BSI-Studie: Viele Heimrouter beherrschen kein DNSsec

Nur neun von 38 DNS-Proxies in gängigen Heimroutern unterstützen die neue Sicherheitserweiterung DNS Security Extensions (DNSsec). Das geht aus einer Studie hervor, die Thorsten Dietrich vom Bundesamt für Sicherheit in der Informationstechnik (BSI) beim zweiten DNSsec-Workshop des DeNIC in Frankfurt vorgestellt hat. Die Studie soll im nächsten Monat veröffentlicht werden. Zu den untersuchten Routern gehören 13 freiverkäufliche Modelle und 25 Geräte, die im Rahmen von DSL-Verträgen an Endnutzern verkauft werden.

Die DNS-Erweiterung DNSsec authentifiziert mittels kryptographischer Signaturen die Antworten auf DNS-Anfragen, sodass sie sich nicht mehr durch die von Dan Kaminski beschriebenen Sicherheitslücken des DNS-Protokolls fälschen lassen. Seit Anfang Januar bietet das DeNIC zu Testzwecken eine signierte Version der de-Zone an. Probleme wie die mangelnde DNSsec-Kompatibilität von Endgeräten beschäftigt jetzt, da immer mehr Registries für den Einsatz werben, allerdings die Gemeinde von DNS-Betreibern, Registraren und Herstellern (siehe Domain Name System absichern mit DNSsec auf heise Netze).

Der Test der marktüblichen Heimrouter fiel besonders in Hinsicht auf die Unterstützung von EDNS0 und TCP schlecht aus. EDNS0 erweitert DNS um neue Funktionen und umgeht mit einem eigenen Format die starre, auf 512 Byte festgelegte Länge des DNS-UDP-Pakets. Nur vier Geräte beherrschen das heute als Standard vorgesehene EDNS0-Protokoll. Bei DNS-Antworten über UDP sei EDNS0 essentiell für DNSsec, das wegen der dabei erzeugten kryptographischen Signaturen spielend die alte 512-Byte-Marke überspringt, sagte Dietrich.

Bei 31 Routern funktionierte auch der Fallback-Mechanismus von UDP auf TCP nicht richtig. DNS kann das Transportprotokoll TCP nutzen, wenn die Größe der DNS-Antwort 512 Byte übersteigt. Kein einziges Gerät aus dem Testfeld unterstützte sowohl EDNS0 als auch TCP, stellten die Tester beim BSI fest. Dietrich glaubt angesichts der Testergebnisse nicht, dass die beteiligten Provider oder Routerhersteller dem BSI eigens geschönte Geräte zur Verfügung gestellt hätten.

Gleichzeitig spendete Dietrich immerhin ein wenig Trost für die noch kleine, deutsche DNSsec-Gemeinde. Sofern ein Provider die DNSsec-Validierung im eigenen Caching-Server erledigt und dem Nutzer nur validierte Ergebnisse beziehungsweise eine Servfail-Nachricht für fehlgeschlagene Validierungen von Schlüsselpaaren zurückgebe, müsste im Regelfall beim Nutzer alles gut gehen. Ausnahmen von der Regel gebe es allerdings auch.

Eines der Geräte zeigte nämlich einen bereits in einer schwedischen Studie vor knapp zwei Jahren beschriebenen fatalen Fehler: es antwortete mit einem "Connection Timeout", wenn der Provider ein AD-Bit (also eine erfolgreiche Validierung) oder auch nur ein CD-Bit (also den Hinweis, auf eine Validierung zu verzichten) signalisierte. Insgesamt kamen die Heimrouter laut dem BSI-Test mit den Flags aber besser zurecht als mit den großen DNS-Paketen.

Die Namen der Hersteller beziehungsweise der Internetprovider, die die getesteten Geräte einsetzen, dürfe das BSI "aus wettbewerbsrechtlichen Gründen" nicht nennen, unterstrich Dietrich. Sämtliche Hersteller und Provider seien mit den Ergebnissen konfrontiert worden. Es gebe auch auch erste Rückmeldungen, dass sich die Hersteller um das Problem kümmern wollen. Erstaunlich fanden die BSI-Experten, dass die Ergebnisse nur wenig besser ausgefallen sind als die Ergebnisse der Kollegen in Schweden und Großbritannien 2008. Offenbar bewegt sich der Markt hier nur langsam. (rek)