Eingangspforte DNS
DNS-Name-Server verarbeiten Unmengen von Anfragen: Wird eine URL in einen Browser getippt, landet die Anfrage bei einem solchen Name-Server, der dann – ähnlich einem Telefonbuch – den richtigen „Anschluss“ ausfindig macht. Genau das ist für Hacker so attraktiv. Denn letztlich ist jede mit dem Web verbundene IP-Adresse erreichbar. Via DNS können ohne großen Aufwand Caches infiziert, Anfragen mit Fake-Seiten verbunden werden oder dauerhafte Tunnel zum häppchenweisen Datentransport unbemerkt gebaut werden, wie Frank Ruge auf security-insider.de dazu ausführte.
Risiko geheime Tunnel
Bei DNS Tunneling werden die Anfragen und Antwortprotokolle genutzt, um Malware einzuschleusen und Daten abzugreifen. Dies funktioniert, weil das DNS als solches nicht blockiert werden kann. Schon in den 1990er-Jahren nutzten findige Hacker das DNS, um Netzwerkbeschränkungen zu umgehen. Hotels oder Flughäfen leiten den Browser oftmals zu einer „Begrüßungsseite“ und fordern Geld für die Internet-Nutzung. Um dies zu umgehen, bauten gewiefte IT-Anwender einfach einen DNS-Tunnel zum heimischen Name-Server auf und surften darüber durch das weltweite Web. Die Performance litt zwar durch diesen Umweg deutlich, aber wenigstens war der Zugriff auf das Internet kostenlos. Das Einrichten dieses eleganten Umwegs erwies sich schnell als Kinderspiel, denn hilfreiche Software-Toolkits, wie Iodine, standen bald im Netz zum Download bereit. Natürlich kamen schnell auch Kriminelle mit weniger harmlosen Absichten auf die Idee, diese Methode zu nutzen, um in Unternehmens- oder Regierungsnetzwerke einzudringen.
Zwar schützen normalerweise Firewalls sowie Antivirenprogramme die Unternehmensnetze, allerdings bleibt das DNS bei der Prüfung oft weitgehend außen vor. Hacker reiben sich daher die Hände und transportieren Malware auf dem Rücken des DNS, das unbehelligt die Security-Tools passiert, in sensible Bereiche des Netzwerks. Solche Fälle häufen sich drastisch, laut einer aktuellen Studie wurde inzwischen jedes vierte Unternehmen schon mal selbst Opfer eines DNS-basierten Angriffs.
Mit einem Master-Controller werden Geräte für DDoS-Attacken gesteuert
Schadsoftware, die das DNS ausnutzt, ist in der Regel so gebaut, dass sie auf Devices und Servern lange inkognito bleibt. Werden Daten abgegriffen oder gefährliche Dateien eingeschleust, sind die Pakete in so kleine Schnipsel zerlegt, dass sie im Datenfluss kaum auffallen. Sind die letzten Einzelteile angekommen, setzen sich zum Beispiel Schadprogramme an ihrem Ziel selbst wieder zusammen und beginnen, im Netzwerk zu agieren. Handelt es sich um Backdoor-Malware, wird sie von einem Master Controller gesteuert, der Zugriff auf mehrere betroffene Geräte hat und in aller Stille die Kontrolle übernimmt – um etwa Spam-Mails von unterschiedlichen Adressen aus zu senden oder ein Netzwerk zum Start eines DDoS-Angriffs aufzubauen.
Dies sind genug Gründe, um das Domain Name System genauer in den Blick zu nehmen. Die gute Nachricht ist: Ein unkontrolliertes DNS birgt große Risiken, ein kontrolliertes DNS hingegen ist genau der richtige Schritt für umfassende IT-Sicherheit. Denn da jede Form der Online-Kommunikation mit Domain-Namen arbeitet, ist das DNS ein besonders exponierter Punkt, an dem schädliche Dateien und ungewollter Datenverkehr zu identifizieren sind. Threat Intelligence Feeds und DNS Response Policy Zones (RPZ) helfen dabei, den Informationsaustausch via Domain Name System zu prüfen – und bösartige Anfragen gar nicht erst aufzulösen. Der Datenpool des Infoblox ActiveTrust Feed beispielsweise kennt derzeit über 4,5 Millionen schädliche Domain-Names, deren Anfragen umgehend isoliert und nicht bis zum angefragten Server durchgelassen werden.
DNS-Security On-Premise oder in der Cloud
Um sein Netzwerk vor DNS-basierten Übergriffen zu schützen, ist nicht unbedingt eine teure On-Premise-Installation entsprechender Software nötig. Infoblox zum Beispiel bietet DNS-Security auch als Cloud-Angebot – flexibel skalierbar und auf die individuellen Anforderungen zugeschnitten. Besonders interessant dürfte die DNS-Security als Cloud-Service für kleine oder mittelständische Unternehmen mit vielen Außenstellen oder Außendienstlern sein, wo Mobilität eine große Rolle spielt.
Security-Verantwortliche sollten unbedingt ihre Sicherheitsstrategie überdenken, und nicht nur ihre Haustür mit allen verfügbaren Mitteln schützen, verstärken und bewachen, sondern auch die Hintertür, das DNS – welche bisher oft nicht einmal verriegelt war, so Ruge.
