DNS-over-HTTPS als Sicherheitsfeature
Sicherer Zugriff
Zu den Diensten, die bei jedem Betriebssystem – und damit natürlich auch unter Windows – in den meisten IP-Netzwerken zum Einsatz kommen, gehört die Namensauflösung DNS (Domain Name System). Wie alle Systemdienste ist auch DNS ständig in Gefahr, als Einfallstor für einen unerlaubten Zugriff auf Netzwerke und Systeme missbraucht zu werden. Mit Techniken wie DNS-over-HTTPS lassen sich diese Risiken deutlich verringern.
Die Namensauflösung – der DNS-Dienst – gehört zu den Bereichen der Betriebssysteme, deren Vorhandensein und Tätigkeit den meisten „normalen Anwendern und Anwenderinnen“ in der Regel erst dann bewusst wird, wenn irgendetwas nicht richtig funktioniert. DNS gehört zu den „historischen Einrichtungen“ im Umfeld der IP-Netzwerke. Nicht zuletzt aus diesem Grund erfolgt wie Übertragung der Daten, die bei einer Namensabfrage vom Betriebssystem oder vom Browser an den konfigurierten DNS-Server gehen, in der Regel immer noch im Klartext. Dadurch entsteht ein Risiko: Jeder, der dazu in der Lage ist, die Kommunikation von DNS mitzulesen, kann die Dienste sehen. Sowohl staatliche Stellen als auch Unternehmen aus der Privatwirtschaft haben bisweilen ein gesteigertes Interesse daran, diese Daten „abzugreifen“. Kann ein Angreifer die DNS-Zugriffe einsehen, kann er sie auch manipulieren und beispielsweise die Anfrage an eine Shop- oder Bank-Website vom Anwender oder der Anwenderin unbemerkt auf eine Phishing- oder Malware-Seite umleiten (Man-in-the-Middle-Angriffe). Dazu zählen ebenfalls die sogenannten „Pharming“-Angriffe, die speziell auf die DNS-Abfragen der Browser ausgerichtet sind.
Seit einer ganzen Weile gibt es Ansätze, die DNS-Anfragen zu verschlüsseln und sie damit sicherer zu machen. Eine der ältesten Methoden dabei ist DNSSEC (Domain Name System Security Extensions). Dabei handelt es sich um eine ganze Anzahl von Internetstandards, die mehr Sicherheit bringen sollen. Leider hat sich diese Form der Absicherung nie auf breiter Front durchsetzen können. Dies lag unter anderem wohl auch daran, dass die Konfiguration ziemlich aufwendig war.
DNS-over-HTTPS
Neueren Datums sind die Techniken DNS-over-TLS (DoT) und DNS-over-HTTPS (DoH). DNS over TLS nutzt die Möglichkeit, die DNS-Anfragen nicht wie üblich via UDP über den Port 53 abzusenden, sondern verwendet dafür eine TCP-Verbindung auf Port 853. An dieser Stelle ist dann auch schon eine Schwachstelle dieser ansonsten guten Technik zu finden: Der Port 853 wird an vielen öffentlichen Orten und auch in den Firewall von Firmen häufig nicht offen sein, sodass die DNS-Kommunikation dann wieder auf den UDP-Port 53 zurückfallen muss. Die von Kritikern bemängelten Geschwindigkeitseinbußen, die durch den Einsatz von TLS-Verbindungen entstehen können, sollten mit der Verbreitung der Version 1.3 weniger ins Gewicht fallen.
Ähnlich wie DoT nutzt auch DNS-over-HTTPS einen gesicherten Tunnel, um die Verbindung zum DNS-Server abzusichern. Auch DoH nutzt TCP für die Verbindung, allerdings läuft diese dann über den für HTTPS üblichen Port 443. Damit – so die Befürworter dieses Ansatzes – „verschwinden“ die DNS-Anfragen sicher innerhalb des Datenstroms, der mittels des Protokolls HTTPS über diesen Port fließt. Konnte man bis vor einiger Zeit DoH nur einsetzen, indem man den Browser entsprechend konfiguriert, so hat Microsoft mit Windows 10 damit begonnen, DoH auch auf Ebene des Betriebssystems anzubieten. Ab dem Insider-Preview Build 19628 ist diese Möglichkeit über einen neu zu erstellenden Registry-Schlüssel konfigurierbar. Eine Integration in die Netzwerkeinstellung steht ab Build 20185 bereit. Dabei handelt es sich jedoch ebenfalls nur um eine Insider-Version. In die aktuelle Version 21H2 von Windows 10 (mit der Build-Nummer 19044) hat diese Änderung ihren Weg bisher nicht gefunden.
- Sicherer Zugriff
- Windows Server 2022, Windows 11
Lesen Sie mehr zum Thema
