Sicherheitslösung und Angriffsziel zugleich
DNS-Security im Fokus
Die Angriffsmethoden der Cyberkriminellen werden raffinierter und beziehen sich immer häufiger auch auf den Missbrauch des DNS-Protokolls (Domain Name System). Denn obwohl es unzählige IT-Sicherheitslösungen gibt, vernachlässigen viele dieser Technologien die „erste Verteidigungslinie“ – eben das DNS.
Die meisten Technologien zur Erkennung von Eindringlingen untersuchen die offensichtlichen Muster der Datenexfiltration über HTTP- oder FTP-Verbindungen. Dies hat Kriminelle auf den neuen Weg über das DNS gebracht, um Daten aus einem Netzwerk zu exfiltrieren. Allerdings ist dies nur ein einzelnes Beispiel aus einer Vielzahl möglicher DNS-Angriffe. Daher ist die DNS-Sicherheit mittlerweile eine Schlüsselkomponente jedes modernen Cybersicherheitsarsenals, um Malware-Aktivitäten zu vereiteln, Daten zu schützen und den kontinuierlichen IT-Betrieb zu gewährleisten.
Das Domain Name System ist ein öffentliches, hierarchisches und dezentralisiertes Namensystem für alle Ressourcen, die mit einem Netzwerk verbunden sind. Es löst IP-Adressen in Domain-Namen auf und umgekehrt. DNS gilt daher auch als Telefonbuch für das Internet und Unternehmensnetze, da man zu den Netzwerkadressen eines Computers einen passenden, verständlichen Namen findet. Die verteilte und gleichzeitig hierarchische Architektur erfordert, dass jeder interne DNS-Resolver eines Unternehmens Zugang zu jedem öffentlichen autoritativen Server hat – und damit im Grunde zum gesamten Internet. Auf der Firewall-Ebene wird dieser Tatsache mit leichten Zugängen für den DNS-Datenverkehr am TCP/UDP-Port Rechnung getragen.
Obwohl Resolver als Proxies für Name-Server agieren, weisen sie nur selten Filtermöglichkeiten auf, sodass sie für jeden Insider eine offene Tür zum Internet darstellen. Dies ist ein Problem, da Kriminelle das DNS längst als Schwachpunkt für Angriffe ausgemacht haben: Sie nutzen es, um in fremde Netzwerke einzudringen, Informationen zu stehlen, Daten zu verschlüsseln oder diese zu löschen. Ein wichtiger Schritt ist daher der Schutz des DNS. Doch besser als das DNS bloß gegen Angriffe zu sichern ist es, das System auch aktiv zur Verteidigung einzusetzen. Dafür ist es wichtig, die aktuelle Bedrohungslage zu kennen.
Die modernen Bedrohungen sind dynamisch und entwickeln sich konstant weiter. Laut des letzten BSI-Reports zur Sicherheitslandschaft in Deutschland sind im letzten Jahr rund 144 Millionen neue Schadprogramm-Varianten entstanden, was sich auf durchschnittlich 394.000 neue Varianten pro Tag beläuft. Interessant ist dabei, dass die meisten davon DNS verwenden, was Unternehmen dazu zwingt, sich mit der neuen Bedrohungslandschaft auseinanderzusetzen. Denn allein vergangenes Jahr waren 83 Prozent der deutschen Unternehmen von DNS-Angriffen betroffen, wobei die durchschnittlichen Kosten pro Angriff bei 831.000 Euro lagen.
DNS-Angriffsarten
Was die Implementierung der richtigen Maßnahmen erschwert, sind die verschiedenen Formen, die ein DNS-Angriff annehmen kann. Man unterscheidet zwischen drei Kategorien: volumetrische DoS-Angriffe, Stealth-Attacken (verdeckte Angriffe) und Exploits. Volumetrische DoS-Angriffe überfluten den DNS-Server mit einer hohen Anzahl von Anfragen aus verschiedenen Quellen. Letztlich führt dies zur Überlastung des Servers und der Unterbrechung von Diensten. Es gibt dabei verschiedene Möglichkeiten, dieses Ziel zu erreichen. Bei Stealth-Attacken wiederum führen Angreifer eine geringe Menge spezieller DNS-Anfragen aus, die zur Auslastung der Kapazitäten bei der Bearbeitung ausgehender Anfragen führt und so den Dienst beeinträchtigt oder lahmlegt. Exploits wiederum attackieren Sicherheitslücken in DNS-Diensten, Protokollen und Betriebssystemen, auf denen DNS-Dienste laufen. Die Angriffsarten reichen von Zero-Day-Schwachstellen bis hin zum DNS Cache Poisoning, bei dem Daten in den Cache des DNS-Resolvers eingeschleust werden, sodass der Name-Server eine falsche IP-Adresse zurückgibt und der Datenverkehr auf den Computer des Angreifers umgeleitet wird.
Neben den erwähnten neuen Möglichkeiten für Angreifer gibt es mehrere Gründe, warum DNS plötzlich im Fokus der Angreifer steht. So spielt DNS eine entscheidende Rolle für das alltägliche Geschäft in Unternehmen. Alle kritischen Anwendungen und Dienste müssen über diesen Dienst laufen. Zudem bildet DNS die Verbindung zwischen Benutzern und internen sowie externen Anwendungen, was essenziell für den Anwendungsverkehr ist. Ein Zusammenbruch des DNS würde ein Versagen grundlegender IT-Dienste wie E-Mail, Internetzugang oder IP-Telefonie nach sich ziehen.
Zugleich ist DNS leicht zu knacken, da es von Anfang an als offener Dienst konzipiert wurde: DNS-Server müssen, da sie eine grundlegende Rolle in der IT-Infrastruktur spielen, für alle zugänglich sein. Angreifer nutzen diese Offenheit, um DNS-Dienste bereitzustellen und sich die doppelte Rolle von DNS im Angriffsablauf zunutze zu machen – entweder als Angriffsvektor oder als direktes Ziel. Zudem bietet DNS ungewollt eine große Vielfalt an Angriffsoptionen: DoS, Phishing, Zero-Day, Datenexfiltration, Datenbeschädigung und vieles mehr.
Erschwerend kommt hinzu, dass Lösungen wie Firewalls, Web-Proxies, IPS etc. das DNS nicht ausreichend schützen. Der Grund dafür ist, dass die bestehenden Lösungen nicht speziell dafür entwickelt sind und das DNS-Protokoll nicht bis ins Detail verstehen. Sie bieten keine DNS-Analyse für die Erkennung verhaltensbedingter Bedrohungen in Echtzeit und sind meist nicht leistungsfähig genug, um volumetrische Angriffe zu bewältigen. Zudem bieten die simplen Abwehrtechniken viel Raum für Fehlalarme und erkennen schleichende Angriffe nicht.
- DNS-Security im Fokus
- Bedrohungsinformationen nutzen
Lesen Sie mehr zum Thema
