DNSSEC oder ...? Die Suche nach Absicherung gegen Angriffe auf DNS-Server
DNSSEC, hieß es bei der 71. IETF-Tagung, hat während seiner Entwicklungszeit zahlreiche Sicherheitsmaßnahmen im Domain Name System angestoßen. Für viele Bedrohungsszenarien, für die es ursprünglich gedacht war, wurden aber andere Gegenmaßnahmen gefunden.
Manche Entwickler finden es einen fürchterlichen Hack, andere halten die Idee für brillant: Eine zufällige Verteilung von Groß- und Kleinbuchstaben im ID-Teil von DNS-Serveranfragen soll Attacken auf die Server weiter erschweren. Den Vorschlag machte Paul Vixie, Entwickler des sehr weit verbreiteten DNS-Servers BIND, bei der 71. IETF-Tagung in Philadelphia. Es ist nicht der einzige Vorschlag zur weiteren Absicherung gegen Spoofing und Cache-Poisoning-Angriffe auf Server im Domain Name System (DNS). Eine weiterer Entwurf sieht den Einsatz von Cookies in der Kommunikation zwischen Server und Resolver vor.
Vixies Vorschlag besticht auf den ersten Blick durch die Einfachheit. Antworten auf Anfragen wie www.heise.de oder www.HEISE.de fallen im DNS immer gleich aus, Groß- und Kleinschreibung spielen keine Rolle. Doch könnte ein genauer Abgleich der im Bitformat unterschiedlich repräsentierten Groß- und Kleinbuchstaben dem anfragenden Server einen weiteren Hinweis geben, ob die erhaltene Rückantwort auch tatsächlich vom angefragten Server stammt.
Ohnehin empfiehlt ein fast fertiges IETF-Dokument, das Empfehlungen für mehr Fälschungssicherheit im DNS macht, die Übereinstimmung des ID-Felds in Anfrage und Antwort der Server als ein wichtiges Kriterium. Klein- und Großschreibung wurden aber bislang im DNS als austauschbar betrachtet. Der Abgleich bei Rückantworten sollte daneben auch auf die Übereinstimmung der Netzadressen von angefragtem und antwortendem System achten sowie auf den Eingang einer Antwort über die Adresse und den Port, über die sie versandt wurde.
Laut Vixies Vorschlag soll der in der Anfrage verschickte 0x20-Bitteils der Transaktions-ID zufällig generiert und vom fragenden Server gespeichert werden – www.Heise.de oder www.HeIsE.de liefern eine unterschiedliche ID im Bitformat. Der antwortende Server würde die entsprechende Bitvariante dann exakt wieder so zurücksenden und damit ein weiteres Kritierium für die Authentizität der Antwort liefern. Je länger die Domain, desto besser nach dieser Idee der Schutz der Transaktionen. Vixies ironischer Kommentar dazu: www.disney.com sei dann wohl leider besser geschützt als www.cia.gov. Umgesetzt hat die Idee versuchsweise schon einmal Nlnet Labs.
Kritisch beurteilte unter anderem Peter Koch, einer der Leiter der Arbeitsgruppe DNS Operations bei der IETF, Vixis Vorschlag. Von einer Spielerei mit Groß- und Kleinbuchstaben im DNS hält er gar nichts. Die Agnostik gegenüber Groß- und Kleinschreibung gehöre zu den ehernen Gesetzen im DNS. Hans-Peter Dittler, Geschäftsführer der Braintec Netzwerk Consulting, warnte vor möglichen Konflikten mit Anwendungen im Netz, die auf der Nicht-Wahrnehmung von Groß- und Kleinschreibung basieren.
Koch wies zudem auf eine mögliches strategisches Problem hin. Vixies Vorschlag, aber auch die anderen in Philadelphia besprochenen Dokumente zur besseren Absicherung von DNS Servern, zielen auf Schwächen, für die die IETF DNSSEC entwickelt habe. DNSSEC soll durch ein System von Signaturen für DNS-Server bis hinauf zu den zentralen Rootservern die Authentizität von Transaktionen im Netz absichern. Wenn man nun neue Wege für mehr Sicherheit im DNS verfolge, könne man sich überlegen, ob man DNSSEC nicht gleich begraben wolle, meinte Koch.
DNSSEC, sagen manche Entwickler, hat während der langen Entwicklungszeit die Einführung zahlreicher Sicherheitsmaßnahmen im DNS angestoßen. Für viele Bedrohungsszenarien, für die es ursprünglich gedacht war, wurden inzwischen andere Gegenmaßnahmen gefunden. Während die politischen Bedenken gegenüber der Hinterlegung des Masterschlüssels für das DNS in den USA vielen Entwicklern keine Sorge macht, befürchten sie, dass man sich mit der Einführung des neuen Protokolls wegen der technischen Komplexität mindestens Startschwierigkeiten einhandelt. Auch für DNSSEC müssen DNS-Server entsprechend vorbereitet werden.
Vixie kommentierte den Vorwurf, dass DNSSEC durch seinen Vorschlag weiter unterminiert werde, recht lapidar: "Ich habe selbst viel Code für DNSSEC produziert, auf die Einführung habe ich keinen Einfluss. Ich versuche einfach, da was zu tun, wo ich selbst Hand anlegen kann."
Zur 71. IETF-Tagung siehe auch:
(Monika Ermert) / (jk)
