R33NET BLOG Rotating Header Image

DNS

BSI warnt vor DNSChanger

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt allen Internetnutzern, ihre Rechner auf Befall mit der Schadsoftware „DNS-Changer“ zu überprüfen. Ab sofort ist eine solche Überprüfung mit Hilfe der Webseite www.dns-ok.de ganz einfach möglich. Die Webseite wird gemeinsam von der Deutschen Telekom, dem BSI und dem Bundeskriminalamt zur Verfügung gestellt.

Dies wurde notwendig, weil Internetkriminelle die Netzwerkkonfiguration von PC- und Mac-Systemen durch den Eintrag neuer DNS-Server mit der Schadsoftware „DNS-Changer“ manipuliert hatten. Das DNS (Domain Name System) ist einer der wichtigsten Dienste im Internet, welcher für die Umsetzung von Namen (URLs) in IP-Adressen verantwortlich ist. Im Falle einer Infektion mit der Schadsoftware leitet der Webbrowser die Benutzer bei Abfrage populärer Webseiten unbemerkt auf manipulierte Seiten der Kriminellen um, wo betrügerische Aktivitäten wie beispielsweise die Verbreitung angeblicher Antivirensoftware, Klickbetrug oder nicht lizenzierter Medikamentenverkauf stattfinden. Zudem konnten die Kriminellen gezielt manipulierte Werbeeinblendungen an infizierte Rechner senden, Suchergebnisse manipulieren und weitere Schadsoftware nachladen.

Betroffene bekommen auf www.dns-ok.de Empfehlungen, wie die korrekte Systemeinstellung wiederherzustellen ist; sie können beispielsweise ihr System mit dem Tool „DE-Cleaner“ bereinigen.

Weitere Informationen: Operation “Ghost Klick”: FBI entlarvt DNSChanger-Botnetz

Domain Name System Security Extensions (DNSSEC)

Domain Name System Security Extensions (kurz DNSSEC)

 

ist eine Erweiterung des DNS, mit der Authentizität und Datenintegrität von DNS-Transaktionen gewährleistet werden. Ein DNS-Teilnehmer kann damit verifizieren, dass die durch den Server, mit dem er kommuniziert, gelieferten Zonendaten auch tatsächlich identisch mit denen sind, die der für die Zone autorisierte und die Zone signierende Server ausliefert. DNSSEC wurde als Mittel gegen Cache-Poisoning entwickelt, Serverauthentifizierung findet nicht statt. Eine Verschlüsselung von DNS-Daten ist in Rahmen von DNSSEC nicht vorgesehen.

Bild 1: Normaler Betrieb des Domain-Namen-Systems, bei dem verschiedene Server befragt werden, bevor der Nutzer zur gewünschten Seite www.berlin.de kommt.

Bild 2: Damit die Anfrage nach der Seite www.berlin.de nicht jedes mal um den Globus läuft, wird die IP-Nummer von www.berlin.de lokal oder beim Internetprovider im so genannten Cache gespeichert.

Bild 3: Beim so genannten Cache Poisoning gaukelt ein Angreifer/Hacker dem Cache durch massierte Anfragen eine andere IP-Nummer für die Seite www.berlin.de vor, was dazu führt, dass man auch nächstes Mal mit dem Short Cut auf den Server des Angreifers zugreift.

Bild 4: DNSSEC schafft eine zertifizierte Zone, die ein sicheres Surfen im Internet ermöglicht

Weiter Infos:

DNSsec Portalseite

DNSsec HowTo

DNSsec Testbed für Deutschland

Domain Name System (DNS)

Das Domain Name System (DNS) ist einer der wichtigsten Dienste im Internet. Seine Hauptaufgabe ist die Beantwortung von Anfragen zur Namensauflösung.

In Analogie zu einer Telefonauskunft soll das DNS bei Anfrage mit einem Hostnamen (dem für Menschen merkbaren Namen eines Rechners im Internet) – zum Beispiel www.renedreher.de– als Antwort die zugehörige IP-Adresse – zum Beispiel eine IPv4-Adresse der Form 80.67.28.2 oder eine IPv6-Adresse wie 2002:0:0:0:0:0:5043:1c02 – nennen.

DNS ist ein komplexes Thema, und das hier zu beschrieben würde jeden Rahmen sprängen. Anbei meine Notizen aus dem Examen 70-291. Hier werden auf ein paar Seiten die „basics“ von DNS erläutert.

PDF: Erläuterung DNS „basics“ Notizen von RDR aus 70-291