Netzwerk-Absicherung mit Fokus auf das Domain Name System

So funktioniert eine DNS-basierte Security-Strategie

| Autor / Redakteur: Frank Ruge / Andreas Donner

DNS muss keine Schwachstelle im System sein. Im Gegenteil; es kann sogar als vorderste Verteidigungslinie dienen – sagt Frank Ruge von Infoblox.
DNS muss keine Schwachstelle im System sein. Im Gegenteil; es kann sogar als vorderste Verteidigungslinie dienen – sagt Frank Ruge von Infoblox. (Bild: Infoblox)

Das Domain Name System (DNS) ist ein zentraler Punkt jedes Netzwerks und essentiell für die Kommunikation über das Internet. Längst haben Cyber-Kriminelle das DNS als Schwachstelle für Attacken ausgemacht. Doch besser als das DNS bloß gegen Angriffe zu sichern ist es, das System aktiv zur Verteidigung einzusetzen!

Die große Mehrheit der Unternehmen wird wohl ihre Cybersecurity-Ausgaben im laufenden Jahr erhöhen – mit Schwerpunkten auf Netzwerk- und Cloud-Security sowie Security Analytics. Die Gründe hierfür sind offensichtlich: Es vergehen kaum ein paar Wochen, ohne dass neue Datenlecks oder gestohlene persönliche Daten durch die Medien gehen.

2017 gab es laut ESG Research [PDF] 612 bekannte Datenlecks, bei denen 1,9 Milliarden Datensätze entwendet wurden: Eine unvorstellbar hohe Zahl innerhalb nur eines Jahres.

Zudem werden die Angriffe immer spezifischer. Etwa 80 bis 90 Prozent der neu auftauchenden Malware wurde so konzipiert, dass sie exakt auf ein spezielles System zugeschnitten ist. Und genau das macht es so schwierig, diese Arten von Angriffen zu entdecken und zu verhindern. Viele bösartige IP-Adressen oder Web-Domains existieren nur etwa eine Stunde lang oder kürzer, sodass es quasi unmöglich ist, diese mit herkömmlichen Sicherheitsmaßnahmen zu blocken oder überhaupt zu entdecken.

Eine weitere Bedrohung der letzten Zeit ist Ransomware, wovon insbesondere Gesundheits- und Verkehrswesen betroffen waren. Die Wannacry-Ransomware befiel über 300.000 Geräte in 150 Ländern weltweit. Der gesamte durch Ransomware verursachte Schaden betrug 2017 sieben Milliarden US-Dollar – ein extremer Anstieg, denn 2016 betrug der Schaden „nur“ eine Milliarde US-Dollar.

Allzweckwaffe Domain Name System

Das Domain Name System (DNS) löst IP-Adressen in Domain-Namen auf oder umgekehrt. Gibt ein Nutzer eine bestimmte URL in den Browser ein, ergänzt das DNS die entsprechende IP-Adresse des Servers. Um den Hostnamen zu erkennen, muss der Server eine DNS-Anfrage starten: der Reverse Lookup spricht die IP-Adresse des Clients an. Damit gilt das DNS als Telefonbuch für das Internet.

Das in den 1980er Jahren entwickelte DNS verfügt über keinerlei Sicherheitsfunktion und basiert auf der Annahme, dass Menschen und Unternehmen auch tatsächlich diejenigen sind, für die sie sich ausgeben. In dieser Zeit konnte man nicht vorhersehen, dass die Entwicklung des Internets zum zentralen Angelpunkt unseres täglichen Lebens auch die Grundlage für diverse kriminelle Machenschaften bilden würde. Die Problematik liegt an der offenen und verteilten Architektur des DNS.

Cyberkriminelle missbrauchen das altgediente System heute als Schlupfloch für ihre Aktivitäten. Ob Abgreifen vertraulicher Unternehmensdaten (Data Exfiltration), Einschleusen von Malware in gestückelten Paketen (Data Infiltration) oder der Bau von Tunneln, um Daten unbefugt zu transportieren: Hacker haben das DNS für sich entdeckt, um in fremde Systeme einzudringen, Daten zu verschlüsseln, Informationen zu stehlen – oder gar Daten zu zerstören.

Das DNS verteidigt in vorderster Front

Viele Unternehmen haben die Schwachstelle DNS bereits erkannt und versuchen, diese Lücke mit dedizierten DNS Servern, regelmäßigen Scans und Schwachstellen-Software zu schließen. Doch über die reine Security-Hygiene hinaus, erkennen immer mehr Unternehmen den Wert des DNS als aktive Verteidigungslinie, eingebettet in ein tiefgreifendes und umfassendes Sicherheitskonzept.

Dies ist sinnvoll, denn das DNS ist Bestandteil jeglicher Netzwerkverbindung – egal ob bösartig oder harmlos. Das DNS ist im Netzwerk einzigartig positioniert, um als zentraler Kontrollpunkt zu entscheiden, ob eine gutartige oder eine bösartige Anfrage eingeht.

Vorbeugung und Integration auf allen Ebenen

Eine DNS-basierte Security-Strategie legt Wert auf vorbeugenden Schutz. Als verbindendes Element zwischen Nutzern, Browsern und Webinhalten kann ein sicherer DNS-Security-Service Security-Policies durchsetzen und verdächtige Verbindungen blockieren. So können beispielsweise Inhalte wie Pornografie, Glücksspiele und so genannte Hate Sites gefiltert werden.

Als Mittelsmann jeglicher Netzwerkverbindung ist das DNS eine allwissende Informationsquelle über 300 Millionen Internet Domain-Namen und 4 Milliarden aktiven IP-Adressen. Diese können mit den TTPs (Tactics, Techniques and Procedures) der Hacker, Cyberkriminellen und Geheimdienste abgeglichen werden. DNS Threat Intelligence kann mit anderen Open-Source- und weiteren Threat-Intelligence-Feeds sowie Analytics-Systemen wie EDR (Endpoint Detection and Response) und SIEM (Security Information and Event Management) integriert werden und so ein ganzheitliches und situationsorientiertes Bild der Sicherheitslage liefern.

DNS Security Services unterstützen die Abstimmung der Störfallbeseitigung indem IOCs (Indicators of Compromise) sowie IOAs (Indicators of Attacks) mit anderen Sicherheitstechnologien wie Firewalls, Netzwerk-Proxys, Endpunkt-Security, NACs und Schwachstellenscannern geteilt werden und diesen reichhaltige Kontextinformationen zur Verfügung stellen.

Worauf man bei der Auswahl einer DNS-Security-Lösung achten sollte

Wichtig ist die Fähigkeit, bösartige Domains, URLs sowie IP-Adressen in Echtzeit zu erkennen und zu blockieren. Integrationen mit DNS Firewalls, DNS Threat Intelligence Services sowie der weiteren Security-Infrastruktur sollten im Paket enthalten sein.

Mit Hilfe von Verhaltensanalysen werden DNS-Pakete genauestens untersucht nach Größe, Zeit, Art der Verschlüsselung und weiterer Anomalien. Nur so kann dem Missbrauch des DNS für das Abgreifen von Daten ein Riegel vorgeschoben werden. Eine hybride Architektur bestehend aus On-Premises Appliances und Cloud-basierten Komponenten bietet optimale Sicherheit für Zweigniederlassungen, Home Offices und das Arbeiten von unterwegs.

Das zentrale Management für jeglichen DNS-Datenverkehr ist ein weiterer elementarer Bestandteil. Nur durch Verwaltungsfunktionen für Policies, Konfigurationen und Reporting kann das Security-Team Überblick über sämtliche Alerts, den Status der eingeloggten Geräte und potentielle Bedrohungen behalten.

Nicht zuletzt sollte auf einen Hersteller gesetzt werden, der Integrationen und Allianzen mit anderen Security-Hersteller bietet. In der weitverzweigten Security-Landschaft wird Integration die Zukunft sein. Nur wenn zwischen den verschiedenen Komponenten Interoperabilität herrscht, und alle Zugriff auf die relevanten Informationen haben, kann Sicherheit in Echtzeit gewährleistet werden.

Frank Ruge.
Frank Ruge. (Bild: Infoblox)

Fazit

Beim Thema IT-Sicherheit sollte langfristig gedacht und geplant werden. Nur mit modernsten Security-Lösungen können Unternehmen sich auch vor zukünftigen Bedrohungen schützen. Denn was die nächste Welle bahnbrechender Technologien wie Internet der Dinge, autonomes Fahren und künstliche Intelligenz noch alles an Bedrohungspotential mit sich bringen wird, können wir bestenfalls erahnen.

Über den Autor

Frank Ruge ist Senior Director & General Manager Central Europe bei Infoblox.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45414600 / Architektur)