In der digitalen Welt ist das Domain Name System (DNS) wie das Telefonbuch des Internets. Es übersetzt nutzerfreundliche Domainnamen in die numerischen IP-Adressen, die Computer zum Auffinden von Webservern benötigen.

Im Domain Name System ist zum Beispiel für unsere Domain actra.ch die IP-Adresse 185.66.108.245 hinterlegt. Beim Aufruf von unserer Website werden die Inhalte vom Server mit dieser IP-Adresse abgerufen.

Doch was passiert, wenn dieses grundlegende System manipuliert wird? DNS-Sicherheit ist der Schutz dieser wichtigen Infrastruktur vor Bedrohungen, die von Phishing und Malware-Verbreitung bis hin zu Denial-of-Service-Angriffen (DDoS) reichen können.

Die Bedeutung von DNS-Sicherheit kann kaum überschätzt werden. Ein kompromittiertes DNS kann dazu führen, dass Nutzer auf gefälschte Websites umgeleitet werden, sensible Daten in die Hände von Cyberkriminellen gelangen oder die gesamte Online-Präsenz lahmgelegt wird. Deshalb ist es unerlässlich, proaktive Massnahmen zu ergreifen, um das Vertrauen der Nutzer zu wahren.

Im Folgenden werfen wir einen detaillierten Blick auf einige der wichtigsten Massnahmen zur Erhöhung der DNS-Sicherheit:

DNSSEC (Domain Name System Security Extensions): Vertrauen durch kryptografische Signaturen

DNSSEC ist ein Sicherheitsprotokoll, das dem DNS eine Ebene kryptografischer Signaturen hinzufügt. Diese Signaturen ermöglichen es DNS-Resolvern (die Server, die die Domainnamen in IP-Adressen auflösen) zu überprüfen, ob die empfangenen DNS-Antworten authentisch sind und nicht auf dem Weg manipuliert wurden.

Wie es funktioniert

DNSSEC verwendet eine Public-Key-Kryptographie. Die Domaininhaber signieren ihre DNS-Einträge mit ihrem privaten Schlüssel. Die entsprechenden öffentlichen Schlüssel werden in der DNS-Hierarchie veröffentlicht. Resolver können diese öffentlichen Schlüssel verwenden, um die Signaturen der DNS-Antworten zu überprüfen und so sicherzustellen, dass die Informationen von der autorisierten Quelle stammen.

Vorteile

Schutz vor DNS-Spoofing und Cache-Poisoning-Angriffen, Erhöhung des Vertrauens in die Integrität der DNS-Daten.

SPF (Sender Policy Framework): E-Mail-Spoofing verhindern

SPF ist ein DNS-Eintrag, der eine Liste der autorisierten Mailserver für eine bestimmte Domain enthält. Wenn ein E-Mail-Server eine E-Mail empfängt, kann er den SPF-Eintrag der Absenderdomain überprüfen, um sicherzustellen, dass die E-Mail von einem der autorisierten Server gesendet wurde.

Wie es funktioniert

Domaininhaber veröffentlichen einen TXT-Eintrag in ihren DNS-Zonen, der die IP-Adressen oder Hostnamen der legitimen Mailserver auflistet. Empfangende Server führen eine DNS-Abfrage durch, um diesen Eintrag abzurufen und die Herkunft der E-Mail zu validieren.

Vorteile

Reduzierung von E-Mail-Spoofing, Schutz vor Phishing-Angriffen, Verbesserung der E-Mail-Zustellbarkeit.

DKIM (DomainKeys Identified Mail): E-Mail-Integrität sicherstellen

DKIM ist eine weitere E-Mail-Authentifizierungsmethode, die eine digitale Signatur zu ausgehenden E-Mails hinzufügt. Diese Signatur wird kryptografisch mit dem privaten Schlüssel der sendenden Domain erstellt und im Header der E-Mail gespeichert.

Wie es funktioniert

Empfangende E-Mail-Server können den öffentlichen Schlüssel der sendenden Domain (der im DNS veröffentlich ist) verwenden, um die Signatur zu überprüfen. Dadurch wird sichergestellt, dass die E-Mail während der Übertragung nicht manipuliert wurde und tatsächlich von der angegebenen Domain stammt.

Vorteile

Erhöhung der E-Mail-Integrität, verbesserte Authentifizierung des Absenders, Reduzierung der Wahrscheinlichkeit, als Spam eingestuft zu werden.

DMARC (Domain-based Message Authentication, Reporting & Conformance): Die Richtlinien für den Umgang mit nicht authentifizierten E-Mails

DMARC baut auf SPF und DKIM auf und ermöglicht es Domaininhabern, Richtlinien für den Umgang mit E-Mails festzulegen, die die SPF- und/oder DKIM-Prüfung nicht bestehen. Zudem bietet DMARC einen Mechanismus für Reporting, sodass Domaininhaber Einblick in die E-Mail-Nutzung ihrer Domain erhalten.

Wie es funktioniert

Domaininhaber veröffentlichen einen DMARC-Eintrag in ihrem DNS, der festlegt, wie empfangende Server mit nicht authentifizierten E-Mails umgehen sollen (z.B. ablehnen, in Quarantäne verschieben oder zulassen). Der Eintrag enthält auch Informationen für Reporting, sodass empfangende Server Berichte über die Authentifizierungsergebnisse senden können.

Vorteile

Verbesserter Schutz vor E-Mail-Missbrauch, detaillierte Einblicke in die E-Mail-Aktivitäten der Domain, Durchsetzung von Authentifizierungsrichtlinien.

DANE (DNS-based Authentication of Named Entities): TLS-Zertifikate über DNS absichern

DANE ermöglicht es, TLS/SSL-Zertifikate kryptografisch im DNS zu verankern. Dies bietet eine zusätzliche Sicherheitsebene für HTTPS-Verbindungen, da Clients die Authentizität des Zertifikats anhand der im DNSSEC-gesicherten DNS-Einträge überprüfen können.

Wie es funktioniert

Domaininhaber veröffentlichen TLSA-Einträge in ihrer DNS-Zone, die Informationen über ihre erwarteten TLS-Zertifikate enthalten. Clients, die DANE unterstützen, können diese Einträge abrufen und mit dem präsentierten Zertifikat vergleichen.

Vorteile

Schutz vor Main-in-the-Middle-Angriffen auf HTTPS-Verbindungen und erhöhte Vertrauenswürdigkeit von Webdiensten.

IPv6: Das Fundament für zukünftige Sicherheit

Obwohl IPv6 nicht direkt eine DNS-Sicherheitsmassnahme im engeren Sinne ist, spielt die Einführung des neuen Internetprotokolls eine wichtige Rolle für die zukünftige Sicherheit des Internets. IPv6 bietet eine deutlich grössere Anzahl an IP-Adressen und bringt inhärente Sicherheitsfunktionen mit sich, wie beispielsweise die Möglichkeit zur standardmässigen IPsec-Implementierung (Internet Protocol Security).

Wie es funktioniert

IPv6 ist die nächste Generation des Internetprotokolls, die IPv4 ablöst. Es bietet einen grösseren Adressraum und die verbesserte Header-Struktur.

Vorteile

Grösserer Adressraum, potenziell verbesserte Sicherheit durch optionale IPsec-Integration, Grundlage für zukünftige Internet-Technologien.

Unsere Empfehlungen

Stellen Sie sicher, dass die DNS-Zone Ihrer Domain die folgenden Anforderungen erfüllt:

• Gültige DNSSEC-Signierung
  • Eine Query nach einem nicht existierenden Sub-Label muss zu einer gültigen NXDOMAIN-Antwort führen.
  • Mindestens ein autoritativer Nameserver muss korrekt antworten.
  • Keine veralteten Algorithmen (5 - RSASHA1, 6 - DSA-NSEC3-SHA1, 7 - RSASHA1-NSEC3-SHA1)
• IPv6
  • Mindestens zwei Nameserver mit AAAA-Records.
  • Der Domain-Name muss über IPv6 auflösbar sein.
• SPF
  • Gültiger SPF-Record gemäss RFC 7208.
  • Letzter bewerteter Mechanismus 'all' mit dem Qualifier '-' oder '~'.
• DKIM
• DMARC
  • Gültiger DMARC-Record gemäss RFC 7489.
  • pct=100, falls pct vorhanden ist.
  • p=quarantine oder p=reject
• DANE für SMTP
  • Gültige TLSA-Records gemäss RFC 7671.
  • Jeder MX-Record besitzt einen dazugehörigen DNSSEC-signierten TLSA-Record.
  • Certification Type nicht 0 oder 1.
  • Matching Type nicht 0.
• Spezifische A-Einträge: Für wichtige Dienste (z.B. E-Mail und www) sollte immer ein spezifischer A-Eintrag erfasst werden, auch wenn dieser zur gleichen IP-Adresse auflöst wie der Wildcard-Eintrag. E-Mail-Server könnten zwar in der Theorie den Wildcard-Eintrag der übergeordneten Zone (z.B. *.actra.ch) in Betracht ziehen, tun dies aber in der Regel nicht.
• MX
  • Expliziter '.'-Eintrag, wenn über die Domain keine E-Mails gesendet und empfangen werden.
  • A-Eintrag für den im MX-Eintrag hinterlegten Host, auch dieser zur gleichen IP-Adresse auflöst wie der Wildcard-Eintrag.

Domains ohne E-Mail-Versand

Wenn Sie über eine Domain keine E-Mails versenden (und empfangen) möchten, sollte dies auch in der DNS-Zone so definiert werden, damit die Domain nicht von Spammern missbraucht werden kann. Folgende DNS-Einträge empfehlen wir Ihnen, wenn Sie über eine Domain keine E-Mails versenden/empfangen möchten:

• MX IN MX .
• SPF IN TXT v=spf1 -all
• DMARC IN TXT v=DMARC1;p=reject

Schützen Sie Ihr digitales Fundament - Wir unterstützen Sie dabei!

Die Implementierung und Verwaltung dieser DNS-Sicherheitsmassnahmen kann komplex sein, ist aber unerlässlich, um Ihre Online-Präsenz effektiv vor Bedrohungen zu schützen.

Benötigen Sie Unterstützung bei der Absicherung Ihres DNS?

Kontaktieren Sie uns noch heute für eine unverbindliche Beratung!