Sicherheit
DNSCrypt soll Internet-Sicherheit verbessern
von
Thorsten
Eggeling - 17.12.2011
OpenDNS hat ein kostenloses Tool mit dem Namen DNSCrypt entwickelt. Damit lassen sich DNS-Abfragen verschlüsseln. Das kann vor unbemerkten Umleitungen von DNS-Anfragen („Spoofing“) oder Man-in-the-Middle-Angriffen schützen.
Wenn es nach dem DNS-Anbieter OpenDNS geht, soll das Domain Name System (DNS) künftig deutlich sicherer werden. Mit der bereits veröffentlichten Vorab-Version der Open-Source-Software DNSCrypt soll die gesamte DNS-Kommunikation zwischen einem Anwender-Client und dem abgefragten DNS-Server verschlüsselt werden.
Standardmäßig findet der Datenaustausch zwischen DNS-Client und -Server immer mit unverschlüsseltem Klartext statt. Damit sind diese Daten abhörbar und leicht manipulierbar. Das ist geradezu eine Einladung für Spoofing- und Man-in-the-Middle-Angriffe.
Mit der neuen Verschlüsselungstechnik soll in Zukunft verhindert werden, dass Unbefugte beispielsweise in öffentlichen WLANs einsehen können, welche Webseiten von Nutzern aufgerufen werden. Denn bei jedem Aufruf einer Internet-Adresse im Web-Browser wird eine DNS-Abfrage durchgeführt. Diese ermittelt aus dem eingegebenen Namen (etwa com-magazine.de) die zugehörige IP-Nummer. Erst dann kann der Browser die Seite anzeigen. Wenn es Kriminellen gelingt, den DNS-Server zu manipulieren, können DNS-Abfragen auch gefälschte Ergebnisse zurückliefern. Sie landen dann nicht auf der Seite Ihrer Bank, sondern auf den Seiten der Betrüger.
DNSCrypt will den DNS-Verkehr verschlüsseln, ähnlich wie das jetzt schon SSL für den HTTP-Verkehr erledigt. Die Verschlüsselung funktioniert mit dem Einsatz der Elliptischen-Kurven-Kryptographie. Die Vorab-Version von DNSCrypt bietet OpenDNS bereits zum Download an - bisher allerdings nur für Mac OS X. Installierbare Programmpakete für Windows und Linux sollen in Kürze folgen. Der Quellcode von DNSCrypt steht ebenfalls zum Download bereit. Damit ist es möglich, sich einen funktionstüchtigen DNSCrypt-Client für Linux selbst zu kompilieren. Eine Anleitung dazu gibt der Artikel Building a Debian/Ubuntu Package for DNSCrypt-proxy.
DNSCrypt funktioniert zurzeit allerdings nur zusammen mit den DNS-Server von OpenDNS. Wann und ob andere DNS-Anbieter die Technik übernehmen, ist bisher nicht bekannt. Der Dienst von OpenDNS ist für private Anwender kostenlos. Auch ohne DNSCrypt lässt sich der Dienst als alternativer DNS-Anbieter nutzen. Das ist vor allem dann sinnvoll, wen die DNS-Server des eigenen Internet-Providers zu langsam sind. Außerdem bietet OpenDNS einen Schutz vor Phishing-Seiten. OpenDNS finanziert sein Angebot über eine eigene Suchseite. Wenn eine Internet-Adresse falsch eingegeben wurde, erscheinen statt einer „Nicht gefunden“-Meldung URL-Vorschläge von OpenDNS.
