So kann Passive DNS aktiv zu einer höheren Netzwerksicherheit beitragen

Was ist Passive DNS?

Passive DNS wurde 2004 von Florian Weimer als Abwehrmaßnahme gegen Malware entwickelt. Die Methode basiert darauf, dass rekursive Nameserver die Antworten, die sie von anderen Nameservern empfangen, protokollieren und diese Daten in eine zentrale Datenbank replizieren.

Wie würden diese protokollierten Daten aussehen? Hierzu muss man einen kurzen Blick darauf werfen, wie ein rekursiver Nameserver eigentlich arbeitet. Bei einer Anfrage untersucht er seinen Cache und autoritative Daten nach einer Antwort. Wenn er die Anfrage nicht auflösen kann, wendet er sich standardmäßig an einen der Root-Nameserver. Hier folgt er Verweisen, bis er die autoritativen Nameserver identifiziert hat, die die Anfrage auflösen können, und fordert die Lösung an. Das sieht etwa so aus:

Passive-DNS-Daten werden meistens wie im folgenden Bild dargestellt unmittelbar „über“ dem rekursiven Nameserver erfasst:

Passive DNS-Daten bestehen somit größtenteils aus Verweisen und Antworten von autoritativen Nameservern im Internet – mit den entsprechenden Fehlern, natürlich. Diese Daten werden mit einem Zeitstempel versehen, Dubletten werden entfernt, die Daten werden komprimiert und dann in eine zentrale Datenbank repliziert. Diese dient der Archivierung und Analyse.

Dabei ist zu beachten, dass hier nur die Server-zu-Server-Kommunikation erfasst wird, also keine Anfragen eines Stub-Resolvers an den rekursiven Nameserver (in der Abbildung wäre das „unterhalb“ des rekursiven Nameservers). Das ist aus zwei Gründen wichtig: Erstens findet zwischen Servern deutlich weniger Kommunikation – nur Cache-Fehltreffer – statt als zwischen einem Stub-Resolver und einem rekursiven Nameserver. Zweitens kann die Server-zu-Server-Kommunikation nicht einfach mit einem bestimmten Stub-Resolver in Verbindung gebracht werden und betrifft daher den Datenschutz eher weniger.

Passive-DNS-Daten werden unterschiedlich aufgezeichnet. Einige rekursive Nameserver, einschließlich Knot und Unbound, enthalten Funktionen, mit deren Hilfe sie Passive-DNS-Daten erfassen können. Administratoren können ein kostenloses Programm namens dnstap verwenden, um die Daten des Passive DNS aus dem Nameserver auszulesen.

Kommen andere Nameserver zum Einsatz, gibt es verschiedene Tools, die auf dem Host, der den rekursiven Nameserver betreibt, verwendet werden können, um den Traffic zu überwachen. Man könnte auch den Port des Nameservers auf einen anderen Host spiegeln, der die Daten aufzeichnet.

Der Wert von Passive DNS

Verschiedene Organisationen betreiben Datenbanken, auf denen Passive-DNS-„Sensoren“ Daten hochladen. Eine der beliebtesten und bekanntesten, DNSDB, wird von Farsight Security bereitgestellt. Sie enthält Daten, die über mehrere Jahre von Sensoren auf der ganzen Welt gesammelt wurden. Andere Organisationen, die Passive-DNS-Datenbanken betreiben, sind zum Beispiel die Website VirusTotal, die jetzt im Besitz von Google ist, die deutsche Unternehmensberatung BFK, Computer Incident Response Center Luxembourg (CIRCL) oder CERT Estonia (Computer Emergency Response Team).

Passive-DNS-Datenbanken lassen sich zum Beispiel abfragen, um zu bestimmen, welche DNS-Anfragen für die A-Records von www.infoblox.com im April 2012 aufgelöst wurden, welche Nameserver infoblox.com seither verwendet hat oder welche anderen Zonen die gleichen Nameserversätze nutzen. Möglicherweise noch viel wichtiger: Man kann anhand einer IP-Adresse, die als bösartig bekannt ist, alle Domainnamen finden, die Passive-DNS-Sensoren kürzlich dieser IP-Adresse zugeordnet haben.

Passive DNS bietet zahlreiche Einsatzmöglichkeiten:

• Passive-DNS-Datenbanken erlauben zum Beispiel die Erkennung von Cache-Poisoning und betrügerischen Veränderungen der Delegierungseinträge nahezu in Echtzeit. Ein Unternehmen könnte also in regelmäßigen Abständen eine Passive-DNS-Datenbank abfragen, um herauszufinden, welche Adressen ihren Domainnamen laut Passive-DNS-Sensoren zugeordnet sind. Jede Abweichung von den Zuordnungen in autoritativen Zonendaten könnte ein Hinweis auf eine Gefährdung sein.
• Farsight Security erfasst in regelmäßigen Abständen die neuesten Domainnamen in der DNSDB. Dabei handelt es sich um Domainnamen, die von den Sensoren in den letzten 15 Minuten, Stunden oder einem anderen Intervall erfasst wurden. Es hat sich herausgestellt, dass es eine hohe Korrelation zwischen diesen brandneuen Domainnamen und bösartigen Aktivitäten gibt: Sie werden oft kurzfristig in Phishing-Kampagnen oder dergleichen verwendet und dann einfach verworfen. Die Kosten, um die wenigen legitimen Domainnamen, die in den letzten 15 Minuten erschienen sind, zeitweise zu blockieren, sind überschaubar. Farsight stellt Unternehmen einen Feed mit diesen neuesten Domainnamen zur Verfügung, die Administratoren nutzen können, um deren Auflösung zu blockieren.
• Wenn die Passive-DNS-Datenbank Fuzzy- oder Soundex-Matching unterstützt, könnte ein Unternehmen in regelmäßigen Abständen diese Datenbank nach Domainnamen abfragen, die ihre Markennamen nutzen oder so ähnlich klingen und so eine mögliche Verletzung des Markenrechts erkennen.
• Sobald eine IP-Adresse oder ein Nameserver als bösartig markiert wurde, kann eine Passive-DNS-Datenbank einfach weitere Domainnamen identifizieren, die auf diese IP-Adresse oder andere Zonen, die von diesem Namenserver gehostet werden, verweisen und ebenfalls bösartig sein können.
• Indem man Änderungen der Domain-Name- und Zone-NS-Records im Zeitverlauf überwacht, können leicht diejenigen Einträge erkannt werden, die Techniken (z.B. Fast-Flux-Phishing und Malware-Websites) nutzen, um nicht entdeckt zu werden. Legitime Domainnamen, mit Ausnahme von solchen, die für Load Balancing verwendet werden, ändern ihre Adressen in der Regel nicht so oft. Die meisten legitimen Zonen ändern ihre Nameserver eigentlich so gut wie nie.

Den Kreis mit Response Policy Zones schließen

„Es gibt eine vielversprechende Methode zur Verbesserung der DNS-Sicherheit, die bislang meist noch nicht optimal genutzt wird: Passive DNS.“

Cricket Liu, Chief DNS Architect, Infoblox

xxx

Response Policy Zones (RPZ) sind hervorragend geeignet, um den Kreis zu schließen, wenn böswillige Domainnamen im Passive DNS erkannt werden. Es handelt sich dabei um DNS-Zonen, deren Inhalte als Regeln interpretiert werden. Eine typische Regel wäre: „Wenn jemand versucht, A-Records für diesen Domainnamen zu erfassen, antworte mit einer Fehlermeldung, dass der Domainname nicht existiert“. Weil es sich um Zonen handelt, können RPZ schnell und effizient im Internet übertragen und die Regeln, die sie enthalten, unverzüglich durchgesetzt werden. Unternehmen, die Passive DNS-Daten analysieren, um böswillige Domainnamen zu identifizieren, können entsprechende Regeln aufstellen, die die Auflösung dieser Namen blockieren und diese an Abonnenten im Internet verteilen.

Unternehmen, die Passive-DNS-Daten aus ihren rekursiven Nameservern beitragen wollen, finden auf der Website von Farsight weitere Informationen. Dort ist auch eine Schritt-für-Schritt-Anleitung zu finden, um Passive-DNS-Sensoren einzurichten. Ebenso können RPZ-Feeds anhand der Analysen von Passive DNS-Daten eingerichtet werden, um die Auflösung bösartiger Domainnamen zu blockieren.

Über den Autor:
Cricket Liu ist Chief DNS Architect bei Infoblox

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!