DNS-Cache Poisoning: Nominum ist gewappnet

Ihren DNS-Server »Vantio Base Server« hat Nominum gegen verschiedenste Formen des DNS-Cache-Poisoning geschützt. Dabei geht die Lösung über den Branchenstandard »UDP SPR« (Source-Port-Randomization) hinaus.

Beim DNS-Cache-Poisoning schafft es der Angreifer, dem DNS-Server gefälschte Adressen unterzuschieben. Gelangen diese in den Cache des Servers, liefert er automatisch die manipulierten Daten aus. Ihrem »Vantio Base Server« (VBS) hat Nominun nun einen umfassenden Schutz verpasst. Dieser geht deutlich über »UDP SPR« (Source-Port-Randomization) hinaus, was gegen eine bestimmte Form des Poisonings gerichtet ist.

Der Vantio-Base-Server bietet Schutzfunktionen auf vier verschiedenen Ebenen. Einmal setzt das System UDP-SPR um, das die empfohlene Antwort auf die von Dan Kaminsky aufgedeckten Schwachstelle im DNS ist. Mit der »Detect and Defend«-Technologie erkennt der Server Manipulationen und geht im Fall einer Attacke auf eine geschützte Verbindung zur Namensauflösung.

Mittels »Query Response Screening« überprüft der Server DNS-Antworten etwa auf den korrekten Aufbau. Die Funktion soll verhindern das manipulierte Daten an Clients zurückgegeben werden. Stellt der VBS einen Angriff fest, wird dieser aufgezeichnet und ein Alarm ausgelöst.

UDP-SPR wählt zufällig ein oder mehrere Quell-Ports für UDP bei einer DNS-Anfrage aus. Allerdings hätten Sicherheitsexperten mittels einer Brute-Force-Attacke diesen Schutzmechanismus geknackt, so Dr. Paul Mackapetris, Chairman und Chief-Scientist bei Nominun. »Dafür benötigten sie ganze 10 Stunden«, so der Erfinder des Domain-Name-Systems. Der mehrschichtige Ansatz von Nominum schütze dagegen.