{"id":2297,"date":"2019-09-30T07:00:00","date_gmt":"2019-09-30T05:00:00","guid":{"rendered":"https:\/\/www.my-it-brain.de\/wordpress\/?p=2297"},"modified":"2019-09-29T20:21:03","modified_gmt":"2019-09-29T18:21:03","slug":"dns-over-https-doh-was-aendert-sich-fuer-den-nutzer","status":"publish","type":"post","link":"https:\/\/www.my-it-brain.de\/wordpress\/dns-over-https-doh-was-aendert-sich-fuer-den-nutzer\/","title":{"rendered":"DNS over HTTPS (DoH) — Was \u00e4ndert sich f\u00fcr den Nutzer?"},"content":{"rendered":"\n

Mozilla und Google haben angek\u00fcndigt, DoH<\/a> in ihren Webbrowsern Firefox bzw. Chrome zu aktivieren. In diesem Artikel m\u00f6chte ich allgemeinverst\u00e4ndlich erkl\u00e4ren, was sich dadurch f\u00fcr Nutzer dieser Programme \u00e4ndern kann bzw. wird.<\/p>\n\n\n\n

Dazu beschreibe ich zuerst in vereinfachender Weise, wie das heutige DNS<\/a>-System funktioniert und was an diesem System kritisiert wird. Darauf folgt eine Beschreibung von DoH und der Kritik an diesem Protokoll. Der Artikel soll dem Leser helfen, sich eine eigene Meinung zu bilden.<\/p>\n\n\n\n

Dieser Artikel richtet sich in erster Linie an (Privat-)Anwender und Nutzer der genannten Programme. Er soll ein grundlegendes Verst\u00e4ndnis auch ohne vollst\u00e4ndige Kenntnis der Fachterminologie erm\u00f6glichen. Den versierten Leser bitte ich daher zu entschuldigen, sollten einige Ausf\u00fchrungen fachlich nicht ganz exakt sein.<\/p>\n\n\n\n

Das Domain Name System (DNS)<\/h2>\n\n\n\n

Das DNS<\/a> ist einer der wichtigsten Dienste in vielen Netzwerken und quasi das R\u00fcckgrat des Internets. Denn es sorgt daf\u00fcr, dass zu einer Eingabe im Webbrowser wie z.B. https:\/\/www.my-it-brain.de<\/a> oder www.ubuntuusers.de<\/a> der Server gefunden wird, welcher die entsprechende Seite ausliefern kann. Das DNS funktioniert dabei so \u00e4hnlich wie ein Telefonbuch bzw. eine Telefonauskunft.<\/p>\n\n\n\n

Wie wird das DNS von (Privat-)Anwendern genutzt?<\/h3>\n\n\n\n

Um zu veranschaulichen, wie das DNS in den meisten F\u00e4llen genutzt wird, stelle man sich folgendes Heimnetzwerk vor, wie es vermutlich in vielen Haushalten existiert.<\/p>\n\n\n\n

\"typical-soho-network\"
Darstellung eines typischen Heimnetzwerks mit Anbindung an das Internet \u00fcber einen Internet Service Provider<\/figcaption><\/figure><\/div>\n\n\n\n

Endger\u00e4te wie Laptop, Smartphone, Tablet, PC, etc. sind via LAN oder WLAN an den heimischen (W)LAN-Router angebunden. Letzterer erh\u00e4lt vom Internet Service Provider (ISP)<\/a> eine oder mehrere IP-Adressen<\/a> mitgeteilt, \u00fcber welche der Router — vom Internet aus gesehen — erreichbar ist. Dar\u00fcber hinaus teilt der ISP noch die IP-Adressen seiner DNS-Server mit, welche ebenfalls im (W)LAN-Router gespeichert werden.<\/p>\n\n\n\n

Der (W)LAN-Router wiederum weist jedem Endger\u00e4t eine IP-Adresse zu, unter welcher dieses Ger\u00e4t im Heimnetzwerk erreicht werden kann. Dar\u00fcber hinaus teilt er den Endger\u00e4ten eine sogenannte Gateway-Adresse mit. Diese Adresse stellt f\u00fcr die verbundenen Endger\u00e4te quasi das Tor ins Internet dar. Gleichzeitig wird diese IP-Adresse meist auch als DNS-Serveradresse auf den Endger\u00e4ten konfiguriert. Erledigt wird dies alles in der Regel \u00fcber das DHCP-Protokoll<\/a>, um dem Nutzer die manuelle Konfiguration der beteiligten Komponenten zu ersparen.<\/p>\n\n\n\n

Damit sind dann eigentlich auch schon alle Voraussetzungen geschaffen, um mit den Endger\u00e4ten im Internet surfen zu k\u00f6nnen.<\/p>\n\n\n\n

Tippt nun ein Nutzer im Webbrowser seines PCs die Adresse https:\/\/www.my-it-brain.de<\/a> ein, wird auf folgendem Weg die IP-Adresse des Servers ermittelt, welcher diesen Blog ausliefert. Das folgende Bild dient der Veranschaulichung der Schritte 1-5.<\/p>\n\n\n\n

\"dns-request-answer-png\"
Darstellung der zur Namensaufl\u00f6sung durchlaufenden Schritte<\/figcaption><\/figure>\n\n\n\n
  1. PC fragt den (W)LAN-Router nach der gesuchten IP-Adresse<\/li>
  2. (W)LAN-Router fragt den bzw. die DNS-Server des ISP<\/li>
  3. Der DNS-Server des ISP fragt ggf. weitere DNS-Server im Internet<\/li>
  4. DNS-Server des ISP kennt die gesuchte IP-Adresse und teilt sie dem (W)LAN-Router mit<\/li>
  5. Der (W)LAN-Router teilt die IP-Adresse dem PC mit<\/li><\/ol>\n\n\n\n

    Der PC ist mit Kenntnis der IP-Adresse nun in der Lage, die gew\u00fcnschte Seite beim Server anzufragen und im Webbrowser darzustellen.<\/p>\n\n\n\n

    Oftmals verf\u00fcgen die in vorstehender Abbildung dargestellten Ger\u00e4te \u00fcber einen Zwischenspeicher f\u00fcr erfolgreich ausgef\u00fchrte DNS-Abfragen, den sogenannten Cache<\/a>. So muss bei einer wiederholten Anfrage einer bereits erfolgreich aufgel\u00f6sten IP-Adresse nicht erneut die komplette Kette durchlaufen werden. Die Anfrage kann stattdessen aus dem Cache beantwortet und somit Zeit eingespart werden. Das folgende Code-Beispiel soll dies verdeutlichen. Dabei ist es nicht wichtig, jede einzelne Zeile interpretieren zu k\u00f6nnen. Der Befehl dig my-it-brain.de<\/code> versucht den Namen ‚my-it-brain.de‘ in eine IP-Adresse aufzul\u00f6sen. Die mit ‚Query time‘ beginnende Zeile gibt die Verarbeitungsdauer der Anfrage an.<\/p>\n\n\n\n

    user@X201:~$ dig my-it-brain.de\n\n; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> my-it-brain.de\n;; global options: +cmd\n;; Got answer:\n;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55873\n;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1\n\n;; OPT PSEUDOSECTION:\n; EDNS: version: 0, flags:; udp: 65494\n;; QUESTION SECTION:\n;my-it-brain.de.\t\t\tIN\tA\n\n;; ANSWER SECTION:\nmy-it-brain.de.\t\t3600\tIN\tA\t136.243.44.163\n\n;; Query time: 68 msec\n;; SERVER: 127.0.0.53#53(127.0.0.53)\n;; WHEN: Thu Sep 26 15:45:15 CEST 2019\n;; MSG SIZE  rcvd: 59\n\nuser@X201:~$ dig my-it-brain.de\n\n; <<>> DiG 9.11.3-1ubuntu1.8-Ubuntu <<>> my-it-brain.de\n;; global options: +cmd\n;; Got answer:\n;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55400\n;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1\n\n;; OPT PSEUDOSECTION:\n; EDNS: version: 0, flags:; udp: 65494\n;; QUESTION SECTION:\n;my-it-brain.de.\t\t\tIN\tA\n\n;; ANSWER SECTION:\nmy-it-brain.de.\t\t3590\tIN\tA\t136.243.44.163\n\n;; Query time: 0 msec\n;; SERVER: 127.0.0.53#53(127.0.0.53)\n;; WHEN: Thu Sep 26 15:45:24 CEST 2019\n;; MSG SIZE  rcvd: 59\n\nuser@X201:~$<\/code><\/pre>\n\n\n\n
    Die Beantwortung der ersten DNS-Abfrage dauerte noch 68 ms. Die zweite Anfrage konnte direkt aus dem Cache meines Laptops in 0 ms beantwortet werden. Dabei ist anzumerken, dass alle Anwendungen von diesem Cache profitieren k\u00f6nnen, sofern sie alle den Cache des Betriebssystems oder ggf. auch den des nachgelagerten (W)LAN-Routers nutzen k\u00f6nnen.<\/p>\n\n\n\n
    Kritik<\/h3>\n\n\n\n
    Die Kommunikation \u00fcber das DNS-Protokoll ist nicht verschl\u00fcsselt. Jeder Teilnehmer in einem Netzwerk, der eine DNS-Abfrage zu sehen bekommt, kann deren vollst\u00e4ndigen Inhalt lesen. So kann z.B. der ISP sehen, welche Seiten wie oft von seinen Kunden aufgerufen werden. Wobei \u00fcber die H\u00e4ufigkeit wiederholter Seitenaufrufe keine genaue Aussage getroffen werden kann, wenn im Heimnetzwerk des Nutzers DNS-Caches verwendet werden.<\/p>\n\n\n\n
    Der DNS-Client, welcher einen Namen in eine IP-Adresse aufl\u00f6sen m\u00f6chte, hat keinerlei M\u00f6glichkeit zu pr\u00fcfen, ob die zur\u00fcckgelieferte IP-Adresse wirklich dem Inhaber der gew\u00fcnschten Seite geh\u00f6rt. Im Prinzip kann jeder, der eine DNS-Anfrage sieht, eine Antwort senden. Das Endger\u00e4t akzeptiert in der Regel die Antwort, die es als erstes erreicht als g\u00fcltig.<\/p>\n\n\n\n
    Dadurch bestehen vielf\u00e4ltige Angriffsformen<\/a>, welche meist das Ziel verfolgen, DNS-Teilnehmer durch Manipulation auf falsche Webseiten zu lenken, um anschlie\u00dfend Passw\u00f6rter, PINs, Kreditkartennummern usw. zu ergaunern. Dar\u00fcber hinaus k\u00f6nnen Manipulationen auch f\u00fcr Zwecke der Zensur verwendet werden.<\/p>\n\n\n\n
    Die erw\u00e4hnten Gefahren f\u00fcr Angriffe bzw. Zensur m\u00f6chte ich mit zwei kurzen Beispielen verdeutlichen.<\/p>\n\n\n\n
    Beispiel 1: Phishing mit Hilfe von Cache Poisoning<\/h4>\n\n\n\n
    \"cache-poisoning\"
    Skizzierte Darstellung eines Angriffs mittels Cache Poisoning<\/figcaption><\/figure>\n\n\n\n
    Beim Cache Poisoning<\/a> wird der DNS-Cache des (W)LAN-Routers manipuliert. In der Folge werden Aufrufe von z.B. Gmail, Amazon, eBay oder Online-Banking-Webseiten auf sogenannte Phishing<\/a>-Webseiten umgeleitet. Diese sehen den echten Seiten meist zum Verwechseln \u00e4hnlich und sollen den Nutzer dazu verleiten, seine Zugangsdaten zu diesen Diensten preiszugeben.<\/p>\n\n\n\n
    Als Anwender gibt es nicht viel, was man tun kann, um sich vor diesen Angriffen zu sch\u00fctzen. Es bleibt lediglich:<\/p>\n\n\n\n