Die Sicherheitsanforderungen an die Web-Infrastruktur steigen

Schutz für das Domain Name System (DNS) des Internets

| Autor / Redakteur: Scott Courtney / Andreas Donner

Die Domain Name Registry Verisign verwaltet unter anderem alle Domainnamen der Top-Level-Domains .com und .net.
Die Domain Name Registry Verisign verwaltet unter anderem alle Domainnamen der Top-Level-Domains .com und .net. (Bild:Verisign)

Mit mehr als 250 Millionen Domains und fast zweieinhalb Milliarden Nutzern ist das Internet ein wichtiger Teil unseres Lebens. Scott Courtney, VP Infrastructure Engineering bei Verisign, erklärt, wie diese Infrastruktur sicher und zuverlässig funktioniert.

Das Internet wächst explosionsartig. Mehr Aspekte des täglichen Lebens als sich die meisten Nutzer je hätten vorstellen können hängen vom Internet ab. Um nur ein Beispiel zu nennen: Allein im Jahr 2011 wurden fast acht Billionen US-Dollar im Onlinehandel umgesetzt.

Zusätzlich steigen die technischen Anforderungen an die Infrastruktur mit Trends wie Cloud Computing, dem Internet der Dinge, Big Data und der Umstellung auf IPv6. Obwohl wir uns so sehr auf das Internet verlassen, fehlt oft das Verständnis dafür, wie diese Infrastruktur organisiert ist und wie die wachsende Zahl an Sicherheitsbedrohungen abgewendet werden kann.

Wachsende Anforderungen an die Internet-Infrastruktur

Die Zahl der Funktionen, die in der einen oder anderen Weise auf dem Internet basieren, nimmt stetig zu. Gemeinsame Protokolle bilden die Basis für das Wachstum dieses Netzwerks und stellen sicher, dass alle Teilnehmer in der Lage sind, zu kommunizieren und Informationen auszutauschen. Das Transmission Control Protocol (TCP) und das Internet Protocol (IP) definieren die Regeln für das Senden und Empfangen der meisten Informationen im Internet. Damit verknüpft ist das Domain Name System (DNS).

DNS – das Telefonbuch des Internets

Das DNS-System ist ein hierarchisch organisiertes System zur Identifizierung aller mit dem Internet verbundenen Geräte. Es besteht aus einem komplexen Netz von Root- und Name-Servern und übersetzt die nutzerfreundlichen Domainnamen wie „www.verisigninc.com“ in numerische IP-Adressen, die Webseiten eindeutig identifizieren.

Jeder Domainname wird von einer sogenannten Domain Name Registry zur Verfügung gestellt. Eine Registry verwaltet alle Domainnamen einer Top-Level-Domain wie „.com“ oder „.net“ und erstellt die Zonendateien, in denen die Webseiten ihren IP-Adressen zugeordnet sind. Wenn ein Domainname im Browser eingegeben wird, verbindet sich der Browser zuerst mit einem Domain Name Server, der den eingegebenen Domainnamen in die zugehörige IP-Adresse übersetzt. Mit dieser eindeutigen Adresse kann der Browser dann die angeforderte Webseite aufrufen. Diese Anfrage wird „DNS Lookup“ genannt und dauert üblicherweise weniger als eine Zehntelsekunde.

Anforderungen an den Betrieb von Top-Level-Domains

Als Registry für “.com” und weitere Top-Level-Domains leitet Verisign Internet-Nutzer auf die Seiten, die sie aufgerufen haben. Bei zurzeit durchschnittlichen 77 Milliarden DNS-Lookups täglich für alle von Verisign verwalteten Top-Level-Domains muss dieser essentielle Dienst ohne Unterbrechung funktionstüchtig sein.

Verisigns Infrastruktur aus 75 DNS-Servern weltweit und den zwei von Verisign betriebenen Root-Servern, die die Namen und IP-Adressen aller DNS-Server von Top-Level-Domains bereitstellen, wird dabei von vielen verschiedenen Sicherheitsmechanismen geschützt.

Angreifern einen Schritt voraus

Ohne Zweifel ist der Aufwand für den störungsfreien Hochleistungsbetrieb der Internet-Infrastruktur hoch, doch ein Ausfall hätte schwerwiegende Konsequenzen. Wenn das Internet oder auch nur die Infrastruktur einer einzigen Registry für einen längeren Zeitraum gestört wäre, wäre eine ganze Reihe von Funktionen nicht mehr verfügbar - vom Zugriff auf die vielen Nachrichten- und Informationsseiten, die unser tägliches Leben prägen, bis zur Kommunikation mit Familie, Freunden und Geschäftspartnern. Eine Unterbrechung anderer Datenübertragungen wie Notfall-Benachrichtigungssysteme oder der Börsenhandel über das Internet hätte sogar noch weit schwerwiegendere Konsequenzen.

Um Störfälle zu vermeiden verfügt das DNS-System über eine Vielzahl an Redundanzen und Schutzmaßnahmen. Dazu gehören unter anderem Anwendungen auf Hardware-, Betriebssystem- und Middleware-Ebene sowie die Verbindung mit mehreren Stromversorgern und Netzanbietern. Im Gesamtsystem sorgen diese Schutzmaßnahmen für weltweit gleichbleibende Leistung und die Integrität der Daten zu jeder Zeit. Auch die Echtzeit-Aktualisierung des DNS-Systems beim Hinzufügen neuer Domainnamen ist dadurch möglich.

Da Firmen, öffentliche Institutionen und Privatpersonen immer mehr wichtige Funktionen und Informationen ins Internet verlagern, schaffen sie aber auch mehr und mehr Angriffsmöglichkeiten für Cyber-Kriminelle. Dies beginnt bei Diebstahl und reicht über Erpressung bis hin zu Industriespionage und Sabotage. Heutzutage gehören zu den häufigsten Angriffstypen Distributed Denial of Service, Advanced Persistent Threats und die Ausnutzung von Eingabefehlern beispielsweise durch Typosquatting und Phishing.

Die häufigsten Störungen

DDoS-Angriffe (Distributed Denial of Service) nehmen in Häufigkeit und Umfang zu. Es gibt unterschiedliche Varianten von DDoS-Angriffen, doch im Allgemeinen beschreibt der Begriff die Nutzung einer Vielzahl von Rechnern (wie kompromittierte PCs oder Server), um eine Webseite oder einen Service über Kapazität zu beanspruchen, sodass das Angebot für weitere Nutzer nicht mehr erreichbar ist. Neben direkten Angriffen auf Webseiten oder Dienstleistungen kann auch das DNS-System Ziel eines DDoS-Angriffs werden.

Mit Advanced Persistent Threats (APT) werden gezielte, andauernde Angriffe auf bestimmte Einrichtungen bezeichnet. Diese Art von Angriff hat in den letzten Jahren besonders zugenommen, da immer mehr wichtige Informationen über das Internet erreichbar sind. Das Hauptziel eines APT-Angriffs ist üblicherweise, langfristig Zugriff auf ein Zielnetzwerk zu erhalten, um geistiges Eigentum, persönliche Daten sowie finanzielle oder strategische Informationen zu erhalten.

Nicht zuletzt nimmt auch die Anzahl von so genannten „Typosquatting“-Domainnamen zu. Damit nutzen böswillige Akteure Tippfehler der Internetnutzer bei Domainnamen aus. Anstatt nach der Eingabe von fehlerhaften Domainnamen auf einer Fehlermeldung zu landen, werden die Nutzer auf eine Kopie der richtigen Website umgeleitet. Geben sie dort ihre persönlichen Daten ein, machen sie sich angreifbar für Malware oder Phishing.

Bereit für die Zukunft

Vermutlich werden diese und andere Angriffe in den nächsten Jahren zunehmen. Um die Internetnutzer auch weiterhin zu schützen, gibt es verschiedene Möglichkeiten: DDoS Protection beispielsweise schützt Unternehmen und blockiert schädlichen Datenverkehr bereits in der Cloud, noch bevor er das Firmennetzwerk erreichen kann. Außerdem wurden Domain Name System Security Extensions (DNSSEC) für .com und .net implementiert. DNSSEC stellt sicher, dass die Daten, die Nutzer im Internet aufrufen, aus der angegebenen Quelle stammen und nicht während der Übertragung böswillig verändert wurden (Man-in-the-middle-Angriffe).

Zusätzlich arbeitet Verisign gemeinsam mit anderen Organisationen daran, das DNS-Protokoll sicherer zu machen. Eine dieser Entwicklungen ist die Verbesserung des DANE-Protokolls (DNS-based Authentication of Named Entities), das basierend auf DNSSEC die Verschlüsselung der Datenübertragung ermöglicht. Mit diesem Verfahren können kryptographische Authentifizierungen ausgetauscht werden, die beispielsweise die Verschlüsselung und elektronische Signatur von E-Mails ermöglichen.

Scott Courtney
Scott Courtney (Bild:Verisign)

Eine der großen Herausforderungen beim Betrieb von DNS-Infrastruktur ist es, mit der Entwicklung der Sicherheitsrisiken Schritt zu halten. Um weiterhin sichere und verlässliche Konnektivität anbieten zu können, muss das DNS-System als Ganzes gesehen werden: Die Sicherstellung der Funktionalität wird auch in Zukunft nicht an Bedeutung verlieren, aber die gefragten Services werden sich nicht mehr nur auf Backend-Unterstützung beschränken. Daneben werden zusätzliche Angebote für den Frontend-Bereich erforderlich sein, damit das DNS-System den Anforderungen des Internets der Zukunft gewachsen ist und weiterhin die zuverlässige Infrastruktur der vernetzten Welt bleibt.

Über den Autor

Scott Courtney ist VP Infrastructure Engineering bei Verisign

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42333142 / Management & Security)