bestreben die Sicherheit des Systems weiter zu erhöhen, wurden DoT ("DNS over TLS") und DoH ("DNS over HTTPS") addiert, womit die Kommunikation zwischen Endgerät und DNS-Server verschlüsselt werden kann.
Bei DNSSEC überprüft der DNS-Server die Echtheit und Integrität eines DNS-Eintrages und liefert dem Endgerät nur sichere DNS-Einträge aus.
Bei DoT und DoH wird die Kommunikation zwischen Endgerät und DNS-Server verschlüsselt, sodass ein Abhören und Verändern der DNS-Nachrichten auf der "letzten Meile" verunmöglicht wird. Eine Überprüfung auf Echtheit und Integrität findet dabei nicht statt.
Nutzen von DoT, DoH und DNSSEC
Die Absicherung des Domain Name System (DNS) gegen Hacker-Angriffe ist ein wesentlicher Bestandteil, um das Internet als Ganzes sicherer zu machen. Im Jahre 2005 wurde der erste grosse Schritt in diese Richtung unternommen und DNS um die Domain Name System Security Extension (DNSSEC) erweitert.
Mit DNSSEC ist es möglich zu erkennen, ob ein DNS-Eintrag während der Übertragung verändert wurde. Dadurch werden Angriffe, bei welchen DNS-Abfragen verändert und Benutzer auf gefälschte Webseiten umgeleitet werden, verunmöglicht. Zu beachten gilt es, dass der Schutz nur bei DNS-Zonen funktioniert, die DNSSEC aktiviert haben.
Da bei DNSSEC die Kommunikation zwischen DNS-Server und Endgerät nicht verschlüsselt wird, können Netzwerkbetreiber und Internet-Provider die in den DNS-Abfragen enthaltenen Informationen einsehen. Im ungünstigsten Fall können diese Informationen dazu verwendet werden Verhaltensprofile zu erstellen, welche wiederum für Werbezwecke verkauft werden können. DoT resp. DoH verhindern dies, indem die Kommunikation zwischen DNS-Server und Endgerät verschlüsselt wird und für Dritte nicht mehr einsehbar ist.
DoT resp. DoH ist somit als weitere Massnahme zusätzlich zu DNSSEC zu sehen und keinesfalls als Ersatz.
DoT, DoH und DNSSEC an der Universität Bern
Wird derzeit DoT oder DoH auf einem Endgerät innerhalb des Netzwerks der Universität Bern aktiviert, werden die zentralen DNS-Server umgangen und die DNS-Anfragen direkt an DNS-Server ausserhalb der Universität Bern geschickt. Dadurch wird die DNS-Firewall umgangen und der zusätzliche Schutz gegen Phishing- und Malware-Webseiten nicht genutzt. Da die DNS-Server der Universität Bern auch DNSSEC unterstützen und DNS-Abfragen aus Benutzersicht anonymisiert weiterleiten, verliert man auch diesen zusätzlichen Schutz.
Daher empfehlen die Informatikdienste, solange die zentralen DNS-Server der Universität Bern DoT resp. DoH noch nicht unterstützen, die Funktionen nicht zu verwenden.
Sollten Sie Hilfe bei bei der Konfiguration Ihres Computers für die Verwendung der zentralen DNS-Server benötigen, finden Sie auf dem Serviceportal nützliche Anleitungen.
Unterschiede von DoT und DoH
Wie bereits erwähnt, verschlüsseln beide Methoden die Kommunikation zwischen Endgerät und DNS-Server. Der wesentliche Unterschied besteht in den verwendeten Protokollen. DoT verwendet TLS (Transport Layer Security) auf TCP-Port 853 und DoH verwendet HTTPS auf TCP-Port 443.
Da HTTPS bereits fester Bestandteil von Netzwerken ist, bietet sich die Verwendung von DoH an, denn im Gegensatz zu DoT müssen keine neuen Firewall-Regeln erstellt werden. Problematisch ist allerdings, dass mit DoH in den Netzwerkdaten nicht mehr zwischen Webseiten- und DNS-Daten unterschieden werden kann. Das wiederum stellt unter anderem Firewalls, welche Sicherheitsfunktionen basierend auf DNS-Abfragen anbieten, vor neue Herausforderungen. Die Verwendung von DoT würde diese Problematik etwas entschärfen, allerdings zum Preis des Mehraufwands von Anpassungen im Netzwerk.
Webbrowser konfigurieren
DoT und DoH
Derzeit unterstützen noch nicht alle Webbrowser die sichere Kommunikation für DNS mittels DoT oder DoH. Bei denjenigen welche die neuen Protokolle unterstützen, können die Standardeinstellungen für die Verwendung im Netzwerk der Universität Bern beibehalten werden.
Nachfolgend eine Auflistung wie gängige Browser standardmässig eingestellt sind.
- Google Chrome und Browser welche darauf basieren (bspw. Brave, Microsoft Edge, Chromium, etc.): Die sichere Kommunikation für DNS ist standardmässig aktiviert und verwendet die lokalen DNS-Server. Dabei wird automatisch erkannt, ob die DNS-Server die sichere Kommunikation unterstützen oder nicht. Wird sie nicht unterstützt, wie dies derzeit bei den DNS-Servern der Universität Bern der Fall ist, so wird wie bisher unverschlüsselt kommuniziert.
- Firefox: Die sichere Kommunikation für DNS ist standardmässig deaktiviert.
- Safari: Die sichere Kommunikation für DNS wird noch nicht unterstützt.
DNSSEC
Für DNSSEC ist keine Konfiguration auf den Endgeräten notwendig.