DNS-Sicherheit: Automatischer Schutz für Jedermann-Domains
Die Sicherheitstechnik DNSSEC leistet einen wichtigen Beitrag zum Schutz des Internetverkehrs. Ein Berliner Team ergänzt nun die DNS-Spezifikation.
Große Teile des Domain Name System (DNS) sind ungeschützt, weshalb Angreifer mit Techniken wie DNS-Spoofing oder DNS-Cache-Poisoning den Datenverkehr von Surfern manipulieren und umleiten können.
Eigentlich sollen DNS-Server einen PC oder ein Smartphone darüber informieren, unter welcher IP-Adresse sie einen Server wie meine-bank.de oder mein-nas.de erreichen können. Doch die DNS-Pakete gehen überwiegend ungesichert übers Internet, sodass Angreifer gefälschte DNS-Antworten einschleusen können. So lässt sich der Verkehr von Opfern unbemerkt umleiten, um zum Beispiel private Kommunikation mitzulesen und digitale Identitäten oder Vermögen zu stehlen.
Dagegen helfen die DNS Security Extensions (DNSSEC) der Internet Engineering Task Force effizient – wenn man sie denn auf breiter Front verwenden würde. Doch weil die Einrichtung und der Betrieb bisher aufwendig sind, haben die Technik hauptsächlich die Betreiber der DNS-Root-Zone und der Top-Level-Domains installiert.
Das war die Leseprobe unseres heise-Plus-Artikels "DNS-Sicherheit: Automatischer Schutz für Jedermann-Domains". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.