Kommentar: Domain-Name-Service
DNS pflegen und schützen
Es gibt einen wesentlichen Bestandteil unserer Netzwerkinfrastruktur, die oftmals nicht überwacht wird. Ein Hacker kann durch Zugriff auf diese Infrastruktur viel über die Vorgänge im Unternehmen erfahren und ungezügelt Schaden anrichten. Der Domain-Name-Service (DNS) gehört daher aus gutem Grund zu den schützenswerten IT-Ressourcen im Unternehmen.
Beim Domain-Name-Service (DNS) denkt man in der Regel nur an einen Dienst, der für die Auflösung von Domain-Namen genutzt wird. Dabei wird vergessen, dass der DNS auch die Grundlage für Denial-of-Service-Attacken auf die Web-Seiten oder das Hacking bestimmter IT-Ressourcen bildet.
Für alle Leser die nichts mit der Sicherheit am Hut haben, sei gesagt, dass DNS nicht nur für die Suche nach Web-URLs genutzt wird, sondern auch zum Überprüfen von Software-Lizenzen. Video-Dienste nutzen DNS zum Umgehen der Firewalls und auch die Hacker nutzen diesen Dienst um Daten unbemerkt aus den Unternehmen zu transportieren. Außerdem sind die Mitarbeiter eines Unternehmens unter Umständen in der Lage, durch externe DNS-Dienste auf ihren Geräten, sich der vollen Kontrolle zu entziehen. Das Domain-Name-System ist somit ein wesentlicher Bestandteil der Infrastruktur, der Schlüssel zur Produktivität und gleichfalls eines der Hauptangriffsziele. Aus diesem Grund sollte jedes Unternehmen sich einen genauen Überblick vom Zustand des DNS beschaffen und erkennen, wer gerade die DNS-Dienste wozu nutzt.
DNS ist eines am weitesten verbreitete Protokoll im Internet, aber es wird auch oft ignoriert. Data-Leak-Protection- (DLP-)Systeme, die E-Mail Protokolle untersuchen, Web-Browser und Peer-to-Peer-Software überprüfen, vernachlässigen oft DNS. In der Praxis analysiert niemand die DNS-Pakete, auch wenn DNS die Grundlage für alle Dienste liefert.
Einige Datenverluste in den vergangenen Jahren basierten auf als DNS-Abfragen getarnte Informationen. Es ist dabei zu beachten, dass einige Hersteller das so genannte DNS-Tunneling für die Übermittlung von Signaturen beziehungsweise zur Kontrolle der Lizenzen nutzen. Nur wenige Unternehmen beschäftigen sich jedoch mit der Überwachung des DNS-Verkehrs und verkennen dabei, dass die DNS-Dienste Einfalltore für eine Vielzahl unterschiedlicher Attacken sein können. DNS wird beispielsweise von der Malware, die auf einem Point-of-Sale-System läuft genutzt. Diese erfasst die Kundenkreditkarten und schleust diese per DNS-Tunneling aus dem Unternehmen heraus. DNS wird auch oft vorsätzlich von den Mitarbeitern eines Unternehmens zur Umgehung der Netzwerksicherheitskontrollen genutzt.
DNS-Angriffe sind ein weit verbreitetes Problem
Eine aktuelle Studie von Vanson Bourne in Unternehmen in den USA und England ergab, dass 75 Prozent der befragten Unternehmen bereits DNS-Angriffe (einschließlich Denial of Service und DNS-Hijacking sowie Datendiebstahl durch DNS) erlitten hat. Bei 49 Prozent der befragten Unternehmen fanden die DNS-Angriffe im vergangenen Jahr statt. Trotzdem sind 44 Prozent der befragten Unternehmen der Meinung, dass diese Angriffe keine zusätzlichen Investitionen in die DNS-Sicherheit rechtfertigen beziehungsweise deren Geschäftsleitung nicht den Sinn einer solchen Präventionsmaßnahme verstehen würde
Die meisten Manager behandeln DNS wie ein Dienstprogramm, welches im Hintergrund arbeitet und verkennen dessen immense Wichtigkeit für den Alltagsbetrieb. Solange DNS funktioniert, sind alle Mitarbeiter im Unternehmen glücklich. Doch wird meist vergessen, dass DNS eine Fülle von Informationen verbreitet, die einen Rückschluss über das interne Netzwerk zulässt. Wenige Unternehmen machen sich die Mühe, ihre DNS-Infrastruktur zu überwachen. Dabei ist es kein Hexenwerk, die DNS-Infrastruktur in die Überwachungs- und Sicherungsfunktionen zu integrieren. Es gibt viele Mechanismen und Werkzeuge, die dem IT-Administrator genau darstellen, welche Prozesse die DNS-Server gerade verarbeiten und welche Antworten verschickt werden. Eigentlich ist DNS als fester Bestandteil der Routing- und Switching-Infrastruktur für die korrekte Übermittlung der Pakete verantwortlich.
Früher waren es die ISPs, die die meistens der DNS-Dienste für die Unternehmen bereitstellten. Um ihre Dienste problemlos bereitstellen zu können forderten die ISPs von den Kunden eine Öffnung der firmeneigenen Firewalls für den DNS-Dienst. Damit verschob sich der Blickwinkel von einer Schlüsselkomponente der Sicherheitspolitik auf die reine Konnektivität.
Aus diesem Grund sollte man DNS aktiv managen und im Netzwerk die notwendigen Sicherheitskontrollen durchführen. Auf dem DNS-Layer lassen sich Phishing- und Malware-Attacken wesentlich effizienter erkennen, als dies mit Web-Proxys oder einer Deep-Packet-Inspection (DPI) möglich ist. DNS ist ein exzellentes Frühwarnsystem und eignet sich hervorragend zur Einrichten kleiner Stolperdrähte im Netzwerk, um Malware und andere bösartige Software im Netzwerk zu erkennen. Mit etwas Erfahrung kann man durch eine gezielte Suche nach bestimmten Verhaltensmustern sogar erkennen, wie weit sich eine Infektion bereits verbreitet hat.
Daher muss man überwachen, welche Adressen von DNS im Netzwerk aufgelöst werden. Dadurch kommt man Hackern, die versuchen über gefälschte Links legitime Web-Zugriffe auf bösartige Web-Seiten umzulenken, auf die Spur. Durch eine kontinuierliche DNS-Überwachung erfährt man schnell, wenn etwas nicht stimmt und kann agieren, bevor die Benutzer unbemerkt alle möglichen Daten ins Internet posten. Die Schwelle zur Verbesserung von DNS ist sehr niedrig. In der Regel wird DNS jedoch als Kostenfaktor angesehen und deshalb werden keine zusätzlichen Investitionen in diesem Bereich getätigt. Dabei verbessert jede Investition in DNS die Leistungsfähigkeit des Dienstes und somit auch aller Dienste, die DNS nutzen.
- DNS pflegen und schützen
- Monitoring der Geschäftsprozesse
Lesen Sie mehr zum Thema
