DNS-Security: Anfällig für Cyber-Attacken Anfragen böswilliger Absender erkennen
13. Oktober 2017Jede Art der Online-Kommunikation arbeitet mit Domain-Namen. Das macht das DNS zur entscheidenden Weiche, die gutartige von bösartigen Anfragen unterscheidet. DNS Response Policy Zones (RPZ) sowie Threat Intelligence Feeds helfen bei der Kontrolle, welche Daten tatsächlich über das DNS fließen – denn sie legen fest, welche Domain-Namen aufgelöst werden und was unaufgelöst bleibt. Das funktioniert nur mit einer umfassenden Datenbank, die ständig aktualisiert wird. Die Blacklist des ActiveTrust Feed kennt derzeit zum Beispiel über 4,5 Millionen Domain-Namen als böswillig. Gut gesicherte Unternehmen nutzen dieses Wissen, erkennen so rechtzeitig unerwünschte Anfragen böswilligen Absender – und können diese isolieren und fernhalten.
Das Prinzip
Das Domain Name System (DNS) funktioniert wie ein „Adressbuch des Internet“: Es löst URLs wie etwa „Line-of.biz“ in IP-Adressen auf, die Router verarbeiten können. So wird die passende Zieladresse angesteuert, ohne dass sich der Anwender eine sperrige Zahlenreihe merken muss – und mit eingängigen URLs statt mit ellenlangen IP-Adressen arbeiten kann.
Der Haken dabei: Das Domain Name System funktioniert unverändert seit den frühen 1980er Jahren. Ein Sicherheitskonzept für das DNS wurde damals nicht implementiert, da das System nicht dazu gedacht war, Attacken abzuhalten oder anderweitig der Sicherheit zu dienen. Dass das DNS sich einmal zu einem der heikelsten Angriffspunkte für Cyber-Kriminelle entwickeln würde, wie es heute der Fall ist, ahnte damals niemand. Und in vielen Organisationen wird die Gefahr bis heute unterschätzt. Dabei sind durchaus Technologien verfügbar, um das Domain Name System abzusichern und sich gegen Angriffe zu wappnen, bei denen Hacker das DNS als Werkzeug für ihre Machenschaften nutzen.
Cyber-Kriminelle sind einfallsreich, wenn es darum geht, das DNS als Türöffner für Datenklau, die Verbreitung von Malware oder das Hijacking von URL-Adressen auszunutzen. Vergangene Angriffe auf DNS-Server lähmten zum Beispiel mit DDoS-Attacken Netzwerke von Unternehmen und öffentlichen Einrichtungen – und bedienten sich dazu IoT-Geräten wie Routern oder vernetzten Überwachungskameras, die vorher unbemerkt vereinnahmt worden waren. So konstruierte Bot-Netze fluten Server mit tausenden Anfragen pro Sekunde und legen diese dadurch lahm.
Glaubwürdige Tarnung
Nach wie vor wird Malware gern über E-Mails und deren Attachments verteilt. Doch mit wahllos versendetem Spam geben sich Cyber-Kriminelle längst nicht mehr zufrieden. Scheinbewerbungen auf echte Stellenangebote oder gefälschte Rechnungen wirklicher Geschäftspartner landen inzwischen in immer mehr Posteingängen. Auch harmlos wirkende Nachrichten tatsächlich existierender Kontakte legen falsche Fährten: Wenn nämlich erst unbemerkt die Adressordner der Opfer ausspäht werden – und dann die erbeuteten Adressen als Absender für bösartige Inhalte herhalten müssen.
Diebstahl persönlicher Daten durch Phishing, täuschend echte Fake-Shops mit Vorauskasse, aber ohne Lieferung oder kontaminierte Hardware, durch die Schädlinge ins Netzwerk gelangen: Immer mehr Fallen säumen die digitalen Pfade – und sie sind immer schwerer zu erkennen. Doch was tun, um Verbindungen zu bösartigen IP-Adressen zu unterbinden, bzw. unerwünschten Datenzufluss oder -abfluss zu verhindern?
Zentral ist dafür der Blick auf das DNS-Protokoll, das Hacker nutzen, um zum Beispiel Unternehmensdaten von innen nach außen zu transportieren (Data Exfiltration) oder um Datenpakete (etwa zerstückelte Malware) ins Netzwerk einzuschleusen (Data Infiltration). Auch der Informationsaustausch zwischen kontaminierten Devices und Command&Control-Servern basiert auf dem DNS-Protokoll, was Hacker raffiniert zu nutzen wissen.
Zahlreiche Unternehmen sind sich über diese Schwachstellen nicht im Klaren – und sichern ihre Netzwerke deshalb nur unzureichend ab. Um das zu ändern, müssen alle verbundenen Geräte und Dienste im Netzwerk sowie die virtuellen und dynamischen Umgebungen und Infrastrukturen in den Blick genommen werden. Um wirkliche Transparenz herzustellen, muss die Perspektive alles einschließen, was an Layer-2- und Layer-3-Geräten Verbindung zum Netzwerk hat. Wird ein neues Gerät eingebunden, sollte umgehend und automatisiert dessen Verwundbarkeit geprüft werden.
Verknüpfung der Lösungen
In Betrieben, wo sich kleinere Abteilungen mit knapperen Budgets um die IT kümmern, ist das Thema Netzwerksicherheit oft weniger präsent als in großen Unternehmen. Gerade für kleine und mittlere Unternehmen (KMU) empfiehlt sich daher die Kooperation mit Experten für Sicherheitslösungen im Netzwerkbereich. Vielfältige Technologie-Partnerschaften machen es inzwischen möglich, beim Thema Sicherheit unterschiedliche Systeme verschiedener Hersteller unter einen Hut zu bekommen – etwa Cloud-, Netzwerk- und Security-Lösungen. Ausgereifte Modelle optimieren die Netzwerk-Automatisierung und wappnen Kunden gegen Cyber-Gefahren. Dabei gilt: Je mehr Vernetzung möglich ist, umso höher der Automatisierungsgrad, was wiederum den manuellen Aufwand herunterfährt und Reaktionszeiten beschleunigt.
Im Idealfall findet der Schutz des Netzwerks auf mehreren Ebenen statt: Um zum Beispiel DDoS-Attacken vorzubeugen, brauchen vor allem externe autoritative Name-Server Schutz – etwa mit Hilfe von Hardware-Appliances. Engmaschige Filter stellen dann sicher, dass nicht jede Anfrage die CPU erreicht, sondern zweifelhafte und bösartige Anfragen außen vor bleiben.
Datenklau und der Abfluss von wertvollem Know-how ist der Worst Case für Unternehmen. Doch leider schließen viele Betriebe nicht alle verborgenen Schlupflöcher, die trotz Firewall aus dem Unternehmensnetz hinaus führen. Die schwächste Stelle: das DNS, über das Hacker ohne große Schwierigkeiten Tunnel ins Internet aufbauen – auch wenn Webproxys verwendet werden. Wichtig ist daher eine DNS-Analyse, die sorgfältig untersucht, was über das Domain Name System transportiert werden soll.
Frank Ruge
ist Director Sales für Zentraleuropa bei Infoblox.
Hier geht es zu Infoblox