Im Laufe der Geschichte des Internets war der traditionelle DNS-Verkehr (Domain Name System) – beispielsweise Benutzeranfragen zum Zugriff auf bestimmte Websites – weitgehend unverschlüsselt. Das bedeutet, dass jedes Mal, wenn Sie eine Webadresse im „Internet-Telefonbuch“ nachschlagen, jeder Teil der DNS-Wertschöpfungskette, der Ihre Anfrage entgegennimmt, diese Abfragen und Antworten prüfen oder sie sogar ändern kann. Verschlüsseltes DNS, beispielsweise mit DNS über HTTPS (DoH), ändert dies. Mehrere große Internetunternehmen wie Apple, Mozilla, Microsoft und Google implementieren verschlüsseltes DNS über DoH in ihren Diensten und Anwendungen. Mozilla war Ende 2018 einer der ersten Anwender von DoH in seinem Browser in den USA, während Apple es im Herbst 14 mit Updates auf iOS 11 und macOS 2020 implementiert und Google DoH in Chrome für Android implementiert.
Das World Wide Web Telefonverzeichnis
Das DNS (Domain Name System) funktioniert im Wesentlichen wie das Internet-Telefonbuch. Wenn wir uns die Top-Level-Domain (den äußersten rechten Teil einer Webadresse wie .com, .org oder .info) als Äquivalent zur Landes- oder Ortsvorwahl vorstellen, die zweite Ebene (im Fall von international .eco.de wäre es .eco.) als Standard-Firmennummer und die dritte (internationale) Ebene als spezifische Erweiterung, können wir uns ein Bild davon machen, wie dieses Verzeichnis zusammengestellt wird und wie Computer arbeiten, um den Dienst zu finden, den sie besuchen möchten. DNS-Resolver sind dafür verantwortlich, die Internetressource (z. B. eine Website) zu finden, die Sie auf Ihrem Computer oder Telefon eingegeben haben. Der erste DNS-Resolver, mit dem Ihr Gerät lokal verbunden ist, ist Ihr Heim- oder Arbeitsrouter oder ein öffentlicher Hotspot. Dieser Resolver folgt einer Reihe von Schritten und prüft, ob auf dem Gerät vorkonfigurierte Einstellungen oder eine Aufzeichnung früherer Besuche auf der jeweiligen Website (Cache genannt) vorliegen. Andernfalls leitet der Resolver die DNS-Anfrage an den nächsten Resolver weiter, beispielsweise an den Resolver des Internetdienstanbieters (ISP), mit dem Sie verbunden sind. Dieser Resolver wird die gleichen Schritte ausführen und schließlich, wenn alles andere fehlschlägt, die Domain im „Internet-Telefonbuch“ nachschlagen.
Gegen welche Risiken schützt DoH Benutzer?
Bei der Entwicklung des DoH-Protokolls wurde unter anderem das Ziel verfolgt, die Vertraulichkeit und Sicherheit des Nutzers zu erhöhen, indem das Abhören und Manipulieren von DNS-Daten vermieden wird. Die Verschlüsselung des DNS-Datenverkehrs schützt Sie vor der Möglichkeit, dass ein böswilliger Akteur Sie zu einem anderen (bösartigen) Ziel umleitet, beispielsweise zu einer gefälschten Banking-Website, anstatt zu der, die Sie besuchen wollten. Diese Art von Cyberangriff wird als Man-in-the-Middle (MITM)-Angriff bezeichnet. Die DNS-Verschlüsselung über DoH (oder das zugehörige DoT-Protokoll) ist heute die einzige realistische Lösung. Die Monetarisierung von DNS-Daten beispielsweise zu Marketingzwecken ist ein potenzielles und realistisches Datenschutzproblem, das die DoH-Entwickler ebenfalls angehen wollten.
Schützen Sie Benutzer in öffentlichen Netzwerken
Wenn Sie ein öffentliches drahtloses Netzwerk (WLAN) in Hotels, Cafés usw. nutzen, können die DNS-Abfragedaten Ihres Mobiltelefons verwendet werden, um Ihr Verhalten zu analysieren und Sie über Netzwerke hinweg zu verfolgen. Häufig sind diese DNS-Dienste Teil einer weltweit verfügbaren All-in-One-WLAN-Lösung; sind möglicherweise nicht ausreichend, um die örtlichen Datenschutzgesetze und Datenschutzeinstellungen einzuhalten, möglicherweise nicht. ist nicht aktiviert. Darüber hinaus werden kostenlose öffentliche WLAN-Dienste, insbesondere wenn sie von kleinen Unternehmen betrieben oder bereitgestellt werden, in Bezug auf Sicherheit und Leistung häufig schlecht verwaltet, sodass Sie anfällig für Angriffe aus Ihren Netzwerken sind. DoH schützt Benutzer dieser öffentlichen drahtlosen Netzwerke, da der DNS-Resolver des Wi-Fi-Netzwerks umgangen wird, wodurch Benutzerverfolgung und Datenmanipulation auf dieser Ebene verhindert werden. Daher bietet DoH die Möglichkeit, die Kommunikation in einer nicht vertrauenswürdigen Umgebung zu schützen.
Was ändert sich mit DoH?
DNS über HTTPS allein ändert nur den Transportmechanismus, über den Ihr Gerät und der Resolver kommunizieren. Anfragen und Antworten werden mit dem bekannten HTTPS-Protokoll verschlüsselt. Da bisher nur wenige DoH-Resolver implementiert wurden und noch daran gearbeitet wird, DoH-Resolver technisch „auffindbar“ zu machen, umgehen DNS-Abfragen, die DoH verwenden, normalerweise den lokalen Resolver und werden stattdessen von einem externen Dritten bearbeitet. Vom jeweiligen Softwareentwickler bzw. Hersteller bereits benannter DoH-Anbieter. Immer mehr Anbieter entscheiden, ob sie eigene DoH-Dienste anbieten oder nicht.
Möchte ich DoH in meinem Unternehmensnetzwerk?
Während DoH eine nützliche Möglichkeit ist, sich bei der Nutzung eines öffentlichen Hotspots zu schützen, ist es möglicherweise nicht die bevorzugte Option für vertrauenswürdige Netzwerkumgebungen wie Unternehmensnetzwerke oder Unternehmensdienste. Internetzugang, der von einem vertrauenswürdigen ISP erworben wurde. Ihr Unternehmen kann beispielsweise berechtigte Gründe haben, eine App zu verbieten, die die Standardeinstellungen des Systems ignoriert und außer Kraft setzt. Dies kann sogar als potenziell gefährlich angesehen werden, da der Netzwerkadministrator es innerhalb des Netzwerks nicht kontrollieren kann. . Viele der Probleme mit Unternehmensnetzwerken verschwinden, wenn DoH auf Systemebene und nicht auf Anwendungsebene implementiert wird. Auf Systemebene kann beispielsweise ein Unternehmensnetzwerkadministrator das System konfigurieren und eine Richtlinie erstellen, die sicherstellt, dass der Unternehmensresolver verwendet werden sollte, während sich das Gerät im Unternehmensnetzwerk befindet. Während sich das Gerät jedoch in einem öffentlichen Netzwerk befindet, sollte DoH verwendet werden, um Sicherheit und Datenschutz zu verbessern. Wenn DoH jedoch standardmäßig auf Anwendungsebene implementiert wird, werden diese verschiedenen Konfigurationen ignoriert. Es gibt weitere Bedenken hinsichtlich der Verwendung eines externen DNS-Resolvers über DoH, die von potenziell langsamen Reaktionszeiten bis hin zur Umgehung der Kindersicherung und gesetzlich vorgeschriebenen Sperrungen reichen. Aber im Allgemeinen werden viele der möglichen Nachteile von DoH je nach Kontext durch ebenso viele Vorteile aufgewogen. Es besteht kein Zweifel: Die DNS-Verschlüsselung verbessert die Sicherheit und den Datenschutz der Benutzer. DoH kann hierfür eine einfache Möglichkeit bieten. Wenn Sie DoH jedoch aktivieren, sollten Sie sich unbedingt darüber informieren, wer die DoH-Auflösung übernimmt, wie mit Ihren Daten umgegangen wird und ob Sie es bei Bedarf problemlos deaktivieren können.