Blog

Im InterNetX Blog erfahren Sie Neuigkeiten, Hintergründe und Innovationen
aus den Bereichen Domains, Server und SSL.

DNSCrypt: Aufbau, Funktionsweise und Einsatzbereiche

Als Netzwerk-Protokoll trägt DNSCrypt neben DNSSEC dazu bei, DNS-Traffic zu authentifizieren. DNSCrypt bedient sich dabei kryptographischer Signaturen und stellt sicher, dass DNS-Resolver korrekt abgefragt werden. So schützt es effektiv vor DNS-Spoofing.


Blogartikel DNSCrypt – was ist das?

DNSCrypt ist ein Netzwerk-Protokoll, das ursprünglich von Frank Denis und Yecheng Fu ins Leben gerufen wurde, mit dem Ziel die Sicherheit, Privatsphäre und Integrität im Netz zu erhöhen. DNSCrypt ist eine offene Spezifikation mit freien und quelloffenen Referenzimplementierungen und kann zum Einsatz kommen, um sowohl auf Computern als auch auf Servern oder mobilen Endgeräten für erhöhte Sicherheit bei DNS-Anfragen zu sorgen.


Die Entwicklung von DNSCrypt ergab sich aus der Schwachstellenanalyse des Domain Name Systems. DNS-Spoofing, sog. Manipulationen von DNS-Antworten, ist eine von Hackern häufig genutzte Methode, um in ein DNS-System einzudringen und DNS-Anfragen zu manipulieren. DNSCrypt ist eine Ergänzung oder Erweiterung zu DNSSEC – ein erstes, auch von der ICANN anerkanntes Vorhaben, die Integrität und Authentizität der DNS-Datenübertragung zu gewährleisten.

Obwohl das DNSCrypt Protokoll weithin genutzt wird, um UDP-basierte Amplifikationsangriffe wie  Denial of Service (DoS) zu entschärfen bzw. zu verhindern, wurde es nie als Request for Comment (RFC) bei der Internet Engineering Task Force (IETF), einer Organisation zur Förderung frei zugängliche Internetstandards, vorgeschlagen. Im Gegensatz hierzu ist DNSSEC im RFC 4033 dokumentiert.

DNSSEC gewährleistet ein hohes Maß an Sicherheit und Vertrauen. Erfahren Sie mehr über dieses Internetprotokoll zum Schutz Ihrer Domains!

Der Hintergrund: Die Schwachstellen des DNS

Als das DNS im Jahr 1983 vom IT-Pionier Paul Mockapetris entwickelt wurde, spielte Sicherheit bei der Datenübertragung eine eher untergeordnete Rolle. Die primäre Aufgabe bestand darin, die Nutzerfreundlichkeit des noch im Entstehen befindlichen Internets zu erhöhen. Anstelle komplizierter numerischer Zeichenfolgen sollten Nutzer über deutlich leichter zu merkende Domain-Namen auf Internetseiten zugreifen können. Das Domain Name System basiert auf einem einfachen Funktionsprinzip. Wird eine URL in die Browserleiste eingeben, geht die Anfrage an einen DNS-Server. Die Aufgabe dieses DNS-Servers besteht darin, die Anfrage an die IP-Adresse weiterzuleiten, die mit dem Domain-Namen verknüpft ist. Diese wesentliche Aufgabe des Domain Name Systems ist auch als “Domain Name Resolution” bekannt.

Bei diesem Vorgang werden quasi alle Informationen, die für die Auffindung der gesuchten Web-Adresse nötig sind, zusammengetragen und am Ende dem Client als IP-Adresse zur Verfügung gestellt. Über die IP-Adresse kann der Client dann den konkreten Server ansprechen – die  gesuchte Website wird im Browser angezeigt. Im Detail läuft dies so: Der Client schickt die Anfrage nach der konkreten IP-Adresse an den DNS Resolver. Der sendet zunächst eine Anfrage an den Root Server (DNS Root), um zu erfahren, welcher DNS Server für die jeweilige Top-Level-Domain (z.B. .de) zuständig ist. Nach Erhalt der Information geht die Anfrage weiter an den TLD Server, der die Autoritativen Nameserver des Providers zurückschickt. Dann folgt die Anfrage an einen der autoritativen Nameserver (DNS Zone), der die gesuchte IP-Adresse an den DNS Resolver zurücksendet. Dieser schickt die IP-Adresse an den Client, der damit den zuständigen Server ansprechen kann (Request – Response), um die gewünschte Website aufzurufen.

Auf diese Weise verarbeiten DNS-Server grundsätzlich sämtliche Internet-Dienste. Und das macht DNS-Server zu einem interessanten Ziel für Cyberangriffe. Das DNS braucht daher Schutzmechanismen, um Schwachstellen abzusichern und die Datenverarbeitung nach notwendigen Schutzstandards zu gestalten. An dieser Stelle kommt DNSCrypt zum Einsatz.

DNSCrypt: Zur Vermeidung von DNS-Schwachstellen

Grundsätzlich ist im DNS-System jeder Teilnehmer im Netzwerk imstande, Anfragen mitzulesen, die von einem Endgerät ausgehen. In Firmennetzwerken können auf diese Weise exakte Protokolle darüber erstellt werden, welche Internetseiten Mitarbeiter im Verlauf des Tages besucht haben. Dies geschieht unauffällig und ohne, dass der Traffic über HTTP(S) mitgelesen werden muss. Auch Universitäten und andere Institutionen machen sich dies zunutze, um Internet-Traffic genau zu loggen. Oftmals werden nur eigene DNS-Server erlaubt, während andere blockiert werden. Über eine VPN-Verbindung geleitet, kann auch der Traffic protokolliert werden. Auch Staaten können in diesen Mechanismus eingreifen, um beispielsweise Internet-Filter oder -Sperren einzurichten. Bei dieser Form von Manipulation werden falsche IP-Adressen  auf DNS-Anfragen zurückgeschickt, sofern diese Anfragen auf einer Blacklist stehen.

Die Kontrolle der DNS-Anfragen eines Clients macht es möglich, Nutzer auf jede beliebige Internetseite umzuleiten. Nutzer bemerken hiervon zunächst nichts, da in der Adresszeile des Browsers genau das steht, was User ursprünglich eingegeben haben. Ebenso ist es auf diese Weise möglich, auf dem Nutzergerät fremde Software zu installieren. Einige Tools prüfen automatisch beim Start einer Anwendung im Internet, ob Updates oder neue Versionen zur Verfügung stehen. Die meisten Anwendungen bieten Usern dabei an, Updates oder neue Versionen sofort herunterzuladen und anschließend zu installieren. Wird der Download nicht auf Grundlage einer Signatur verifiziert, können Angreifer grundsätzlich jede Software installieren, die sie möchten. DNSCrypt kann an mehreren Stellen ansetzen, um die Vertraulichkeit der DNS-Anfragen sicherzustellen oder zu erhöhen.

Was ist DNS Security und wie kann uns Technologie dabei helfen, eine Domain zu schützen? Klaus Darilion (nic.at) beantwortet unsere Fragen in diesem Artikel, damit wir das beschützen können, was uns allen besonders am Herzen liegt: Domains!

So trägt DNSCrypt zu Integrität und Datenschutz bei

DNSCrypt stellt die Integrität der Anfragen client- und serverseitig sicher, in dem es den DNS-Traffic verschlüsselt. Beim kryptographischen Verfahren durch den DNScrypt Proxy kommt die “Elliptische Kurven Kryptographie” zum Einsatz – konkret die Curve25519.

Standardmäßig wird die Anfrage des Browsers über eine UDP-Verbindung (User Datagram Protocol) an den Server übertragen. Die Übertragung von Anfragen über TCP (Transmission Control Protocol) dient hier nur als Fallback-Lösung, denn TCP liefert für Angreifer viele nützliche Informationen. In vielen Netzwerken ist nicht nur UDP über den Port 443 freigeschaltet, sondern auch TCP, da es die Kommunikation mit HTTPS-verschlüsselten Internetseiten ermöglicht.

Der Übertragungsweg des DNSCrypt trägt dazu bei, eine wichtige Schwachstelle zu entfernen:
Die Filterung von Anfragen auf DNS-Basis über Port 53 wird überwunden. Der durch DNSCrypt verschlüsselte DNS-Traffic kann nur noch auf dem gefragten DNS-Server mitgelesen und protokolliert werden. Somit wird eine Man-in-the-Middle-Attacke verhindert.

InterNetX bietet zahlreiche Tools, um die Sicherheit von Domains und die Integrität von DNS-Anfragen optimal zu gewährleisten.

Diese Services machen Ihre Domains so sicher wie möglich


Newsletter anmelden

InterNetXPress Newsletter

Werden Sie jetzt Teil von tausenden InterNetXPress-Lesern!
2x im Monat Jederzeit kündbar
Ich habe die Datenschutzerklärung zur Kenntnis genommen. Durch Anklicken „Abonnieren” willige ich ein, dass meine E-Mail-Adresse elektr. erhoben und gespeichert wird.

Hinweis: Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen für die Zukunft
per E-Mail datenschutz@internetx.com widerrufen.
Websites benötigen TLS/SSL-Zertifikate. Zwar verschlüsseln alle Varianten den Datenverkehr, sie bieten jedoch unterschiedliche Sicherheitsstufen.…
25 Jahre DENIC 35 Jahre .de InterNetX Blog
Freuen Sie sich mit uns über eine beeindruckende Erfolgsgeschichte mit einer der beliebtesten ccTLDs weltweit und einer der Top-Registry, die .de seit…
Vorteile Container-Technologie Blogbild
Die Idee hinter der Container-Technologie stammt aus dem Jahr 2000. Heute sind Docker und Kubernetes die beiden am weitesten verbreiteten Tools. Die…
Interview Dean Coclin DigiCert
„Encryption Everywhere“ – mit dieser Initiative, die in Zusammenarbeit mit DigiCert entstanden ist, möchte InterNetX alle Websites mit…