Login
Newsletter
Werbung

Do, 6. Februar 2020, 15:00

Sicheres DNS mit Unbound

Probleme des DNS und Lösungsansätze

Auf dem Weg zu dieser Antwort wurden mehrere Server gefragt und etliche Datenpakete ausgetauscht. Diese Kommunikation, die noch aus der Frühzeit des Internet stammt, weist eine Vielzahl von Problemen auf:

  • Die Antwort könnte falsch sein, beispielsweise durch kriminelle Manipulationen, die Besucher auf betrügerische Webseiten umleiten wollen
  • Die Kommunikation kann mitgeloggt, aufgezeichnet, an Werbeunternehmen verkauft oder an Geheimdienste weitergeleitet werden
  • Die Server können zensiert sein, auf bestimmte Anfragen daher keine oder eine falsche Antwort liefern
  • Einige Anfragen senden mehr Daten, als eigentlich nötig wären, so wird auch zu den Root-Servern der komplette gesuchte Name gesendet, obwohl die Top-Level-Domain ausreichend wäre
  • Die Kommunikation findet weitgehend unverschlüsselt statt, insbesondere zwischen dem Client und dem ersten Server. Doch selbst wenn zwischen den Servern der Transport verschlüsselt ist, nützt das nichts, da jeder Server die Daten im Klartext sieht

Wie man sieht, ist das DNS ein System, das keine Garantien für die Privatsphäre und Sicherheit geben kann. Wir hoffen zwar darauf, dass die Server nichts aufzeichnen. Früher war diese Hoffnung vielleicht einmal berechtigt, als noch niemand einen Wert in diesen Daten sah. Doch heute ist das offensichtlich nicht mehr ausreichend. Nur wenige Betreiber geben ein Datenschutzversprechen und diesem kann man entweder glauben oder nicht. Das ist also der momentane desolate Zustand des DNS, und es ist an der Zeit, etwas zu ändern. Das Problem wurde viel zu lange unterschätzt, besonders wohl, weil nur wenige das DNS überhaupt kennen und sich kaum jemand des Problems bewusst ist.

Abhilfe können verschiedene Maßnahmen schaffen, am besten kombiniert:

  • QNAME Minimisation
  • Transportverschlüsselung
  • Verwendung von DNSSec für die Abfragen
  • Cachen der Abfrageergebnisse, um möglichst selten mit Servern im Internet kommunizieren zu müssen
  • Betrieb eines eigenen Nameservers
  • Laden der kompletten Root-Zone, um noch weniger mit Servern im Internet kommunizieren zu müssen

Diese Punkte werden im Verlauf der Serie noch genauer erklärt. Beginnen wollen wir aber mit dem Betrieb eines eigenen Nameservers, was erstens der Ausgangspunkt für weitere Verbesserungen ist, und zweitens bereits die Zahl der Abfragen im Internet reduziert, wenn alle Rechner im lokalen Netz den eigenen Server nutzen.

Der Betrieb eines eigenen Nameservers wird dadurch stark begünstigt, dass die wichtigsten DNS-Server alle freie Software sind. Das bedeutet, dass wir den eigenen DNS-Server konfigurieren und anpassen können, wie wir wollen.

Die Einrichtung verschiedener DNS-Server haben wir schon in früheren Artikeln beschrieben. In der vorliegenden Artikelserie soll aber ein anderer DNS-Server vorgestellt werden, einer, der noch nicht ganz so lange existiert, aber von Anfang an im Hinblick auf mehr Datenschutz und Sicherheit entwickelt wurde: Unbound. Wir beginnen mit einer einfachen Konfiguration und machen diese in nachfolgenden Artikeln schrittweise sicherer und erweitern sie in der Funktionalität. Eventuell werden wir noch einmal auf die anderen DNS-Server zurückkommen und untersuchen, welche Sicherheitsmaßnahmen sie unterstützen.

Kommentare (Insgesamt: 5 || Alle anzeigen || Kommentieren )
Re: Das DNS ist kaputt (Franz Jäger, Berlin, Fr, 7. Februar 2020)
Das DNS ist kaputt (mw, Do, 6. Februar 2020)
Pi-hole, Unbound & Hyperlocal (b4sh, Do, 6. Februar 2020)
In Kombination mit PiHole (unbekannter2020, Do, 6. Februar 2020)
Schöner Auftakt (kraileth, Do, 6. Februar 2020)
Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten
Werbung