Gajus - Fotolia

Intelligente DNS-Infrastrukturen als Eckpfeiler der IT-Sicherheit

Das Domain Name System (DNS) wird immer öfter zum Einfallstor für Malware-Attacken. Mit den richtigen Vorkehrung können sich Unternehmen schützen.

Das Domain Name System (DNS) ist ein essentieller Bestandteil des Internets ebenso wie interner Unternehmensnetze. Das „Telefonbuch des Internets“ vermittelt zwischen Domainnamen und maschinenlesbaren IP-Adressen. Es erfüllt jedoch auch noch einen anderen Zweck: DNS ist der Eckpfeiler der IT-Sicherheit. Doch warum ist das so?

Hacker-Angriffe gegen DNS-Server sind heute keine Seltenheit mehr. Traditionelle Server und DNS Layouts bieten viele Angriffsflächen und nach außen geöffnete Ports – wie Port 53. Selbst wenn Basis-Sicherheitskonzepte realisiert sind – etwa, jeglichen Traffic über demilitarisierte Zonen zu leiten oder interne von externen DNS-Netzen zu trennen –, bleiben die DNS-Pakete selbst weitestgehend unbeobachtet. Angreifern bietet sich dadurch eine Vielzahl von Möglichkeiten.

State-of-the-Art DNS Security analysiert die DNS-Pakete im Detail und unterscheidet dynamisch zwischen legitimem Traffic und Angriffen.

Zudem benötigen die herkömmlichen Windows- und UNIX-basierten DNS-Server meist zeitintensive manuelle Wartung, um auf BIND-Schwachstellen zeitnah zu reagieren.

Security-Schwachpunkte: DNS-Server und Firewalls

DNS-Server lassen sich besonders durch zwei verschiedene Merkmale kategorisieren: Erstens durch die Unterscheidung in primäre und sekundäre DNS-Server und zweitens in Server mit direkter Verbindung ins Internet und Server mit lediglich internen Verbindungen.

Ein primärer DNS-Server enthält die primäre Kopie einer DNS-Zone. Er überträgt die Kopie auf alle sekundären Server im Netzwerk, um beispielsweise die Performance zu erhöhen oder den Standort des Primärservers zu verbergen.

Der strukturelle Schwachpunkt in der Verteidigung einer internen DNS-Infrastruktur ist der autoritative Server. Der Link nach außen ist meist das Ziel von Angriffen wie DNS Floods, Hijacking oder Exploits. Das Ergebnis dieser Attacken wäre der Ausfall des Servers oder eine kompromittierte Integrität des DNS.

Hacker nutzen zudem autoritative Server, auf denen Recursion erlaubt ist, um von ihnen aus andere Server im Netzwerk anzugreifen – eine sogenannte DNS Reflection Attack. 

Unternehmen platzieren ihren autoritativen Server daher oft hinter einer Firewall. Die meisten dieser Angriffe können von traditionellen Firewalls jedoch nicht aufgehalten werden. Um sich gegen anwendungsbasierte Angriffe wie die oben genannten zu wehren, sind sogenannte NextGen-Firewalls (NGFW) nötig. Sie bieten aber nur teilweise diesen Schutz für DNS-Protokolle, meistens setzen die NextGen-Lösungen eher auf einen breit gestreuten Schutz, bieten aber nur einen oberflächlichen DNS-Schutz.

Zwei Arten von DNS-Attacken

DDos-Attacken (Distributed Denial-of-Service) zielen darauf ab, die Ressourcen eines Geräts zu erschöpfen. Eine typische DNS-DDoS sendet hunderttausende Anfragen pro Sekunde, um den DNS-Server in die Knie zu zwingen und einen Dienstausfall zu erreichen.

Die traditionelle Antwort auf DDoS lautet, die Kapazität des Netzwerks zu erhöhen – entweder durch einen vorgeschalteten Load Balancer oder stärkere Sekundär-Server. Doch dies sind lediglich temporäre Lösungen. Laut Arbor Networks gab es bereits 2013 mehrere DDoS-Attacken mit mindestens 100 GB/s. Diese Zahl wird nur weiter steigen.

Heute machen DNS-Angriffe bereits zehn Prozent aller volumetrischen Angriffe aus. Mehr und mehr Load Balancer anzuschaffen und die Infrastruktur aufzublähen kann nicht die Lösung sein, um langfristig mit den Bedrohungen Schritt zu halten. Unternehmen sollten auf intelligenten DNS-DDoS-Schutz setzen, der nicht einfach auf Anfragen reagiert, sondern zwischen legitimem Traffic und Angriffs-Traffic unterscheiden kann.

Die zweite Art von Attacken sind DNS-spezifische Angriffe. Eine wichtige Schwachstelle in der DNS-Infrastruktur ist nämlich das Protokoll selbst. Als das DNS-Protokoll entwickelt wurde, hätten es sich nur wenige träumen lassen, dass eines Tages bösartige Hacker oder wütende Angestellte den DNS-Server angreifen oder ausschalten würden. Heute kennen wir jedoch Dutzende von DNS-spezifischen Attacken wie DNS Reflection, Exploits, Tunneling, Cache Poisoning oder Amplification Attacks, die ausgehende Serverbandbreite verstopfen und Netzwerkkomponenten wie Firewalls, die ihnen im Weg stehen, dabei einfach überrennen.

Malware: Behind Enemy Lines

Jeden Tag werden über 100.000 neue Malware-Samples entdeckt und katalogisiert. Laut Cisco Security Report 2014 gibt es in 100 Prozent der untersuchten Netzwerke Verbindungen zu Malware-Seiten. Drei Viertel der Unternehmen, die vom israelischen Sicherheitsanbieter Check Point durchleuchtet wurden, fanden mindestens einen Bot in Ihrem Netzwerk. Investitionen in NextGen-Firewalls oder Intrusion Prevention Systeme (IPS) können zwar dabei helfen, einige Malware und besonders hartnäckige Angriffsformen wie Advanced Persistent Threats (APT) abzuwehren. Doch kein Unternehmen wird alle abwehren.

APTs werden immer ausgereifter und umgehen mit zunehmender Leichtigkeit traditionelle Abwehrvorrichtungen. Sie nutzen Techniken wie Fast Flux, Command-and-Control-Proxy-Netzwerke oder anonyme TOR-Verbindungen, um durch die Verteidigung zu schlüpfen. Einmal eingedrungen, sind APTs in einem großen Netzwerk nahezu unmöglich aufzuspüren. Von innen heraus nutzen APTs die DNS-Server, um mit Botnets und Command-and-Control-Servern zu kommunizieren, die sich hinter wandelnden Kombinationen aus IP-Adressen und Domains verstecken. Schaffen es die internen Agenten, sich zu ihnen zu verbinden, laden sie zusätzliche Schadsoftware herunter oder schleusen Unternehmensdaten nach draußen.

Zuweilen verstecken sich APTs und Malware-Attacken hinter externen Angriffen auf das Netzwerk. Die IT-Mitarbeiter werden durch den Angriff alarmiert und während sie versuchen, das Netzwerk zu schützen, achten sie vielleicht nicht auf Warnungen über Malware und APT-Aktivität innerhalb des Netzwerks. Diese Nebelwand oder Smoke Screening genannte Methode ist mittlerweile Standard, um Sicherheitsteams abzulenken, während Unternehmensdaten durch die Hintertür herausgeschmuggelt werden. Eine einzige, integrierte DNS-Infrastruktur mit zentraler Verwaltung kann der IT helfen, sowohl externe Attacken wie interne Malware-Aktivität im Blick zu behalten, einen Überblick zu gewinnen und die nötigen Abwehraktionen einzuleiten.

Was DNS für die IT-Sicherheit leisten kann

Unternehmen sollten Wert darauf legen, moderne DNS-Lösungen einzusetzen, die den folgenden Kriterien gerecht werden. Sie sollten Angriffsflächen minimieren, man spricht auch von Abhärtung, indem sie etwa auf zusätzliche Ports verzichten, keinen Root-Login im Betriebssystem zulassen, und Zugang lediglich auf Rollenbasis ermöglichen. Die Zugangswege müssen besonders gesichert werden, etwa durch Zwei-Faktor-Authentifizierung beim Login, Webzugriff nur über HTTPS zur Verschlüsselung und SSL für Appliance-Interaktionen mittels API. Zusätzlich sollten Updates des Betriebssystems und der Anwendungen ausschließlich durch einen zentralisierten Prozess ablaufen. Dies stärkt die zentrale Kontrolle und vereinfacht das Management.

Intelligente Abwehr für ein stabiles Netz

Intelligente Abwehrtechniken sorgen heute etwa dafür, die IP-Adressen aller DNS-Anfragen sowie die angefragten DNS-Daten zu speichern. So können exzessive DNS-Anfragen bei einer DDoS-Attacke von derselben IP-Adresse einfach geblockt werden. Dies spart Ressourcen, die für legitime Anfragen verwendet werden können. Ebenso wird die Integrität der DNS-Dienste gewahrt, die sonst durch DNS-Hijacking zerstört würde.

Rainer Singer,
Infoblox

Wichtig ist der Unterschied zwischen der beschriebenen Technik und dem BIND Response Rate Limiting. Bei BIND RRL werden DNS-Anfragen verarbeitet, die Antworten jedoch werden limitiert. Dies nutzt wertvolle CPU- und Speicherleistung, um Anfragen zu verarbeiten, die der DNS-Server nie beantworten wird. Dabei verausgabt sich der Server und kann abstürzen – womit er den Zweck der DDoS-Attacke erfüllt. Die intelligente Abwehr illegitimer Anfragen ist daher nicht nur wesentlich effizienter, sondern auch sicherer.

Unabhängig von der eingesetzten Technik ist es essentiell für Unternehmen, den Angreifern einen Schritt voraus zu sein. Der Schlüssel hierzu ist eine integrierte und sichere DNS-Architektur.

So ist es wichtig, die Updates der Verteidigungsregeln zu automatisieren; eine manuelle Verwaltung von Detection Rules ist heute schlicht nicht mehr möglich. Unternehmen benötigen eine spezialisierte und automatisierte DNS-Verteidigung, zertifiziert nach neusten Standards und mit intelligenten Methoden, die Sicherheit und Effizienz garantieren. So schützen sie nicht nur ihre DNS-Infrastruktur, sondern ihr gesamtes Netzwerk.

Über den Autor:
Rainer Singer ist Systems Engineering Manager Central Europe bei Infoblox.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close