Was-ist-DNS

Was ist Secure DNS und warum benötige ich es?

IT-Sicherheit

Was ist Secure DNS und warum benötige ich es?

Eine sichere DNS-Infrastruktur ist ein wesentlicher Bestandteil eines jeden Cybersicherheitsprogramms. Leider finden DNS-Exploits in den Medien oft weit weniger Beachtung als andere Angriffe, so dass viele Unternehmen die von ihnen ausgehende Bedrohung nicht richtig einschätzen.

Untersuchungen von Cisco zeigen, dass mehr als 91 % der Malware-Angriffe auf die eine oder andere Weise DNS-Exploits nutzen. Trotzdem überwachen viele Unternehmen den DNS-Verkehr nicht, so dass sie anfällig für Malware, Ransomware und Angriffe zur Datenexfiltration sind.

Um zu erklären, warum DNS-Exploits ein so großes Sicherheitsrisiko darstellen und was Ihr Unternehmen tun kann, um sie zu verhindern, müssen wir ganz am Anfang beginnen.

Was ist ein DNS?

DNS steht für Domain Name Services. Diese gibt es aus zwei Gründen:

Erstens können sich Menschen IP-Adressen nur schwer merken, aber an Namen von Domains kann sich beispielsweise doch recht häufig erinnert werden. Zum Beispiel ist www.link11.com oder Server1 viel leichter zu merken als eine IP-Adresse wie 192.168.1.1

Zweitens sind für Menschen lesbare Domain- und Anlagennamen für Computer bedeutungslos. Computer benötigen eine exakte IP-Adresse, bevor sie den gewünschten Inhalt eines Benutzers abrufen oder eine Verbindung herstellen können.

DNS löst dieses Problem, indem es Domain- und Anlagennamen auf IP-Adressen abbildet. So kann ein Benutzer oder Administrator mit einem Namen suchen, der leicht zu merken ist, und trotzdem die gewünschten Ergebnisse erhalten. Um zu verstehen, wie dies funktioniert, müssen wir uns zwei verschiedene Arten von DNS-Anfragen ansehen: Interne und externe.

Eine interne DNS-Anfrage ist eine Anfrage, um eine Verbindung zu einem Objekt innerhalb desselben Netzwerks wie der Benutzer herzustellen. Der Vorgang ist einfach:

  1. Ein Benutzer (in der Regel ein Administrator) sendet eine Verbindungsanfrage innerhalb seines Netzwerks an ein benanntes Objekt, z. B. Server1.
  2. Der lokale DNS-Server sucht in seiner Host-Tabelle nach dem Namen der Anlage und findet die entsprechende IP-Adresse.
  3. Der DNS-Server gibt die IP-Adresse an den Benutzer zurück, und die Verbindung wird hergestellt.

Eine externe DNS-Anfrage ist eine Anfrage, um eine Verbindung über das Internet herzustellen. Dieser Vorgang ist etwas komplizierter:

  1. Ein Benutzer gibt einen Domänennamen in die Adressleiste seines Browsers ein, zum Beispiel www.link11.com.
  2. Der lokale DNS-Server sucht die Adresse in seinen Host-Tabellen und versucht, die IP-Adresse zu finden.
  3. Wenn der DNS-Server die entsprechende IP-Adresse findet, leitet er die Anfrage des Benutzers an die gewünschte Website oder den gewünschten Dienst weiter, und die Verbindung wird hergestellt.
  4. Findet der interne DNS-Server die IP-Adresse nicht (z. B. weil diese Adresse nicht in seinen Host-Tabellen enthalten ist), stellt er eine Verbindung zu einem vorher festgelegten externen DNS-Server her, um die Adresse zu finden. Normalerweise ist die erste Anlaufstelle der DNS-Server des Internetanbieters des Unternehmens.
  5. Wenn dieser Server die Adresse immer noch nicht hat, versucht der interne DNS-Server einen anderen (und noch einen), bis er die IP-Adresse erhält.
  6. Wenn das alles erledigt ist, gibt der interne DNS-Server die IP-Adresse an den Benutzer zurück, und die Verbindung ist hergestellt.

Auch wenn dieser Vorgang noch einfach erscheint, steckt doch ein bisschen mehr dahinter. All die bisherigen Informationen sind wichtig, wenn gleich die potenziellen DNS-Sicherheitsprobleme näher erläutert werden (und wie man sie verhindern kann).

Rekursives vs. Iteratives DNS

Wie Sie wahrscheinlich schon gemerkt haben, verfügt der DNS-Server Ihres Unternehmens nur über Einträge für Ihr Netzwerk und einige gängige Websites, die über DNS-Caching gespeichert wurden, wenn ein anderer Benutzer eine Verbindung zu ihnen hergestellt hat.

Oft verfügt der erste externe DNS-Server, der kontaktiert wird, nicht über die Einträge, die erforderlich sind, um dem anfragenden Benutzer (oder, genauer gesagt, seinem Gerät) die IP-Adresse zu geben, die er benötigt, um den gewünschten Inhalt zu erreichen. Um dieses Problem zu lösen, kommunizieren interne DNS-Server oft mit mehreren externen DNS-Servern, um die IP-Adresse zu erhalten.

Dies kann auf zwei Arten geschehen:

  1. Iteratives DNS – der interne DNS-Server kommuniziert direkt mit jedem externen DNS-Server, bis er die IP-Adresse erhält.
  2. Rekursives DNS – der interne DNS-Server kommuniziert mit einem externen „rekursiven“ DNS-Server, der dann mit mehreren anderen DNS-Servern gleichzeitig kommuniziert, um die IP-Adresse zu erhalten.

Beachten Sie, dass das Gerät des Nutzers immer mit seinem internen DNS-Server kommuniziert, der dann mit externen DNS-Servern in einer iterativen oder rekursiven Weise kommuniziert.

Die Rolle von DHCP

DNS ist nur einer der Dienste, die in einem Standard-TCP-IP-Netz benötigt werden. Er dient lediglich der Zuordnung von Domänen- und Anlagennamen zu IP-Adressen. Zusätzlich zu einem DNS-Server benötigen Unternehmen auch einen DHCP-Server (Dynamic Host Control Protocol), um neuen Assets, die dem Netzwerk beitreten, dynamisch IP-Adressen zuzuweisen.

Wenn DNS und DHCP kombiniert werden, erhalten Sie ein dynamisches DNS, eine wesentliche Komponente jedes modernen Unternehmensnetzwerks. Mit Dynamic DNS schreibt der DHCP-Server bei jeder Zuweisung einer IP-Adresse an eine neue Anlage (z. B. einen Server oder Endpunkt) die IP-Adresse in die Host-Tabelle des DNS-Servers, damit sie der entsprechenden Anlage zugeordnet werden kann.

Ohne diesen Prozess würde neuen Assets bei der Verbindung automatisch eine IP-Adresse zugewiesen, aber der DNS-Server wüsste nicht, dass sie überhaupt vorhanden sind. Ein Administrator, der versucht, über den Namen der Anlage (z. B. Server1) eine Verbindung herzustellen, kann dies nicht tun, weil der DNS-Server nicht weiß, wohin er die Anfrage weiterleiten soll.

Und genau an diesem Punkt stoßen wir auf Sicherheitsprobleme im DNS-Protokoll.

DNS-Sicherheitsprobleme

DNS mag vom Konzept her einfach sein, aber es gibt vier große Sicherheitsprobleme:

  1. Unfähigkeit, zwischen guten und schlechten Anfragen zu unterscheiden

Interne DNS-Server geben Informationen an jedes Gerät zurück, das sie anfordert. Erinnern Sie sich daran, wie dynamisches DNS sicherstellt, dass die Host-Tabellen Ihrer DNS-Server IP-Informationen für jedes an Ihr Netzwerk angeschlossene Gerät enthalten? Das macht sie zu einer guten Informationsquelle für Angreifer, wenn sie interne Aufklärungsarbeit leisten.

  1. DNS-Vergiftung

Wenn ein Angreifer auf den internen DNS-Server Ihres Netzwerks zugreifen kann, kann er die Host-Tabellen mit bösartigen Einträgen „vergiften“. Wenn nun ein Benutzer versucht, eine Verbindung zu einer Website oder einem Objekt herzustellen, kann seine Verbindung an eine ganz andere Stelle geleitet werden, z. B. zu einem bösartigen Online-Download oder einer ungeeigneten Website.

  1. DNS-Tunneling

DNS-Tunneling ist eine gängige Technik, um sensible Informationen aus einem kompromittierten Netzwerk zu stehlen. Der Vorgang sieht folgendermaßen aus:

  • Ein Angreifer verschafft sich Zugang zu Ihrem Netzwerk, kompromittiert einen Host und findet die Daten, die er stehlen möchte.
  • Der Angreifer richtet eine DNS-Domäne im Internet ein und weist Ihren internen DNS-Server an, sich mit dieser zu verbinden, wenn er eine IP-Adresse nachschlagen muss.
  • Auf dem kompromittierten Host verwendet der Angreifer ein Programm, um die zu stehlenden Daten in kleine Stücke zu zerlegen und sie in einer Reihe von Suchanfragen an den DNS-Server zu „verstecken“.
  • Der interne DNS-Server empfängt diese Anfragen, stellt fest, dass er die erforderlichen IP-Adressen nicht in seinem Cache hat, und leitet die Anfragen an den bösartigen Server weiter.
  • Der Angreifer führt dann ein weiteres Programm aus, um die gestohlenen Informationen aus den Suchanfragen zu extrahieren, sobald sie den bösartigen DNS-Server erreichen, und sie wieder in ihrer ursprünglichen Form zusammenzusetzen.

Das mag nach viel Aufwand klingen, aber in Wirklichkeit können Angreifer den Prozess mit handelsüblicher Malware und einem billigen Webhost, der nicht allzu viele Fragen stellt, schnell abschließen. Noch schlimmer ist, dass mit dieser Technik große Mengen sensibler Daten gestohlen werden können (und auch werden), ohne dass das betroffene Unternehmen davon erfährt.

  1. DNS-Verstärkungsangriffe.

Wie wir bereits festgestellt haben, überprüfen DNS-Server eingehende Anfragen nicht. Dies macht sie anfällig für eine häufige Form von DDoS-Angriffen, die als DNS-Amplifikationsangriff bekannt sind. Der Angreifer nutzt ein Botnet, um eine große Anzahl von DNS-Anfragen zu senden, und verwendet eine „gefälschte“ IP-Adresse, so dass die Antworten des Servers an das Zielopfer gehen. Das Ziel ist dasselbe wie bei jedem anderen DDoS-Angriff: den Zielserver so zu überlasten, dass er nicht mehr richtig funktionieren kann.

Um das Ausmaß des Angriffs zu erhöhen, verwenden die Angreifer eine Technik namens Amplification, bei der Anfragen eine lange Antwort erfordern. Das Opfer erhält dann eine Flut langer DNS-Antworten, die seinen Server noch effektiver stören oder außer Betrieb setzen.

Verhindern Sie Cyber-Bedrohungen mit DNS-Sicherheit

Die Secure DNS-Lösung von Link11 löst DNS-Anfragen über ein globales Netzwerk von Servern auf, um die Geschwindigkeit, Verfügbarkeit und Zuverlässigkeit für Ihr Unternehmen und seine Kunden zu maximieren – ohne zusätzlich benötigte Hardware oder Software. Ihr interner DNS-Server kommuniziert direkt mit unserem rekursiven DNS-Server, der die schwierige Aufgabe übernimmt, die richtige IP-Adresse für jede angeforderte Domain zu finden.

Entscheidend ist, dass unsere Lösung über Bedrohungsdaten, Hijacking-Schutz und andere Sicherheitsfunktionen verfügt, die erforderlich sind, um alle oben beschriebenen DNS-Bedrohungen zu erkennen und zu verhindern. Zusammengenommen machen diese Funktionen Secure DNS schneller, zuverlässiger und viel sicherer als normale DNS-Server.

Dieser Prozess ermöglicht eine Vielzahl von Sicherheitsvorteilen:

  • Blockieren von gefährlichen Verbindungen zwischen Benutzern und bösartigen Inhalten.
  • Stoppen von C2-Verbindungen und Datenexfiltration.
  • Blockieren von Malware- und Ransomware-Downloads.
  • Verhinderung von bösartigem Kryptomining.
  • Entschärfung von Sicherheitsvorfällen und Warnungen, bevor sie eintreten.
  • Verhinderung von DNS-basierten DDoS-Angriffen, bevor sie Ihre Server erreichen.

Erfahren Sie mehr über die Secure DNS-Lösung von Link11.