Eine sichere DNS-Infrastruktur ist ein wesentlicher Bestandteil eines jeden Cybersicherheitsprogramms. Leider finden DNS-Exploits in den Medien oft weit weniger Beachtung als andere Angriffe, so dass viele Unternehmen die von ihnen ausgehende Bedrohung nicht richtig einschätzen.
Untersuchungen von Cisco zeigen, dass mehr als 91 % der Malware-Angriffe auf die eine oder andere Weise DNS-Exploits nutzen. Trotzdem überwachen viele Unternehmen den DNS-Verkehr nicht, so dass sie anfällig für Malware, Ransomware und Angriffe zur Datenexfiltration sind.
Um zu erklären, warum DNS-Exploits ein so großes Sicherheitsrisiko darstellen und was Ihr Unternehmen tun kann, um sie zu verhindern, müssen wir ganz am Anfang beginnen.
DNS steht für Domain Name Services. Diese gibt es aus zwei Gründen:
Erstens können sich Menschen IP-Adressen nur schwer merken, aber an Namen von Domains kann sich beispielsweise doch recht häufig erinnert werden. Zum Beispiel ist www.link11.com oder Server1 viel leichter zu merken als eine IP-Adresse wie 192.168.1.1
Zweitens sind für Menschen lesbare Domain- und Anlagennamen für Computer bedeutungslos. Computer benötigen eine exakte IP-Adresse, bevor sie den gewünschten Inhalt eines Benutzers abrufen oder eine Verbindung herstellen können.
DNS löst dieses Problem, indem es Domain- und Anlagennamen auf IP-Adressen abbildet. So kann ein Benutzer oder Administrator mit einem Namen suchen, der leicht zu merken ist, und trotzdem die gewünschten Ergebnisse erhalten. Um zu verstehen, wie dies funktioniert, müssen wir uns zwei verschiedene Arten von DNS-Anfragen ansehen: Interne und externe.
Eine interne DNS-Anfrage ist eine Anfrage, um eine Verbindung zu einem Objekt innerhalb desselben Netzwerks wie der Benutzer herzustellen. Der Vorgang ist einfach:
Eine externe DNS-Anfrage ist eine Anfrage, um eine Verbindung über das Internet herzustellen. Dieser Vorgang ist etwas komplizierter:
Auch wenn dieser Vorgang noch einfach erscheint, steckt doch ein bisschen mehr dahinter. All die bisherigen Informationen sind wichtig, wenn gleich die potenziellen DNS-Sicherheitsprobleme näher erläutert werden (und wie man sie verhindern kann).
Wie Sie wahrscheinlich schon gemerkt haben, verfügt der DNS-Server Ihres Unternehmens nur über Einträge für Ihr Netzwerk und einige gängige Websites, die über DNS-Caching gespeichert wurden, wenn ein anderer Benutzer eine Verbindung zu ihnen hergestellt hat.
Oft verfügt der erste externe DNS-Server, der kontaktiert wird, nicht über die Einträge, die erforderlich sind, um dem anfragenden Benutzer (oder, genauer gesagt, seinem Gerät) die IP-Adresse zu geben, die er benötigt, um den gewünschten Inhalt zu erreichen. Um dieses Problem zu lösen, kommunizieren interne DNS-Server oft mit mehreren externen DNS-Servern, um die IP-Adresse zu erhalten.
Dies kann auf zwei Arten geschehen:
Beachten Sie, dass das Gerät des Nutzers immer mit seinem internen DNS-Server kommuniziert, der dann mit externen DNS-Servern in einer iterativen oder rekursiven Weise kommuniziert.
DNS ist nur einer der Dienste, die in einem Standard-TCP-IP-Netz benötigt werden. Er dient lediglich der Zuordnung von Domänen- und Anlagennamen zu IP-Adressen. Zusätzlich zu einem DNS-Server benötigen Unternehmen auch einen DHCP-Server (Dynamic Host Control Protocol), um neuen Assets, die dem Netzwerk beitreten, dynamisch IP-Adressen zuzuweisen.
Wenn DNS und DHCP kombiniert werden, erhalten Sie ein dynamisches DNS, eine wesentliche Komponente jedes modernen Unternehmensnetzwerks. Mit Dynamic DNS schreibt der DHCP-Server bei jeder Zuweisung einer IP-Adresse an eine neue Anlage (z. B. einen Server oder Endpunkt) die IP-Adresse in die Host-Tabelle des DNS-Servers, damit sie der entsprechenden Anlage zugeordnet werden kann.
Ohne diesen Prozess würde neuen Assets bei der Verbindung automatisch eine IP-Adresse zugewiesen, aber der DNS-Server wüsste nicht, dass sie überhaupt vorhanden sind. Ein Administrator, der versucht, über den Namen der Anlage (z. B. Server1) eine Verbindung herzustellen, kann dies nicht tun, weil der DNS-Server nicht weiß, wohin er die Anfrage weiterleiten soll.
Und genau an diesem Punkt stoßen wir auf Sicherheitsprobleme im DNS-Protokoll.
DNS mag vom Konzept her einfach sein, aber es gibt vier große Sicherheitsprobleme:
Interne DNS-Server geben Informationen an jedes Gerät zurück, das sie anfordert. Erinnern Sie sich daran, wie dynamisches DNS sicherstellt, dass die Host-Tabellen Ihrer DNS-Server IP-Informationen für jedes an Ihr Netzwerk angeschlossene Gerät enthalten? Das macht sie zu einer guten Informationsquelle für Angreifer, wenn sie interne Aufklärungsarbeit leisten.
Wenn ein Angreifer auf den internen DNS-Server Ihres Netzwerks zugreifen kann, kann er die Host-Tabellen mit bösartigen Einträgen „vergiften“. Wenn nun ein Benutzer versucht, eine Verbindung zu einer Website oder einem Objekt herzustellen, kann seine Verbindung an eine ganz andere Stelle geleitet werden, z. B. zu einem bösartigen Online-Download oder einer ungeeigneten Website.
DNS-Tunneling ist eine gängige Technik, um sensible Informationen aus einem kompromittierten Netzwerk zu stehlen. Der Vorgang sieht folgendermaßen aus:
Das mag nach viel Aufwand klingen, aber in Wirklichkeit können Angreifer den Prozess mit handelsüblicher Malware und einem billigen Webhost, der nicht allzu viele Fragen stellt, schnell abschließen. Noch schlimmer ist, dass mit dieser Technik große Mengen sensibler Daten gestohlen werden können (und auch werden), ohne dass das betroffene Unternehmen davon erfährt.
Wie wir bereits festgestellt haben, überprüfen DNS-Server eingehende Anfragen nicht. Dies macht sie anfällig für eine häufige Form von DDoS-Angriffen, die als DNS-Amplifikationsangriff bekannt sind. Der Angreifer nutzt ein Botnet, um eine große Anzahl von DNS-Anfragen zu senden, und verwendet eine „gefälschte“ IP-Adresse, so dass die Antworten des Servers an das Zielopfer gehen. Das Ziel ist dasselbe wie bei jedem anderen DDoS-Angriff: den Zielserver so zu überlasten, dass er nicht mehr richtig funktionieren kann.
Um das Ausmaß des Angriffs zu erhöhen, verwenden die Angreifer eine Technik namens Amplification, bei der Anfragen eine lange Antwort erfordern. Das Opfer erhält dann eine Flut langer DNS-Antworten, die seinen Server noch effektiver stören oder außer Betrieb setzen.
Die Secure DNS-Lösung von Link11 löst DNS-Anfragen über ein globales Netzwerk von Servern auf, um die Geschwindigkeit, Verfügbarkeit und Zuverlässigkeit für Ihr Unternehmen und seine Kunden zu maximieren – ohne zusätzlich benötigte Hardware oder Software. Ihr interner DNS-Server kommuniziert direkt mit unserem rekursiven DNS-Server, der die schwierige Aufgabe übernimmt, die richtige IP-Adresse für jede angeforderte Domain zu finden.
Entscheidend ist, dass unsere Lösung über Bedrohungsdaten, Hijacking-Schutz und andere Sicherheitsfunktionen verfügt, die erforderlich sind, um alle oben beschriebenen DNS-Bedrohungen zu erkennen und zu verhindern. Zusammengenommen machen diese Funktionen Secure DNS schneller, zuverlässiger und viel sicherer als normale DNS-Server.
Dieser Prozess ermöglicht eine Vielzahl von Sicherheitsvorteilen:
Erfahren Sie mehr über die Secure DNS-Lösung von Link11.