NSA: DNS über HTTPS vermittelt „falsches Gefühl von Sicherheit“

Die US-amerikanische National Security Agency (NSA) hat Unternehmen gewarnt, dass der Einsatz von verschlüsselten DNS-Diensten zu einem falschen Sicherheitsgefühl führen und sogar ihre eigenen DNS-Überwachungstools stören kann.

DNS over HTTPS (DoH) wird immer beliebter, um den Datenschutz und die Integrität zu verbessern, indem der DNS-Verkehr zwischen einem Client und einem DNS-Resolver vor unberechtigtem Zugriff geschützt wird. Dies kann dazu beitragen, das Abhören und die Manipulation von DNS-Verkehr zu verhindern. Sicherer ist dabei nur die Verwendung eines VPN.

Doch obwohl solche Dienste für private und mobile Anwender sowie für Netzwerke, die keine DNS-Kontrollen verwenden, nützlich sind, werden sie für die meisten Unternehmen nicht empfohlen, so die US-Sicherheitsbehörde in einem neuen Bericht.

DoH ist „kein Allheilmittel“, da es nicht garantiert, dass Bedrohungsakteure nicht sehen können, wohin ein Client im Web geht, so die NSA.

„DoH wurde speziell entwickelt, um nur die DNS-Transaktion zwischen dem Client und dem Resolver zu verschlüsseln, nicht aber jeglichen anderen Verkehr, der nach der Beantwortung der Anfrage stattfindet“, heißt es in dem Bericht.

„Während dies den Clients erlaubt, privat eine IP-Adresse basierend auf einem Domain-Namen zu erhalten, gibt es andere Möglichkeiten für Cyber-Bedrohungsakteure, Informationen zu ermitteln, ohne die DNS-Anfrage direkt zu lesen, wie zum Beispiel die Überwachung der Verbindung, die ein Client nach der DNS-Anfrage herstellt.“

Darüber hinaus kann DoH sogar Netzwerküberwachungs-Tools beeinträchtigen, die darauf ausgelegt sind, verdächtige Aktivitäten im DNS-Verkehr zu erkennen.

„DoH verschlüsselt den DNS-Verkehr, was Unternehmen daran hindert, DNS mit diesen netzwerkbasierten Tools zu überwachen, es sei denn, sie entschlüsseln den TLS-Verkehr und inspizieren ihn. Wenn DoH mit dem Unternehmens-Resolver verwendet wird, kann die Inspektion immer noch am Resolver oder anhand der Resolver-Protokolle erfolgen“, so der Bericht weiter.

„Wenn jedoch externe DoH-Resolver nicht blockiert sind und DoH im Browser oder Betriebssystem des Benutzers aktiviert ist, um einen anderen Resolver zu verwenden, könnte es Probleme geben, Einblick in diesen verschlüsselten DNS-Verkehr zu erhalten.“

Malware kann DoH auch nutzen, um ihren C&C-Kommunikationsverkehr zu verstecken, warnte die NSA. Die Behörde forderte Unternehmen, die Monitoring-Tools verwenden, auf, DoH in ihren Netzwerken zu vermeiden.

Für private Nutzer kann sich ein VPN lohnen. Dieser verschlüsselt den Traffic vom Computer in das Internet. Einen VPN Anbieter Vergleich findest du hier auf RandomBrick.de.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.