Unsicheres DNS

DNS: Die offene Flanke der Unternehmen

DNS-Server werden häufig bei Security-Maßnahmen übersehen. Dabei sind sie in letzter Zeit verstärkt zum Ziel von DDOS-Angriffen geworden.

  • Frank Ruge, Director Sales für Zentraleuropa beim Softwarehersteller Infoblox

Das Jahr 2016 wird als das Jahr der massiven DDOS-Angriffe auf Kernstrukturen des Internets eingehen. Besonders großes Aufsehen erregten die beiden massiven DDOS-Angriffe aus dem Internet der Dinge auf DNS-Server, die zu massiven Ausfällen von Websites führten. Die Netzwerke so gut wie jedes größeren Unternehmens stehen unter ständigem Beschuss. Doch nicht alle Netze sind gut abgesichert, wie Frank Ruge, Director Sales für Zentraleuropa beim Softwarehersteller Infoblox bei seiner Arbeit oft erfahren muss: „Es ist ein täglicher Schock, wie wenig Einblick Admins tatsächlich in ihre Netzwerke haben.“ Im schriftlich geführten Interview berichtet er über die Hintergründe und stellt mögliche Lösungen vor.

Einige DDoS-Angriffe der letzten Zeit haben sich speziell auf DNS-Server gerichtet und durchaus starke Wirkungen erzielt. Warum ist das Domain Name System besonders anfällig für Angriffe?

Es ist eine der wenigen noch vollkommen unterschätzten, neuralgischen Angriffspunkte und eine offene Flanke in Unternehmen. Das „Adressbuch“ des Internets verwandelt eine Zieladresse wie www.it-zoom.de in eine für Router verständliche IPv4-Adresse. Es verfügt von Haus aus über keinerlei Sicherheitskonzept, da es nicht dafür geschaffen wurde, um Angriffe abzuwehren oder als Sicherungsmechanismus zu dienen.

Die Möglichkeiten für Cyberkriminelle, das DNS als Einfallstor zu missbrauchen, sind vielfältig. Die jüngsten Attacken auf DNS-Server legten mittels Distributed-Denial-of-Service-Angriffen (DDoS) mit gekaperten Geräten aus dem „Internet der Dinge“ bereits die Netzwerke zahlreicher Unternehmen und Regierungsstellen lahm. Auch hier gibt es mehrere Angriffsvarianten wie Distributed Reflection DoS in Kombination mit DNS Amplification, das eine Verstärkung der Angriffswirkung um ein Vielfaches bewirkt.

Welche weiteren Einfallstore nutzen Cyberkriminelle gewöhnlich?

Für Cyberkriminelle gibt es heutzutage verschiedene Einfallstore: In den meisten Fällen wird Schadsoftware über E-Mails oder deren Anhänge verbreitet. Eine weitere Methode ist das Phishing: Über gefälschte Webseiten, E-Mails oder Kurznachrichten gelangen Cyberkriminelle an persönliche Daten eines Nutzers und begehen damit Identitätsdiebstahl. Ein drittes Einfallstor ist infizierte Hardware, wie beispielsweise ein USB-Stick. Nicht unterschätzen sollte man auch den Risikofaktor Mensch, denn ein Großteil des unautorisierten Datenabflusses geht auf gezielten Datenklau durch Mitarbeiter zurück.

Eine weitgehend übersehene Gefahr ist das DNS-Protokoll, welches zum Transport von Unternehmensdaten von innen nach außen genutzt wird (Data Exfiltration) oder beispielsweise auch zur Kommunikation von Malware auf infizierten Geräten mit Command&Control-Servern. Vielen Unternehmen sind diese Schwachstellen nicht bewusst, obwohl über 90 Prozent der Malware DNS als Transportmedium nutzt und Infoblox in über 80 Prozent der durchgeführten DNS-Assessments bei Kunden bis dato unerkannte Malware aufspürt oder DNS-Tunnel findet.

Viele Unternehmen scheinen ihre Netzwerke nicht besonders gut abzusichern. Was wird besonders häufig falsch gemacht?

Zunächst einmal wissen viele Unternehmen gar nicht, was in ihrem Netzwerk überhaupt passiert – eigentlich die Grundvoraussetzung. Unerlässlich ist außerdem ein Überblick über alle angeschlossenen Geräte und Dienste sowie die virtuellen und dynamischen Umgebungen und Infrastrukturen. Sämtliche Layer-2- und Layer-3-Geräte wie z. B. Router, Switches, Firewalls und Load Balancer, die mit dem Netzwerk verbunden sind, müssen überwacht und kontrolliert werden.

Nur wenn ich zu hundert Prozent weiß, welche Geräte in meinem Netzwerk sind, kann ich diese nach Malware und Viren scannen und werde auf neu angemeldete Geräte aufmerksam. Die Absicherung des DNS muss beim Netzwerk-Design beginnen. Eine Trennung der DNS-Infrastruktur von der allgemeinen Server-Architektur erhöht die Sicherheit und Verfügbarkeit erheblich.

Wie können vor allem mittelständische Unternehmen ein besseres Know-how in Sachen Netzwerksicherheit aufbauen?

Gerade im Mittelstand ist das Bewusstsein für die Netzwerksicherheit noch nicht so ausgeprägt wie in größeren Unternehmen. Die Ursache dafür liegt in kleineren IT-Abteilungen mit schmaleren IT-Budgets. Daher ist speziell für mittelständische Unternehmen die Zusammenarbeit mit einem erfahrenen Security-Partner für die Netzwerksicherheit unerlässlich.

Im Security-Umfeld gibt es zahlreiche Technologie-Partnerschaften, durch die Unternehmen verschiedene Systeme, beispielsweise Cloud-, Netzwerk- und Security-Lösungen unterschiedlicher Anbieter miteinander verknüpfen können - etwa das Technology Alliance Partner-Programm von Infoblox. Je mehr der Kunde seine Sicherheitsprodukte mit anderen Produkten vernetzen kann, desto höher wird die Automatisierung, geringer der manuelle Betriebsaufwand und umso schneller auch die Reaktionszeiten.

Wie können sich Unternehmen am besten schützen?

Der Schutz des Netzwerks sollte auf mehreren Ebenen erfolgen.

Schutz gegen DDoS-Attacken: Dafür ist ein besonderer Schutz der externen autoritativen Name-Server, beispielsweise durch Hardware-Appliances vonnöten. DoS-Angriffe werden von einem speziellen Chipset gefiltert und verworfen und nur die gutartigen Anfragen kommen bis zur CPU durch und können beantwortet werden. Hätte dies bei einem Angriff wie bei dem Mirai-Botnet ausgereicht? Nein, hier sollte man auf eine Kombination aus einem externen DNS-Provider und einer gehärteten Appliance setzen (Diversifikation).

Erkennen von Malware: Jede Art der Kommunikation verwendet heute Domain-Namen. Somit wird DNS zu einem Kontrollpunkt, der entscheiden muss, ob es sich um eine gutartige oder bösartige Anfrage handelt. Mit Hilfe von DNS Response Policy Zones (RPZ) und Threat Intelligence Feeds kann der Datenfluss über das DNS kontrolliert werden, da diese festlegen, welche Domain-Namen nicht aufgelöst werden sollen. Der ActiveTrust Feed umfasst eine Datenbank von aktuell über 4.5 Millionen bekannten bösartigen Domain-Namen. Dies ermöglicht es Unternehmen Malware frühzeitig zu identifizieren und in Quarantäne zu nehmen.

Erkennen und Verhindern von Data Exfiltration: Data Exfiltration von Knowhow ist der Super-Gau für Unternehmen. In der Regel sind alle Wege aus dem Unternehmensnetz heraus geschlossen durch Application-Firewalls. Alle Wege? Nein, in der Regel ist das DNS-Protokoll davon nicht betroffen oder es wird nur ein Syntax-Check vorgenommen. Dies nutzen die Malware-Entwickler und Hacker gnadenlos aus. Mit Tools wie iodyne kann relativ einfach aus fast jedem Netzwerk ein Tunnel über DNS ins Internet aufgebaut werden – oft auch bei Einsatz von Webproxys. Wichtig ist eine DNS-Analyse, die tief in die Pakete hineinschaut, insbesondere den Verkehr über die Zeit hinweg betrachtet und Anomalien feststellen kann.

Redundanz: DNS ist ein Basisdienst, auf dem viele andere Anwendungen aufsetzen. Wenn er ausfällt, funktionieren die darüber liegenden Anwendungen nicht. Somit sollte das DNS intern als auch extern sehr redundant ausgelegt sein.

Netzwerkautomation ist sicher hilfreich beim Schutz der internen Netze. Welche Voraussetzungen müssen Unternehmen für die Nutzung erfüllen?

Die Automatisierung des Netzwerks erspart lästige Alltagsarbeiten, verhindert Fehler durch manuelle Eingaben und kann erhebliche Kosteneinsparungen mit sich bringen. Grundlage für die Automatisierung des Netzwerkbetriebes ist die Nutzung offener Applikationsschnittstellen (Open REST APIs), die die Programmierbarkeit erhöhen. Vor allem in virtualisierten Rechenzentren kann die Netzwerk-Automatisierung die Bereitstellung von Anwendungen beschleunigen und die IT-Sicherheit steigern.

Heutzutage haben Kunden viele unterschiedliche Produkte für WAN, WLAN, LAN und Security im Einsatz. Jeder Hersteller verfügt über spezifische Tools, die ausschließlich zum Management der eigenen Produktlinie dienen. Ein Netzwerk-Automatisierungs-Tool hilft Unternehmen mittels Regel-Sets große heterogene Infrastrukturen zu managen, Konfigurations-Änderungen im Batch durchzuführen und auch Policies und deren Einhaltung zu gewährleisten.

Bildquelle: Thinkstock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok