alphaspirit - Fotolia

Domain Name System: Hintertür für Hacker

Das Domain Name System steht bei Hackern hoch im Kurs, ist es doch ein prima Angriffspunkt. Doch die DNS-Sicherheit lässt sich verbessern.

Was kann es für einen Hacker Schöneres geben als eine gute Sicherheitslücke? Kein Wunder, dass sich Security-Anbieter darauf fokussieren, genau diese Lücke dicht zu machen – mit guten Erfolgen. Der Blick auf die Möglichkeiten verspricht viel: Würde ein Unternehmen absolute State-of-the-Art Technologie einsetzen, so hätten Hacker kein leichtes Leben mehr.

Dass die Realität anders aussieht, wird niemanden verwundern. Einiges ist tatsächlich selbstverständlich: NextGen Firewalls (NGFW) und Antivirus finden sich in fast allen Unternehmen. Aber es gibt auch Lücken. Eine der häufigsten: das Domain Name System (DNS) – eine oft ungeschützte Hintertür und inzwischen einer der meistgenutzten Angriffspunkte. Warum Hacker das DNS so lieben, liegt auf der Hand: Es ist im Internet omnipräsent – eine erfolgreiche Attacke darauf und im Netzwerk geht nichts mehr.

Das optimale DNS-Design

Wie aber schützt man das DNS effektiv? Der erste Schritt beginnt beim Netzwerkdesign. Autoritative DNS-Server beantworten die externen Anfragen jedes Nutzers, der sich mit den externen Ressourcen des Unternehmensnetzwerks verbinden will – beispielsweise also auf die Website zugreifen möchte. Diese DNS-Server müssen über das Internet erreichbar sein, werden damit aber anfällig für Angriffe – seien es DNS Flooding, DNS Hijacking, DNS Reflection, Amplification und Protokoll-Anomalien oder Exploits und Reconnaissance. Die meisten Firewalls reichen nicht aus, um die DNS-Server vor Angriffen auf Anwendungsebene zu schützen.

Rekursive Server sind nahe an den Endgeräten im Netzwerk und bedienen das interne DNS. Ein Client im Netz, der auf eine externe Internetadresse zugreifen will, tut dies über einen rekursiven Name-Server – davon werden mindestens zwei im Unternehmen betrieben. Je größer ein Unternehmen, desto mehr Endgeräte werden intern genutzt – und desto größer das Potenzial für eine Infrastrukturattacke über diese Endgeräte. Tatsächlich steigt die Anzahl der DDoS-Angriffe auf das interne DNS seit Jahren an.

DNS-Angriffen richtig begegnen

Trennt man die DNS-Infrastruktur von der allgemeinen Serverarchitektur, hat das einige Vorteile: in erster Linie ist das höhere Sicherheit, aber auch der Aufwand für das DNS-Management sinkt bei zugleich mehr Zuverlässigkeit und Skalierbarkeit. Wichtig für eine sichere und fehlertolerante DNS-Infrastruktur ist zunächst, den DNS-Servern eindeutige, klar definierte Aufgaben zuzuweisen, den Zugriff auf autoritative Server über eine eigene demilitarisierte Zone (DMZ) zu lösen und Root-Login vom Betriebssystem aus zu verhindern. Dedizierte, gehärtete DNS-Server analysieren Live-Anfragen an das DNS in Echtzeit. Intelligent gesetzte Grenzwerte in einem DNS-Management-System unterbinden dabei DNS-DDoS und Flooding, während legitimer Datenverkehr ungehindert passieren kann. Clients mit zu vielen NXDOMAIN-, NXRRset- oder ServFail-Antworten werden automatisch blockiert.

An bestimmten Schwachstellen werden zudem Pakete auf typische Exploit-Merkmale wie Tunneling-Versuche durch bekannte Signaturen untersucht. Das ist vor allem bei Advanced Persistent Threats (APT) Angriffen wichtig, denn hier versuchen Hacker — nachdem sie sich über Malware im Unternehmensnetz eingenistet haben —über das DNS mit Botnetzen und Command-and-Control-Servern (C&C-Servern) zu kommunizieren.

Nur durch eine Kontrolle des Datenflusses über das DNS mit Hilfe von DNS Response Policy Zones (RPZ) und Threat Intelligence Feeds kann man diese „Kill Chain“ durchbrechen. Mit den RPZ lässt sich definieren, welche Domain-Namen nicht aufgelöst werden sollen und durch Threat Intelligence wird die interne „Black List“ mit Streaming-Analysen und maschinellem Lernen laufend aktualisiert. Eine eigene DNS-Firewall blockiert die Kommunikation von Malware und APT über das DNS-Protokoll zu Botnetzen und Command-and-Control-Servern.

DNS Security Appliances helfen auch gegen Flooding, denn sie zeichnen die Quell-IP-Adresse von DNS-Anfragen und die angefragten DNS-Einträge auf und ignorieren übermäßige DNS-DDoS-Anfragen von der gleichen IP-Adresse oder einer Adresse des Threat Feeds. Parent DNS-Server beim Registrar werden vom System regelmäßig auf die Integrität von DNS-Einträgen hin überprüft, um das Manipulieren von Einträgen mit DNS Hijacking zu verhindern.

„Trennt man die DNS-Infrastruktur von der allgemeinen Serverarchitektur, hat das Vorteile: höhere Sicherheit und der DNS-Management-Aufwand sinkt bei zugleich mehr Zuverlässigkeit und Skalierbarkeit.“

Rainer Singer, Infoblox

xxx

Doch ohne zentrales Management hilft das nicht wirklich. Für Netzwerk-Administratoren, die die Aktivitäten auf den DNS-Systemen noch manuell verwalten, wird es schwierig, bösartigen Traffic an den DNS Ports zu erkennen. Eine DNS Security Appliance automatisiert viel davon: sie alarmiert den Administrator, protokolliert und unterbindet Anfragen gleichzeitig. Das alles wird unterstützt von Management-Funktionen wie einheitlichem Reporting und Single-Policy-Konfiguration, die dabei helfen, die Systemauslastung einzuschätzen und Probleme zu diagnostizieren. Aufgaben wie Disaster Recovery, Wartung, Konfiguration, Backup und Wiederherstellung laufen über eine zentrale Wartungs-GUI – ohne CLI- oder Skript-Programmierung. Ein Autorisierungssystem garantiert, dass nicht jeder Anwender Administrator-Rechte hat und Konfigurationen im DNS-Server ändern kann.

Domain Name System absichern

DNS-Sicherheit ist machbar – und zuweilen sogar verpflichtend. Von vielen Stellen wird inzwischen eine Absicherung des DNS angemahnt – seien es Regierungen oder Analysten. Sie alle fordern, eine Lücke im Security-System zu schließen, die unternehmenskritische Infrastrukturen berührt. Gängige Sicherheitsmaßnahmen greifen hier aber zu kurz: sie sichern die Systeme nicht ausreichend vor internem und externem Zugriff über DNS.

Das Domain Name System wurde 1983 geschaffen, um IP-Adressen in erinnerbare Namen zu übersetzen. Dass sich aus einem vielfach genutzten Protokoll ein Hacker-Liebling entwickeln könnte, war damals nicht absehbar. Heute sind Angriffe über das DNS-System fast regelmäßig in den Schlagzeilen. Umso erstaunlicher, dass die Absicherung des DNS gerade in Deutschland noch nicht auf der Prioritätenliste der Unternehmen steht.

Über den Autor:
Rainer Singer arbeitet seit 2007 für Infoblox. Als Systems Engineering Manager CEUR verantwortet er den technischen Bereich. Die Betreuung und der Ausbau des Teams von Systems Engineers in DACH, Osteuropa und den CIS-Staaten fallen in sein Verantwortungsgebiet. Herr Singer verfügt über langjährige Erfahrung im Systems- und Security-Engineering-Bereich und war zuvor unter anderem bei F5 Networks als Systems Engineer und bei Integralis als Technical Consultant tätig.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Wie Hacker arbeiten: Wahl der Ziele, Angriffsdauer und Methoden.

Software-defined Networking: DNS-Sicherheit in SDN-Umgebungen.

So kann Passive DNS aktiv zu einer höheren Netzwerksicherheit beitragen.

Was Sie über DNS (Domain Name System) wissen müssen.

Artikel wurde zuletzt im Oktober 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Network-Intrusion-Detection und -Analyse

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close