Computerpartner

Sie befinden sich hier: HOMENachrichtenKnow HowIT-Grundlagen
18.11.2017

DNS-Verschlüsselung im IP-Verkehr

Die Möglichkeiten der Kontrolle der über die Unternehmensnetze übermittelten IP-Datenströme wird immer komplexer und auch schwieriger.

M. Hein

Zur Vergrößerung anklicken

Mathias Hein

 Google kündigte kürzlich an, dass das Unternehmen in Android mit "DNS over TLS" eine zusätzliche Verschlüsselungsebene hinzufügen wird. Dadurch soll verhindert werden, dass die Unternehmen und die ISPs überwachen können, welche Websites von einem Benutzer besucht werden. Dies hat natürlich auch Auswirkungen auf die WAN-Optimierung und auf SD-WAN-Anbieter.

Normale Webanwendungen nutzen Proxys als Internet-Relays, um das Ziel eines Benutzers zu identifizieren und dem Benutzer den Zugriff auf diese Site zu erlauben oder zu verweigern. Darüber hinaus wird mit diesem Mechanismus jede Web-Site protokolliert, die ein Benutzer besucht. Der DNS (Domain Name Server) bildet den Kern dieses Prozesses. Daher macht die Verschlüsselung von DNS-Anfragen die bisher genutzten einfachen Proxys unbrauchbar. Dadurch können die Benutzer ungestört jede beliebige Websites besuchen, ohne dass Dritte ihre Internet-Reisen protokollieren bzw. überwachen können. Damit wird für die weitere Verbreitung von YouTube-Katzenvideos eine neue Türe geöffnet.

Anwendung und Standortidentifizierung auf Basis von TLS

Die Verschlüsselung verändert den Aufbau und den Betrieb der Netzwerke. Zuerst wurde die Anwendungsverschlüsselung auf Basis von TLS (Transport Layer Security) entwickelt. Dieser Mechanismus transportierte nicht nur Geldtransaktionen oder sensible Informationen, sondern konnte für die gesicherte Datenübermittlung von allen Anwendungen genutzt werden. Google hat die Verwendung von TLS dadurch gefördert, dass verschlüsselte Websites höher im Ranking der Suchergebnisse bewertet wurden, als nicht verschlüsselte Websites. Laut Google werden in den USA inzwischen 73 Prozent der Web-Seiten auf Basis verschlüsselter Transportdienste ausgeliefert.

Die WAN-Optimierung wird in ihren Anwendungsmöglichkeiten durch TLS-verschlüsselte Anwendungsdatenverkehre erheblich eingeschränkt. Auf diese Tatsache und das dramatische Wachstum an Echtzeitverkehren (Sprach- und Videoübertragung) in den Netzwerken ist der Rückgang des WAN-Optimierungsmarktes zurückzuführen. Die meisten Anbieter von WAN-Optimierungstechniken haben sich inzwischen dem SD-WAN-Markt zugewandt, um den Umsatzverlust auszugleichen.

Aber auch der SD-WAN-Markt wird inzwischen von DNS über TLS beeinflusst. Viele SD-WAN-Anbieter haben inzwischen in ihren Lösungen zusätzliche Mechanismen zur automatischen Anwendungsidentifikation implementiert. Diese Lösungen basieren auf DNS und nutzen die TCP/UDP-Ports zur Erkennung der Dienste (beispielsweise Web, E-Mail, Sprache oder Video). Anschließend wendet sich die Lösung an DNS, um die der Anwendung zugrunde liegenden Dienst zu identifizieren.

Eine Möglichkeit zur Umgehung dieses Problems besteht darin, den TLS-Installationsprozess für die Anwendungsidentifizierung, die Vergabe der Berechtigungen, der Definition Netzwerkprioritäten und der Protokollierung zu verwenden. Ist eine Firewall oder ein Proxy in der Lage den Zustand der jeweiligen Session zu erkennen, kann dieses Gerät/Prozess eine umgekehrte DNS-Suche auf der Ziel-IP-Adresse ausführen. (Kann ein Gerät den Sitzungsstatus erkennen, dann sammelt es alle Pakete in einem Flow, anstatt diese nur transparent an den Router weiterzuleiten)

Mit Hilfe des TLS-Setup-Prozesses kann auch ein DNS-Name ermittelt werden. Auch in diesem fall muss der genutzte Proxy oder die Firewall den Sessionstatus erkennen können. Die nachfolgende Abbildung zeigt, dass das fünfte Paket (die "Server Hallo" Nachricht) während des TLS-Session-Setups die gerade gestartete Anwendung identifiziert.

Anwendung und Standortidentifizierung auf Basis von TLS

Natürlich werden die Unternehmen einen Weg finden, um diese neueste Verschlüsselungsänderung zu umgehen. Unter Umständen werden die Kosten explodieren, da die bisher genutzten einfachen Proxies und Firewalls durch teure Geräte ersetzt werden müssen, die den Status der TLS-Sessions erkennen können.

Fazit

Die Kontrolle der über ein IP-Netzwerk transportierten Datenströme wird schwieriger werden, wenn die Unternehmen die Anwendungen in die öffentliche Cloud verlagern und TLS, (einschließlich TLS für DNS) für den Schutz der zu transportierten datenströme genutzt werden.

 +