Wie DNSSEC helfen wird, das Internet zu sichern und wie SOPA es fast illegal gemacht hat

Wie DNSSEC helfen wird, das Internet zu sichern und wie SOPA es fast illegal gemacht hat

How Dnssec Will Help Secure Internet

Domain Name System Security Extensions (DNSSEC) ist eine Sicherheitstechnologie, die dabei hilft, einen der Schwachpunkte des Internets zu beheben. Wir haben Glück, dass SOPA nicht bestanden hat, denn SOPA hätte DNSSEC illegal gemacht.



DNSSEC fügt kritische Sicherheit an einem Ort hinzu, an dem das Internet wirklich keine hat. Das Domain Name System (DNS) funktioniert gut, aber es gibt zu keinem Zeitpunkt eine Verifizierung, was für Angreifer Löcher offen lässt.

Der aktuelle Stand der Dinge

Wir haben erklärt wie DNS funktioniert in der Vergangenheit. Kurz gesagt, wenn Sie sich mit einem Domainnamen wie google.com oder howtogeek.com verbinden, kontaktiert Ihr Computer seinen DNS-Server und sucht die zugehörige IP-Adresse für diesen Domainnamen. Ihr Computer verbindet sich dann mit dieser IP-Adresse.

Größe der Zuordnungseinheit beim Formatieren

Wichtig ist, dass bei einer DNS-Suche kein Überprüfungsprozess erforderlich ist. Ihr Computer fragt seinen DNS-Server nach der mit einer Website verknüpften Adresse, der DNS-Server antwortet mit einer IP-Adresse und Ihr Computer sagt OK! und verbindet sich glücklich mit dieser Website. Ihr Computer stoppt nicht, um zu überprüfen, ob dies eine gültige Antwort ist.

wie verschiebt man ein fenster

Angreifer können diese DNS-Anfragen umleiten oder bösartige DNS-Server einrichten, die schlechte Antworten zurückgeben. Wenn Sie beispielsweise mit einem öffentlichen Wi-Fi-Netzwerk verbunden sind und versuchen, eine Verbindung zu howtogeek.com herzustellen, könnte ein bösartiger DNS-Server in diesem öffentlichen Wi-Fi-Netzwerk eine völlig andere IP-Adresse zurückgeben. Die IP-Adresse könnte Sie auf eine Phishing-Website führen. Ihr Webbrowser hat keine Möglichkeit zu überprüfen, ob eine IP-Adresse tatsächlich mit howtogeek.com verknüpft ist; es muss nur der Antwort vertrauen, die es vom DNS-Server erhält.

Anzeige

Die HTTPS-Verschlüsselung bietet eine gewisse Überprüfung. Angenommen, Sie versuchen, eine Verbindung zur Website Ihrer Bank herzustellen und sehen HTTPS und das Schlosssymbol in Ihrer Adressleiste . Sie wissen, dass eine Zertifizierungsstelle bestätigt hat, dass die Website zu Ihrer Bank gehört.

Wenn Sie von einem kompromittierten Zugangspunkt aus auf die Website Ihrer Bank zugegriffen haben und der DNS-Server die Adresse einer betrügerischen Phishing-Site zurückgegeben hat, kann die Phishing-Site diese HTTPS-Verschlüsselung nicht anzeigen. Die Phishing-Site kann sich jedoch dafür entscheiden, einfaches HTTP anstelle von HTTPS zu verwenden, um darauf zu wetten, dass die meisten Benutzer den Unterschied nicht bemerken und ihre Online-Banking-Informationen trotzdem eingeben.

Ihre Bank hat keine Möglichkeit zu sagen, dass dies die legitimen IP-Adressen für unsere Website sind.

Wie DNSSEC hilft

Ein DNS-Lookup erfolgt tatsächlich in mehreren Phasen. Wenn Ihr Computer beispielsweise nach www.howtogeek.com fragt, führt Ihr Computer diese Suche in mehreren Schritten durch:

Batteriesymbol deaktiviert Windows 10
  • Es fragt zuerst das Root-Zonenverzeichnis, wo es finden kann .mit .
  • Es fragt dann das .com-Verzeichnis, wo es zu finden ist howtogeek.com .
  • Es fragt dann howtogeek.com, wo es zu finden ist www.howtogeek.com .

DNSSEC beinhaltet das Signieren des Roots. Wenn Ihr Computer die Root-Zone fragt, wo er .com finden kann, kann er den Signaturschlüssel der Root-Zone überprüfen und bestätigen, dass es sich um die legitime Root-Zone mit echten Informationen handelt. Die Root-Zone stellt dann Informationen über den Signaturschlüssel oder .com und seinen Speicherort bereit, sodass Ihr Computer das .com-Verzeichnis kontaktieren und sicherstellen kann, dass es legitim ist. Das .com-Verzeichnis stellt den Signaturschlüssel und die Informationen für howtogeek.com bereit, sodass es howtogeek.com kontaktieren und überprüfen kann, ob Sie mit dem echten howtogeek.com verbunden sind, wie durch die darüber liegenden Zonen bestätigt.

Wenn DNSSEC vollständig eingeführt ist, kann Ihr Computer bestätigen, dass DNS-Antworten legitim und wahr sind, während er derzeit keine Möglichkeit hat, zu erkennen, welche gefälscht und welche echt sind.

Lesen Sie mehr über So funktioniert die Verschlüsselung Hier.

Was SOPA getan hätte

Wie also hat der Stop Online Piracy Act, besser bekannt als SOPA, dazu beigetragen? Nun, wenn Sie SOPA folgen, stellen Sie fest, dass es von Leuten geschrieben wurde, die das Internet nicht verstanden, also würde es das Internet auf verschiedene Weise zerstören. Dies ist einer von ihnen.

Anzeige

Denken Sie daran, dass DNSSEC es Inhabern von Domainnamen ermöglicht, ihre DNS-Einträge zu signieren. So kann beispielsweise thepiratebay.se DNSSEC verwenden, um die IP-Adressen anzugeben, mit denen es verknüpft ist. Wenn Ihr Computer eine DNS-Suche durchführt – sei es für google.com oder thepiratebay.se – würde DNSSEC dem Computer ermöglichen, festzustellen, ob er die richtige Antwort erhält, die von den Eigentümern des Domainnamens bestätigt wurde. DNSSEC ist nur ein Protokoll; Es versucht nicht, zwischen guten und schlechten Websites zu unterscheiden.

Was bedeutet Dual-Channel?

SOPA hätte von Internetdienstanbietern verlangt, DNS-Suchen nach fehlerhaften Websites umzuleiten. Wenn beispielsweise die Abonnenten eines Internetdienstanbieters versuchten, auf thepiratebay.se zuzugreifen, gaben die DNS-Server des ISP die Adresse einer anderen Website zurück, die sie darüber informierte, dass die Pirate Bay gesperrt wurde.

Mit DNSSEC wäre eine solche Umleitung nicht von einem Man-in-the-Middle-Angriff zu unterscheiden, den DNSSEC verhindern sollte. ISPs, die DNSSEC einsetzen, müssten mit der tatsächlichen Adresse der Pirate Bay antworten und würden somit gegen SOPA verstoßen. Um SOPA unterzubringen, müsste in DNSSEC eine große Lücke geschnitten werden, die es Internetdienstanbietern und Regierungen ermöglichen würde, DNS-Anfragen für Domänennamen ohne die Erlaubnis der Besitzer des Domänennamens umzuleiten. Dies wäre auf sichere Weise schwierig (wenn nicht unmöglich) und würde wahrscheinlich neue Sicherheitslücken für Angreifer öffnen.

Deaktivieren Sie das Windows Defender-Symbol


Zum Glück ist SOPA tot und wird hoffentlich nicht wiederkommen. DNSSEC wird derzeit bereitgestellt und bietet eine längst überfällige Lösung für dieses Problem.

Bildnachweis: Khairil Yusof , Jemimus auf Flickr , David Holmes auf Flickr

WEITER LESEN Profilfoto von Chris Hoffman Chris Hoffmann
Chris Hoffman ist Chefredakteur von How-To Geek. Er schreibt über ein Jahrzehnt über Technologie und war zwei Jahre lang Kolumnist bei PCWorld. Chris hat für die New York Times geschrieben, wurde als Technologieexperte von Fernsehsendern wie Miamis NBC 6 interviewt und ließ sich von Nachrichtenagenturen wie der BBC über seine Arbeit berichten. Seit 2011 hat Chris über 2.000 Artikel geschrieben, die fast eine Milliarde Mal gelesen wurden – und das nur hier bei How-To Geek.
Vollständige Biografie lesen