Wie kann ich sicher sein, dass ich von einer angeforderten IP-Adresse eine authentische Antwort bekomme?

385
NgwVLHUeang

Normalerweise melden Sie sich bei Ihrem ISP mit den angegebenen Benutzerdaten an. Sie erhalten dann eine IP-Adresse und erhalten Zugriff auf ihre internen Nameserver, sodass Sie nach einem bestimmten Domänennamen fragen und als Antwort eine IP-Adresse erhalten können.

Aber wie kann ich sicher sein, dass ich die gewünschte Website abrufe? Wie kann ich sicher sein, dass mein ISP keine IPs fälscht oder mich nicht auf "gefälschte interne Server" umleitet (mit oder ohne identische IP-Adresse)? Zum Beispiel: Wenn ich nach example.com frage, besorgen Sie sich seine IP und sie zeigen mir einen einfachen Klon dieser Site.

Wie wird sichergestellt, dass eine IP nur einmal existiert? Es ist möglich, die IP-Adresse von localhost in etwas anderes zu ändern. Wie wird sichergestellt, dass dies nicht bei Webadressen geschieht?

Natürlich: Wenn der ISP das Ziel fälscht, sind auch andere Benutzer betroffen, wenn sie dasselbe Ergebnis anfordern. Aber auch in diesem Fall: Wäre es nicht möglich, Benutzer nach ihren ISP-Zugangsdaten zu filtern und sie zu entführen?

Wahrscheinlich gibt es eine Art Missverständnis in meinem Verständnis. Aber ich verstehe nicht, was ich vermisse.

0
Wenn Ihr ISP bösartig ist, können Sie wahrscheinlich nur sehr wenig tun. Sie können nicht mit anderen Personen sprechen, ohne sie durchzustehen. Solange Sie es jedoch mit einem großen, angesehenen ISP zu tun haben, scheint dies nicht wahrscheinlich zu sein. (Obwohl das Gericht ihnen befiehlt, sich mit Ihnen zu beschäftigen, könnten sie das tun.) Angriffe durch Dritte sind eine größere Bedrohung; siehe die Antworten. Scott vor 2 Jahren 0
Wir können also nur Vertrauen haben. Nun, ich bin nicht sicher, ob ein dezentralisiertes Internet oder eine Art IP-Verschlüsselung diesen Sicherheitsfehler beheben könnte. NgwVLHUeang vor 2 Jahren 0

2 Antworten auf die Frage

2
Spiff

Ja, DNS ist unsicher. Wenn Sie wirklich wissen möchten, dass Sie mit dem gewünschten Server sprechen, müssen Sie den Server authentifizieren. Also machen wir das. Wir vertrauen nicht darauf, dass DNS sicher ist, und implementieren die Sicherheit, die wir an anderer Stelle benötigen, beispielsweise TLS (Transport Layer Security).

TLS (die moderne Sicherheitsschicht von HTTPS) zwingt den Server dazu, dem Client ein Zertifikat zu senden, das den Namen und den öffentlichen Schlüssel des Servers angibt. Dieses Zertifikat wird von einer vertrauenswürdigen dritten Partei, der Zertifizierungsstelle (Certificate Authority, CA), verschlüsselt signiert. Die CA-Signatur bestätigt, dass das Zertifikat den richtigen öffentlichen Schlüssel für den benannten Server anzeigt.

Um zu beweisen, dass der Server der rechtmäßige Eigentümer des Zertifikats ist (und nicht irgendein Betrüger, der ein gültiges Zertifikat gestohlen hat), beweist der TLS-Handshake, dass er den geheimen privaten Schlüssel kennt, der einen übereinstimmenden Satz mit dem öffentlichen Schlüssel im Zertifikat bildet. Dies geschieht natürlich, ohne den privaten Schlüssel selbst preiszugeben.

Es gibt einen Vorschlag zum Schutz von DNS, der DNSsec genannt wird, aber er hat sich seit Jahren herumgesprochen und scheint nirgendwohin zu gehen. Es kann nie weit verbreitet werden. Es gibt jetzt einen Vorschlag für "DNS über HTTP" (DoH, ausgesprochen "D'oh!"), Der DNS durch HTTPS sichern könnte.

Ich spreche von OSI-Schicht 3, nicht von Schicht 5. Bitte überprüfen Sie meinen Kommentar zu mshafer. Es ist nicht kontrollierbar, wie der ISP Ihre Anfrage weiterleitet, oder? https://en.wikipedia.org/wiki/IP_routing NgwVLHUeang vor 2 Jahren 0
@NgwVLHUeang, Sie sind richtig, der ISP könnte Sie dahin leiten, wohin sie wollen. Deshalb verwenden wir Dinge wie TLS, um das Ziel und nicht die Route zu überprüfen, wie die Antwort sagt. kicken vor 2 Jahren 0
0
mshafer

Viele Fragen dort. Ich werde versuchen, ein paar anzugehen.

Aber wie kann ich sicher sein, dass ich die gewünschte Website abrufe? Wie kann ich sicher sein, dass mein ISP keine IPs fälscht oder mich nicht auf "gefälschte interne Server" umleitet (mit oder ohne identische IP-Adresse)? Zum Beispiel: Wenn ich nach example.com frage, besorgen Sie sich seine IP und sie zeigen mir einen einfachen Klon dieser Site.

Dies wird als Man-in-the-Middle-Angriff bezeichnet ( https://en.wikipedia.org/wiki/Man-in-the-middle_attack ). Die schlechte Nachricht ist, dass sie ziemlich häufig sind (zumindest in Hotels und anderen Orten mit offenem WLAN, obwohl auch schwer zu beweisen, - https://www.theregister.co.uk/2016/06/01/teamviewer_mass_breach_report/ ). Sie können sich jedoch gegen den DNS-Server des Hotels (oder in Ihrem Fall Ihres Internet-Providers) schützen. Es gibt ein paar gute da draußen: https://www.howtogeek.com/122845/htg-explains-what-is-dns/

Ich wäre überrascht, wenn ein seriöser ISP dies tut (und erwischt wird), aber es ist eine gute Idee, wenn Sie Ihr eigenes DNS (wiederum Ihr vertrauensvolles Vertrauen) und / oder ein VPN verwenden, wenn Sie nicht im Heimnetzwerk sind.

@Spiff - Ich habe nicht genügend Kreditpunkte, um Ihre Antwort zu bestätigen, aber: thumbs_up: mshafer vor 2 Jahren 0
Ich bezog mich eher auf das Einrichten von IP-Adressen als auf das eigentliche Domain-Name-System. An unsicheren Orten wie Hotels, Flughäfen usw. weiß ich, dass es nicht sicher ist, ohne HTTPS oder eine gesicherte Verbindung wie VPN zu surfen, um Passwörter und die Privatsphäre zu schützen. Was ich denke: Es ist nie sicher, auf "8.8.8.8" von Ihrem Heimnetzwerk aus zuzugreifen, da Sie niemals sicher sein können, eine authentische Antwort von Google zu erhalten. Sie müssen Ihrem ISP vertrauen, um die echte Seite und nicht einen gespiegelten Klon zu erhalten. Sie können nicht überprüfen, wofür 8.8.8.8 steht. Da es auf Ihrer ISPs Entscheidung ist, welche Datenroute er wählt. NgwVLHUeang vor 2 Jahren 0
Und HTTPS rettet Sie nicht davor. Da der ISP eine eigene Zertifizierungsstelle einrichten könnte, erhält er eine grüne Sperre für eine geklonte Website. NgwVLHUeang vor 2 Jahren 0
@NgwVLHUeang ​​Es scheint, als würde https * Sie davon retten, da Sie zur ursprünglichen Website gehen sollten, die mit dem vertrauenswürdigen Zertifikat Ihrer vertrauenswürdigen Zertifizierungsstelle übereinstimmt. Eine gefälschte Clone-Site würde die CA-Prüfung nicht bestehen. Xen2050 vor 2 Jahren 0
Ich verstehe es nicht ... Ich habe von einer gefälschten Zertifizierungsstelle gesprochen, mit der Überzeugung, dass IP-Adressen von ISPs manipuliert werden können und die Möglichkeit besteht, die Online-Route zu ändern. Zuerst möchte ich eine Antwort auf die grundlegende Frage erhalten: "Können ISPs den Umgang mit den angeforderten IP-Adressen ändern?" NgwVLHUeang vor 2 Jahren 0
@NgwVLHUeang ​​Sie sprechen nie mit der Zertifizierungsstelle, daher kann sich ein böser ISP nicht damit beschäftigen. Das CA-Zertifikat (und damit der öffentliche Schlüssel) wurde in Ihrem Betriebssystem oder Browser vorinstalliert. Es wird nicht live heruntergeladen. Sie verwenden den öffentlichen CA-Schlüssel, den Sie bereits kennen und dem Sie vertrauen, um die bereits vorhandene kryptografische Signatur der CA auf dem Zertifikat des Servers zu überprüfen, zu dem Sie eine Verbindung herstellen. Spiff vor 2 Jahren 1
Guter Punkt. Ich habe es überprüft, das Betriebssystem wird mit Stammzertifikaten für die Zertifizierungsstelle geliefert. Dann scheint es zu funktionieren, wie du gesagt hast. Vielen Dank NgwVLHUeang vor 2 Jahren 0