Haupt Software Neues Tool schließt Sicherheitslücke im DNS
Software

Neues Tool schließt Sicherheitslücke im DNS

NachrichtenTablets 7. Dezember 2011 03:00 PST Monster-Gremlin-Bug

Ein neues, kostenloses Tool von OpenDNS verspricht, DNS-Suchen (Domain Name System) – die Umwandlung eines einfachen englischen Domänennamens in eine numerische Internetadresse – sicherer zu machen. DNSCrypt verhindert, dass Dritte Ihre DNS-Anfragen abfangen und umschreiben, um Ihren Browser, E-Mail-Client oder andere Software auf bösartige oder gefälschte Websites zu verweisen. Das mag nach einer mühsamen Internetinstallation klingen, aber es verbessert Ihre Sicherheit grundlegend.

Die Software behebt einen erheblichen Fehler in der Art und Weise, wie Software-Clients entscheiden, welchen Internetservern sie vertrauen. Wie ich kürzlich erklärt habe, bauen ein Client (wie ein Webbrowser) und ein Server eine verschlüsselte Verbindung miteinander auf, indem sie sich auf Dritte, sogenannte Zertifizierungsstellen (CAs), verlassen, um dem Client die Identität des Servers zu versichern.

Diese CAs stellen einem Site-Betreiber digitale Dokumente zur Verfügung, die an einen Domänennamen (macworld.com) oder eine bestimmte Host-Domänen-Kombination (www.macworld.com) gebunden sind. Ein Client kann die Dokumente eines Servers validieren, indem er seine digitalen Signaturen mit einer Liste vertrauenswürdiger Zertifizierungsstellen abgleicht. Diese Listen sind in Betriebssysteme (Mac OS X kann über den Schlüsselbundzugriff angezeigt werden) und einige Browser (Firefox ist das primäre Beispiel) integriert.

Leider gibt es einen Fehler im System: Ein Schritt im Validierungsprozess ist nicht kryptografisch geschützt. Die CAs geben ein Zertifikat aus, das nur den Text des Server- oder Domänennamens enthält. Sie tun dies, um Site-Betreibern die Flexibilität zu geben, Server in andere Domänen zu verschieben oder mehrere IP-Adressen auf denselben Domänennamen reagieren zu lassen. Software-Clients, die Netzwerkverbindungen herstellen möchten, müssen diese Namen in einer Klartextabfrage anfordern, die nicht vor Manipulationen geschützt ist. Dadurch entsteht eine Lücke, die ausgenutzt werden kann, indem legitime Werte in DNS-Anfragen durch vergiftete Werte ersetzt werden. Wenn Ihr Computer also sagt, dass er www.example.com aufrufen möchte, für die der DNS-Server eine IP-Adresse von 1.2.3.4 zurückgeben sollte, könnte stattdessen ein vergifteter Wert von 5.6.7.8 zurückgegeben werden.

Unterschied zwischen iPhone 11 und Pro

Wie es funktioniert

Wie der Name schon vermuten lässt, verschlüsselt DNSCrypt diese Phase der DNS-Client-Server-Aushandlung, sodass es für diese Art von Schikane unempfindlich ist. Dies schützt Sie vor Spoofing von Server, die durch SSL geschützt sind sowie Server, die nicht so gut geschützt sind. Wenn die Client-Software eine Verbindung zu einer normalen Website, einem ungeschützten E-Mail-Server oder einem anderen Internetdienst herstellt, hält DNSCrypt auch diese Suche korrekt und verhindert so die Bemühungen von sogenannte böse Zwillinge und andere Hotspot- und Netzwerk-Spoofing-Techniken.

Wenn ein Software-Client eine DNS-Anfrage stellt, konsultiert Ihr Computer einen DNS-Resolver im Betriebssystem, der diese Anfrage dann an einen der DNS-Server weiterleitet, die in seinen TCP/IP-Einstellungen aufgeführt sind. (In OS X befinden sie sich im Einstellungsfenster Netzwerk für jeden Adapter.) Dieser DNS-Server leitet die Anfrage wiederum an eine Kette von Servern auf höherer Ebene weiter (zum Beispiel an das .com-Root), die dann schließlich übergeben off an den DNS-Server, der Informationen für eine bestimmte Domäne verwaltet. Die Ergebnisse werden an den Resolver zurückgesendet. (Puh.) DNSCrypt zwingt DNS-Lookups über OpenDNS statt über DNS-Server, die von Ihrem eigenen oder dem Internet Service Provider (ISP) eines Coffeeshops betrieben werden. (Sie können Ihr System so einstellen, dass es immer auf OpenDNS oder einen anderen Dienst wie Wi-Fi verweist, aber ansonsten werden die Serveradressen bereitgestellt, wenn der Netzwerkrouter Ihrem Computer oder Gerät eine lokale Adresse zuweist.)

OpenDNS entstand, weil die DNS-Server so vieler ISPs langsam und unzuverlässig waren; es war (und ist) eine kostenlose und effizientere Alternative zu anderen DNS-Servern. Aber in den letzten Jahren haben diese ISPs ihre Operationen verbessert; Als Reaktion darauf fügte OpenDNS weitere Dienste hinzu, um Benutzer anzulocken, einige kostenlos (wie Anti-Phishing-Filterung) und andere kostenpflichtig (wie Filterung und Nutzungsberichte). Es behebt automatisch häufige Tippfehler und ändert |_+_| zu |_+_|, zum Beispiel. (Einige Sicherheitsexperten kritisieren die Politik des Unternehmens, ungültige Domainnamen-Einträge auf eine Google-Suchseite umzuleiten, von der aus Werbeeinnahmen erzielt werden; merkwürdigerweise tut dies Google, das auch einen kostenlosen alternativen DNS-Dienst anbietet, nicht.)

Während DNSCrypt allein mit dem Dienst von OpenDNS arbeitet, hat das Unternehmen die Spezifikation und die Software als Open Source veröffentlicht. Das bedeutet, dass das System an anderer Stelle übernommen, in Plug-Ins (wie ein Firefox-Add-On) umgewandelt oder direkt in Client-Software integriert werden könnte. (DNSCrypt funktioniert mit den kostenlosen und kostenpflichtigen Diensten von OpenDNS und kann kostenlos verwendet werden.)

Wie man es benutzt

Wenn Sie DNSCrypt installieren, wird ein neuer Bereich in den Systemeinstellungen erstellt. (Die Software hat derzeit die Version 0.7, sollte aber stabil sein.) Dort aktivieren Sie das Kontrollkästchen OpenDNS aktivieren, wodurch der DNS-Server Ihres Netzwerks auf einen von OpenDNS ausgeführten umgeschaltet wird. Aktivieren Sie als Nächstes DNSCrypt aktivieren. Wenn Sie sich in einem Netzwerk befinden, das aus irgendeinem Grund (möglicherweise aufgrund von Maßnahmen einer Regierungsbehörde oder einer fehlgeleiteten WLAN-Hotspot-Firewall) diese verschlüsselte Verbindung blockiert, können Sie die Option DNSCrypt über TCP/443 auswählen. Dies kann zu einer kurzen Verzögerung bei DNS-Suchvorgängen führen, aber sie werden als normaler sicherer Webverkehr getarnt und sollten überall funktionieren.

DNSCrypt

Der DNSCrypt-Einstellungsbereich

So finden Sie die Mac-Seriennummer

Sobald Sie die Verschlüsselungsoption der Software aktiviert haben, ändert sich ihr Status in Geschützt und ein grüner Punkt wird im Menüleistensymbol angezeigt. Wenn Sie keine sichere Verbindung herstellen können, ist dies ein gutes Zeichen dafür, dass im Zustand des Ausfüllens der Lücken etwas faul ist.

DNSCrypt passt perfekt zu einem Firefox-Plug-In, über das wir im oben erwähnten September-Artikel geschrieben haben: Perspektiven . Perspectives knüpft an einen Zertifikatsnotardienst an, der die SSL/TLS-Zertifikate, die von Servern im gesamten Internet ausgesendet werden, ständig überprüft und verfolgt, ob sie sich im Laufe der Zeit ändern. Mit DNSCrypt zum Schutz der Integrität der Suche nach Domainnamen und der Warnung von Perspectives vor verdächtigen Zertifikaten sollten Sie aktuelle Fallen vermeiden, in die Sie sonst geraten würden.

Um diese Sicherheitslücke zu schließen, bedarf es der Zusammenarbeit mehrerer Parteien, von denen viele konkurrierende Interessen haben. Bis das passiert, sieht DNSCrypt wie eine gute Zwischenmaßnahme aus.

[Glenn Fleishman, ein leitender Mitarbeiter von TabletS, ist der Autor von Übernehmen Sie die Kontrolle über Ihr 802.11n AirPort-Netzwerk (Take Control Books, 2011) und schreibt über Sicherheit und Technologie für Der Ökonom . ]

DNSCrypt