alphaspirit - stock.adobe.com

Unternehmen ignorieren die Sicherheit von DNS-Protokollen

Die Überwachung von DNS-Protokollen steht selten auf der Agenda, wenn Unternehmen ihre Sicherheitsstrategien planen. Das wissen potenzielle Angreifer zu schätzen.

Bei der Migration von Geschäftsanwendungen in die Cloud müssen Unternehmen ihrem Webdatenverkehr noch mehr Aufmerksamkeit widmen. Die Bedeutung des webbasierten Traffics nimmt angesichts der positiven Auswirkungen auf die Mitarbeiterproduktivität und den digitalisierten Abläufen weiter zu und beeinflusst den Geschäftsbetrieb. Die Leistungsfähigkeit sollte dementsprechend nicht durch Sicherheitsvorfälle beeinträchtigt werden.

Ein wichtiges Protokoll für den Betrieb von Internet-Datenverkehr ist das Domain Name System (DNS). Trotz seiner Bedeutung als „Telefonbuch des Internets“, das für Anwender lesbare Host-Namen in IP-Adressen übersetzt, ist es nach wie vor eines der am wenigsten beachteten und kontrollierten Protokolle.

DNS sorgt dafür, dass eine „Namensauflösung“ korrekt konvertiert wird, unabhängig davon, wer die Aktion durchführt oder wie lange sie dauert – und macht dadurch Webseiten aufrufbar. Die meisten User und Unternehmen wissen jedoch nicht einmal, welches System für die Zuordnung von Namen zu IP-Adressen zuständig ist. Sie machen sich nicht die Mühe, einen dedizierten DNS-Dienst zu abonnieren und die wenigsten wissen überhaupt um diese Möglichkeit. Die negativen Folgen eines schlecht kontrollierten und unbeaufsichtigten DNS-Verkehrs machen sich allerdings auch beim Endanwender in Form von Leistungseinbußen und sogar Sicherheitsvorfällen bemerkbar.

Verbesserte Leistung

Viele internationale Unternehmen verlassen sich bei der Domain-Name-Auflösung auf einen zentralen DNS-Server, anstelle eines lokal vorgehaltenen. Dies ermöglicht die Auflösung interner Adressen, ohne die Verwaltung einer Vielzahl lokaler Server.

Leider bedeutet eine solche Konfiguration auch, dass Mitarbeiter an die Zentrale als nächstgelegenen Point of Presence umgeleitet werden, wenn sie Ressourcen von einem Content Delivery Network (CDN) abfragen und nicht dahin, wo die Ressourcen vorgehalten werden. Dieser Umweg kann zu Leistungseinbußen führen, insbesondere bei IP-Telefonie oder Videokonferenzen, worauf Microsoft beispielsweise in der offiziellen Skype-Dokumentation hinweist.

Um die erforderliche Leistungsfähigkeit zu erreichen, ist es notwendig, die Namensauflösung basierend auf dem tatsächlichen geografischen Standort des Benutzers schreiben zu können. Ein solcher Vorgang lässt sich einfacher in der Cloud abbilden, im Gegensatz zur aufwendigeren Verwaltung einer Vielzahl von lokalen DNS-Servern.

Höhere Sicherheit

Die wesentliche Rolle des DNS für die Sicherheit eines Unternehmens liegt auf der Hand: Durch das DNS werden die Mitarbeiter auf die von ihnen angeforderten Webseiten geleitet. Ein Angreifer, der die Kontrolle über die Auflösung der DNS-Abfragen übernimmt, wäre in der Lage, sehr effektive und umfangreiche Phishing-Angriffe auf externe und interne Ziele zu starten.

Um sich vor solchen potenziellen Angriffen zu schützen, ist es sinnvoll, auf Technologien wie DNS Security Extensions (DNSSEC) zu setzen. Diese signieren die DNS-Einträge zur Zertifizierung der Daten.

Ebenso wirkungsvoll ist der Einsatz von DNS über TLS, um den DNS-Verkehr zu verschlüsseln und um die Vertraulichkeit der Abfrage zu wahren. Diese Ansätze werden jedoch selten in Unternehmensnetzwerken umgesetzt, da sie mehr Komplexität in ein einfaches System bringen, das für sich selbst betrachtet reibungslos funktioniert. Das ist allerdings eine gefährliche Einstellung, die Unternehmen anfällig für Phishing und andere Angriffe machen kann.

Yogi Chandiramani, Zscaler

„Die Absicherung der DNS-Protokolle sollte nicht ignoriert werden, da ihnen eine entscheidende Bedeutung bei der Verbindung von Anwendern mit Internet-basierten Ressourcen zukommt.“

Yogi Chandiramani, Zscaler 

DNS kann außerdem auf andere Arten kompromittiert werden. So verwendet zunehmend mehr Schadcode das DNS-Protokoll, um Malware einzuschleusen und Daten (beispielsweise in TXT-Feldern) auszulesen. Dabei wird die Tatsache ausgenutzt, dass DNS-Datenverkehr selten inspiziert oder auf Malware gefiltert wird.

Laut einer Umfrage von EfficientIP nutzten 91 Prozent der Schadprogramme im Jahr 2018 eine DNS-Auflösung, um den Command and Control Server zu kontaktieren. Dennoch betrachten nur 38 Prozent der Unternehmen den Schutz ihres DNS-Protokolls als Priorität.

Erschwerend kommt hinzu, dass einige Antiviren-Programme selbst die DNS-Tunneltechnik ausnutzen, um ihre wichtigen Signatur-Updates durchzuführen, obwohl diese von einer Firewall blockiert werden. Das macht es noch schwieriger, zwischen legitimem und bösartigem Datenverkehr zu unterscheiden.

Unternehmen sollten dementsprechend mehr Wert auf die Sicherheit ihrer DNS-Server zu legen und auch deren Datenströme überprüfen, um unliebsame Überraschungen zu vermeiden. Leider ist diese Inspektion nicht trivial und es kann vorteilhaft sein, Techniken der künstlichen Intelligenz bei dieser großen Anzahl von Anfragen zur Erkennung von Anomalien, die ansonsten unter dem Radar durchfallen könnten. Auch hier ist die Cloud ein hilfreiches Werkzeug, um diese Art von Analyse schnell durchzuführen.

Fazit

Die Absicherung der DNS-Protokolle sollte nicht ignoriert werden, da ihnen eine entscheidende Bedeutung bei der Verbindung von Anwendern mit internetbasierten Ressourcen zukommt. Eine DNS-Kontrollinstanz zur sonstigen Sicherheitsinfrastruktur hinzuzufügen, ist empfehlenswert. Die Nutzung einer Cloud-basierten Lösung, die bereits als Proxy eingesetzt wird, sorgt nicht nur für eine einfache Umsetzung dieser Absicherung, sondern optimiert in der Folge auch die Benutzererfahrung.

Über den Autor:
Yogi Chandiramani ist Vice President Sales Engineering EMEA bei Zscaler.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.

Nächste Schritte

Gratis-eBook: DNS-Sicherheit im Griff behalten

DNS-Sicherheit: Berechtigungen und Verschlüsselung

Angreifer gelangen per DNS-Anfragen ins Netzwerk

Erfahren Sie mehr über Bedrohungen