Das Domain Name System (DNS) ist eine der fundamentalen Grundlagen des Internets – allerdings hat auch dieses System Schwachstellen. Eine solche hat der Sicherheitsforscher Dan Kaminsky 2008 entdeckt. Der Kaminsky-Bug erlaubt beispielsweise Attacken wie Cache Poisoning. Dabei bringt der Angreifer gefälschte Daten in die Server ein, so dass sich Anfragen manipulieren und auf andere Seiten umleiten lassen. Seither haben etwa die großen DNS-Server-Anbieter Funktionen wie DNSSec eingeführt. Für Endnutzer stellt sich aber die Frage, wie sie sich schützen können, wenn ein Anbieter kein DNSSec unterstützt. 

OpenDNS ist ein Anbieter alternativer DNS-Systeme, der das Problem mit DNSCrypt lösen will. DNSCrypt verschlüsselt die Verbindung zwischen dem Endnutzer und den OpenDNS-Servern. Manipulationen werden so deutlich erschwert. Die Verschlüsselung funktioniert auch, wenn der jeweilige Anbieter bereit auf DNSSec setzt, beide Ansätze arbeiten problemlos zusammen.

Die Installation ist simpel: OpenDNS bietet die Technology Preview von DNSCrypt kostenlos an. Dabei handelt es sich zwar noch um eine Vorabversion, diese ist allerdings schon angenehm stabil und für den täglichen Einsatz geeignet. Die Software läuft auf allen gängigen Windows-Systemen, einzige Voraussetzung ist das .NET Framework 3.5 SP1. Die Installation nimmt einige Zeit in Anspruch. Anschließend verbindet die Anwendung das System mit dem OpenDNS-Server und verschlüsselt den Traffic. Beides geschieht automatisch, als Nutzer muss man keine Konfiguration vornehmen. Sollten die Firewall-Regeln des jeweiligen Netzwerks allerdings die Verbindung blocken, so kann man die Verbindung über TCP-Port 443 leiten.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.