Besuchen Sie uns auf der it-sa 2024!

Code auf einem Bildschirm

Was ist DNS over TLS?

Bei DNS over TLS (DoT) handelt es sich um ein Protokoll zur verschlüsselten Übertragung von DNS-Anfragen (Domain Name System). Üblicherweise wird die Namensauflösung im Internet unverschlüsselt über UDP übertragen. Bei DoT erfolgt hingegen die Zuordnung von Domains und den dazugehörigen IP-Adressen verschlüsselt über das Transport-Layer-Security-Protokoll (TLS). Hierdurch ist die Übertragung vor Abhörversuchen, Manipulationen und Man-in-the-Middle-Angriffen geschützt.

Myra Services zum Thema: Leading Edge Performance und zertifizierte Sicherheit mit Myra Secure DNS
Aufbau DNS over TLS

01

DNS over TLS: eine Definition

DoT ist ein von der Internet Engineering Task Force (IETF) vorgeschlagener Standard (RFC 7858) zum Schutz von DNS-Verbindungen. Im Gegensatz zu herkömmlichen DNS-Anfragen wird bei DoT eine gesicherte TCP-Verbindung (Transmission Control Protocol) zwischen Client und DNS-Server aufgebaut, die mittels TLS authentifiziert und verschlüsselt ist. Dadurch wird sichergestellt, dass keine Lauschangriffe via Man-in-the-Middle möglich sind und auch keine manipulierten DNS-Einträge eingeschleust werden können, was gleichfalls DDoS-Angriffe (Distributed Denial of Service) verhindert. Technisch erfolgt die Namensauflösung mittels DoT über den TCP-Port 853. Aktuell unterstützen bereits viele Client-Geräte wie Router, Smartphones und Tablets standardmäßig das DoT-Protokoll. Für Desktop-PCs gibt es Software-Lösungen, die den Support sicherstellen. Damit eine zuverlässige Namensauflösung per DoT erfolgen kann, muss ebenso der DNS-Resolver den Standard unterstützen. Hier haben Endanwender:innen mittlerweile eine breite Auswahl an kostenlosen DNS-Providern.

Person am Laptop Coden

02

Ist DNS over TLS sinnvoll?

DoT bietet in erster Linie Vorteile hinsichtlich Sicherheit und Datenschutz. Als die DNS-Technologie zur Zuordnung von Domainnamen und IP-Adressen zu den Anfangszeiten des Internets entwickelt wurde, spielten Sicherheitsbedenken noch keine große Rolle. Entsprechend erfolgt die Übertragung der Anfragen standardmäßig im Klartext, eine Verifizierung der DNS-Einträge findet ebenfalls nicht statt.

Aus diesen Gründen können Cyberkriminelle das DNS als mächtiges Werkzeug für Attacken missbrauchen. Manipulationen an der Delegationsstruktur von Domänennamen können beispielsweise den Datentraffic auf andere IP-Adressen umleiten. So lassen sich etwa Internetanwender:innen unbemerkt auf schadhafte Plattformen locken, um deren Account-Daten zu stehlen, Schadsoftware zu verbreiten oder Fake News zu streuen. Solche Angriffsmethoden auf das DNS werden als DNS Cache Poisoning, DNS Spoofing oder auch DNS Hijacking bezeichnet. Ebenso sind Zensur- und Blockademaßnahmen gegen einzelne Webseiten über das DNS möglich. So greifen etwa autokratische Staaten oftmals auf DNS-Blockaden zurück, um unliebsame Social-Media-Plattformen oder die Webpräsenz der politischen Opposition zu zensieren. Dabei werden DNS-Anfragen mit einer Blacklist von “unliebsamen Internetauftritten” geprüft und bei Treffern mit einer spezifischen IP-Adresse beantwortet. Auf diese Weise blockieren auch Netzbetreiber illegale Plattformen im Netz.

03

Wovor schützt DNS over TLS?

Das Bedrohungspotenzial von DNS-basierten Angriffen zeigte sich etwa im Jahr 2019, als die Internetverwaltung ICANN (Internet Corporation for Assigned Names and Numbers) eindringlich vor einer globalen DNS-Hijacking-Kampagne warnte. Von dem Angriff waren dutzende Domains von Regierungs-, Telekommunikations- und Internet-Infrastruktur-Organisationen in Europa, Nordamerika, Nordafrika sowie im Nahen Osten betroffen. Hinter den Attacken sollen Akteure mit staatlichem Hintergrund gestanden haben, die primär politische Ziele verfolgten.

Code auf einem Bildschrim

04

Welche Nachteile ergeben sich mit DNS over TLS?

Da DoT konkret über TCP-Port 853 läuft, ist das Protokoll relativ einfach über Port-Filter oder Firewalls aushebelbar. Um eine Verbindung zu einer spezifischen Webseite aufzubauen, ist in so einem Fall der Fallback auf herkömmliches, “unsicheres” DNS oder eine der übrigen Verschlüsselungsmethoden erforderlich. Ferner erzeugt die Verschlüsselung ein Overhead, das messbare Performance-Einbußen mit sich bringt.

05

Welche Alternativen zu DNS over TLS gibt es?

DoT ist nicht die einzige Möglichkeit, um DNS-Abfragen abzusichern. Über die Jahre hat sich eine ganze Reihe an Standards und Erweiterungen entwickelt, die zur Authentifizierung und/oder Verschlüsselung von DNS dienen. Hier eine Auswahl der gängigsten Lösungen im Überblick:

DNS over HTTPS

DNS over HTTPS (DoH) ist neben DoT aktuell eine der gebräuchlichsten Lösungen zur DNS-Verschlüsselung. Bei DoH werden DNS-Anfragen und Antworten im abgesicherten Webseiten-Protokoll HTTPS über Port 443 versendet. Hierdurch sind die Übertragungen nicht mehr von herkömmlichem Traffic der Websites zu unterscheiden, was eine gezielte Blockade der Technologie, etwa durch den Netzbetreiber, verhindert. Im Vergleich zur herkömmlichen DNS-Namensauflösung ist auch DoH weniger performant. DoH wurde von der IETF im Jahr 2018 als RFC 8484 standardisiert.

DNS over QUIC

DNS over QUIC (DoQ) ist ein neuartiges Protokoll, das derzeit von der IETF standardisiert wird. DoQ will die Vorzüge einer verschlüsselten Namensauflösung mit kurzen Latenzzeiten kombinieren. Für einen performante Datentransfer verwendet DoQ das junge QUIC-Protokoll, das auch in HTTP/3 zum Einsatz kommt und zur Absicherung auf TLS 1.3 setzt.

DNSCrypt

Auch DNSCrypt ist ein Protokoll, das zur Verschlüsselung, Authentifizierung und optional Anonymisierung der Kommunikation zwischen DNS-Client und DNS-Resolver zum Einsatz kommt. Dabei wird der Datenverkehr zum DNS-Resolver über eine asymmetrische Verschlüsselung über Curve25519 gesichert. Standardmäßig verwendet DNSCrypt den Port 443. Zur Anonymisierung der DNS-Anfragen kann DNSCrypt mit der Anonymized-DNS-Technologie erweitert werden, die auch zu den anderen verschlüsselten Protokollen kompatibel ist, aber laut eigenen Angaben mit DNSCrypt am einfachsten und effizientesten umzusetzen ist.

DNSSEC

DNSSEC ist eine Sicherheitserweiterung, die bei der Namensauflösung für die Quellenauthentisierung sorgt. Über die Technologie lässt sich die Integrität von Webservern und den damit aufgebauten Verbindungen validieren. So wird sichergestellt, dass eine spezifische Domain auch wirklich dem korrekten Webserver zugeordnet wird. Sabotageversuche können dadurch aufgedeckt und vereitelt werden. Daneben kann mittels DNSSEC auch die Integrität der digitalen Kommunikation via E-Mail oder VoIP abgesichert werden. Im Gegensatz zu DoT, DoH oder DNSCrypt verschlüsselt DNSSEC die Namensauflösung nicht, der Fokus liegt hier einzig auf der Integritätsprüfung, um schadhafte Manipulation auszuschließen.

06

DNS over TLS: Das müssen Sie wissen

DoT ist ein Protokoll zur verschlüsselten Namensauflösung, das im Vergleich zu ungeschütztem DNS Vorteile bei Cybersicherheit und Datenschutz bieten soll. Die Technologie baut eine TLS-geschützte Verbindung zwischen Client und Resolver auf und nutzt dafür standardmäßig den Port 853. Dadurch sind die übertragenen DNS-Anfragen und Antworten vor Spionage und Sabotage durch Man-in-the-Middle-Angriffe geschützt. Kritiker bemängeln an DoT allerdings, dass sich die Technologie relativ simpel kontern lässt, indem etwa der dafür vorgesehene Port im jeweiligen Netzwerk gesperrt wird. Darüber hinaus sorgt die Verschlüsselung via TLS für messbare Performance-Einbußen. Neben DoT stehen mit DNSSEC, DoH, DoQ und DNSCrypt verschiedene weitere Lösungen, um ein DNS zu schützen. Alle mit ihren eigenen Vor- und Nachteilen. Flächendeckend durchgesetzt hat sich noch keine der Technologien.