Unternehmen haben schon immer hohe Ansprüche an die eigene IT-Infrastruktur gestellt, doch die Komplexität, die durch Virtualisierung, neue Trends wie BYOD (Bring Your Own Device) und neue IP-Standards (IPv6) erreicht wurde, stellt Firmen vor neue Herausforderungen. Wer bisher noch keine solide Basis für sein Netzwerk hatte, ist nun umso mehr gefordert. Ein wesentlicher Aspekt in diesem Zusammenhang zur Wahrung der betrieblichen Verfügbarkeit der unternehmenskritischen Systeme ist die Sicherheit und der Schutz der Infrastrukturen.
Neben den klassischen Sicherheitsstrategien wie Firewall, Virenschutz und Datensicherung werden von den Unternehmen weitere, nicht minder wichtige Bereiche, oft nicht ausreichend beachtet. Dazu gehören vor allem der Schutz der Schlüsselprotokolle, die im IP-Protokoll eingebettet sind - Domain-Name-Service (DNS), Dynamic-Host-Configuration-Protocol (DHCP) und Internet-Protokoll-Address-Management (IPAM), bekannt unter dem Sammelbegriff DDI. Die Gefahren und wie man hier vorgehen kann, zeigen die folgenden Methoden und Strategien.
Der DNS (Domain-Name-Service) ist verantwortlich für das Routing zu den Seiten im Internet. Dabei werden die einfach zu merkenden Domainnamen in Maschinenadressen festgehalten (87.98.255.16). Die DNS-Firewall ist damit ein zentrales Bollwerk sowohl gegen das Eindringen von Malware als auch als Schutz gegen Datenverluste von innen beim Besuch von gefährlichen Internetseiten.
Bei Angriffen von außen stellen Malware-Programme eine Verbindung durch den DNS her, um schädliche Programme herunterzuladen oder Informationen zu entwenden. Dies beinhaltet typischerweise auch sensible Informationen oder vertrauliche Daten einschließlich Passwörter. Wenn eine DNS-Firewall verwendet wird, können Unternehmen diesen Betrugsversuch identifizieren und unterbinden, bevor das infizierte Gerät Informationen übermitteln kann. Umgekehrt kann eine DNS-Firewall den Zugang zu gefährlichen und verbotenen Internetseiten blockieren.
DNS-Best-Practices
Eine Sicherheitsstrategie ist niemals statisch genauso wenig wie die Struktur eines Netzwerkes. Die Grundlage jedoch ist eine stabile und zuverlässige Infrastruktur. DNS-Best-Practices liefern den IT-Verantwortlichen gewisse Konzepte, die eine hohe Sicherheit im Netzwerk gewähren und eine kontinuierliche Anpassung ermöglichen.
Um eine sichere DNS-Struktur zu gewährleisten, bietet es sich an, mit zwei DNS-Servern zu arbeiten. Dabei wird der Primäre-Server abgeschottet und ist nach außen hin nicht sichtbar. Dabei kann sowohl ein Stealth-Architektur eingesetzt werden, um die Identität des Primär-Servers zu verschleiern, oder es kann ein Load-Balancer und Network-Handler eingesetzt werden. Die zweite Lösung hat noch den Vorteil, dass bei Last-Spitzen der Netzwerk-Verkehr besser verteilt werden kann.
Eine weitere sehr wichtige Strategie – die aber oftmals nicht eingehalten wird – ist das kontinuierliche Einspielen von Updates auf dem DNS-Servern und allen anderen Systemen im Netzwerk. Nur so kann die Sicherheit gewährleistet werden.
Zuletzt sei noch das Thema Domain-Name-System-Security-Extensions (DNSSEC) erwähnt, die Nutzung eines verschlüsselten DNS-Protokolls. DNSSEC verhindert die Umleitung des Datenverkehrs über unberechtigte Server von Hackern, indem ein Schlüssel auf jeden Server konfiguriert wird, der sicherstellt, dass die Informationen aus einer gesicherten Quelle stammen und nicht korrupt sind. Damit der Kommunikationsfluss gewahrt bleibt, können Unternehmen die Signaturmechanismen automatisieren.