Das DNS (Domain Name System) ist überall ‒ und doch meist nur ungenügend gesichert. Als Vermittler zwischen IP-Adresse und Domainname ‒ quasi das «Telefonbuch des Internets» ‒ darf diese nämlich durch fast jede Firewall. Aber aufgepasst! Das DNS ist auch eine Säule Ihrer IT Security und dadurch ein beliebtes Angriffsziel für Cyberkriminelle. Sie wollen wissen, vor welchen Angriffen Sie sich schützen müssen? Und mit welchen Sicherheitsvorkehrungen Sie auf der «sicheren» Seite sind? Dann sind Sie immerhin schon mal hier auf der richtigen – und sicheren Seite.
DNS-Traffic ist immer präsent und in Massen vorhanden. Kein Wunder, dass die meisten Unternehmen diesen weniger streng kontrollieren und schon gar nicht aufzeichnen. DNS-Systeme sind zwar relativ robust, aber (noch) nicht ausgelegt für maximale Cyber Security. Da ist es nicht weiter verwunderlich, dass es eine Vielzahl von komplexen Angriffen gibt, die sich die Kommunikation zwischen Server und Client zunutze machen. Die Motive von Hackern reichen von Spam-Versand über Industriespionage bis hin zu politischen Motiven oder gar Cyberkrieg.
DNS-basierte Cyberattacken ‒ davor müssen Sie sich schützen
Cyber Security ist enorm dynamisch und Hacker passen sich ebenso schnell an. Für ein Unternehmen wie Ihres wird es zu einer immer grösseren Herausforderung, sich effektiv vor Angriffen zu schützen. Dazu kommt, wie bereits erwähnt, dass DNS Security leider immer noch ‒ unverständlicherweise ‒ stark vernachlässigt wird. Und genau diesen Umstand nutzen Hacker schamlos aus. So gibt es inzwischen unzählige Angriffsformen ‒ und es kommen immer neue, noch ausgeklügeltere dazu. Ganz nach dem Motto: Geht nicht, gibt’s nicht. Wir möchten Ihnen nachfolgend die sieben beliebtesten und (leider) effizientesten Angriffsformen vorstellen:
1. Cache Poisoning
Cache oder auch DNS Poisoning (oder Spoofing) ist eine der bekanntesten Angriffsformen. Dabei wird der Cache des DNS Resolvers so manipuliert, dass dieser alle Anfragen an eine falsche IP-Adresse und somit zu einer gefälschten Domain leitet. So kann beispielsweise der Traffic eines gesamten Firmennetzwerks von «ebanking.com» auf eine manipulierte Webseite weitergeleitet werden.
2. Zero-Day-Exploits
Ein Zero-Day-Exploit ist eine Angriffsform, bei der Hacker noch unbekannte Schwachstellen ausnutzen, für die noch kein Patch vorhanden ist. Wie Sie sich gezielt vor solchen Angriffen erfolgreich schützen können, erfahren Sie in diesem Blogbeitrag zum Thema Exploits.
3. DoS-/DDoS-Attacken
Bei einem DoS-Angriff (Denial of Service) wird unentwegt Traffic an eine bestimmte IP-Adresse gesendet, beispielsweise millionenfache Anfragen, die Überflutung mit Datenpaketen oder eine Bombardierung des Mail-Servers. Der Server kann diese Flut an Anfragen nicht mehr bewältigen und wird so in die Knie gezwungen. Eine DDoS-Attacke (Distributed Denial of Service) unterscheidet sich lediglich darin, dass nicht nur ein, sondern mehrere Hacker angreifen. Ziel dieser Attacken ist es, den Dienst einzuschränken, zu blockieren und schlussendlich unbenutzbar zu machen.
4. DNS Amplification
DNS Amplification ist eine DDoS-Attacke, bei der zusätzlich ein Open DNS Resolver eingesetzt wird. Ein DNS Server sollte eigentlich nur Anfragen zu seinen eigenen Domains beantworten. Sobald er jedoch rekursive Anfragen ‒ also Anfragen, die zu fremden Domains führen ‒ zulässt, kann dies in Kombination mit IP Spoofing (das Fälschen der Absender-IP-Adresse) dazu benutzt werden, DDoS-Attacken auszuführen.
5. Fast-Flux DNS
In diesem Fall tauscht der Angreifer (meist in Form von Viren) DNS-Einträge mit hoher Geschwindigkeit aus, um DNS-Anfragen umzuleiten und dabei nicht entdeckt zu werden.
6. Domain Phishing
Bei diesem Angriff wird eine Domain «gestohlen» und umgeleitet. Sie ist dadurch nicht von der originalen Domainadresse zu unterscheiden. Mit den gestohlenen, sensitiven Informationen, beispielweise Passwörter oder PINs, kann der eigentliche Angriff gestartet werden.
7. Data Exfiltration via DNS
Da der Internetverkehr eines Unternehmens in der Regel über einen Proxy Server oder eine Firewall läuft, ist es für einen Angreifer unter Umständen sehr schwierig, grosse Datenmengen unbemerkt aus dem Unternehmensnetzwerk abzuziehen. Bei der Data Exfiltration «versteckt» der Angreifer die Daten, welche er entwenden will, in DNS-Anfragen, welche nicht durch einen Proxy gefiltert werden. Dadurch hat er einen ungefilterten, sprich nicht-überwachten Kanal aus dem Unternehmensnetzwerk hinaus geschaffen.
So schützen Sie Ihr DNS
Die aufgezählten Angriffsmöglichkeiten sind natürlich nicht abschliessend und noch viel umfangreicher. Viele sind auch noch gar nicht bekannt. Daher ist es essentiell, DNS Security als wichtiger Bestandteil in Ihre Cyber Security-Strategie aufzunehmen. Gefordert sind Ebenen-übergreifende, sorgfältig ausgewählte Sicherheitslösungen. Eine Übersicht gefällig?
- DNS Firewalls sind immer noch unverzichtbar, denn damit lassen sich in Echtzeit Anomalien entdecken, die schnell mittels Cyber Defence abgewehrt werden können. Mit Hilfe der Firewall ist das DNS zudem vor bösartigen Domains geschützt.
- Domain Name Security Extensions (DNSSEC) helfen, die Authentizität und Integrität der Daten zu gewährleisten. Dazu signieren sie digital die DNS-Einträge um sicherzustellen, dass verdächtige Quellen keinen dieser Einträge infizieren können.
- DoS-/DDoS-Schutzsysteme helfen auf Attacken aufmerksam zu machen und den Schaden minim zu halten.
- Monitoring und Logging von DNS-Anfragen decken versteckte Kanäle auf, welche ein Angreifer via DNS aus dem Unternehmen heraus etabliert hat. Damit können «seltsame» DNS-Anfragen genauer untersucht werden.
Wie gefährlich sind DNS-Attacken wirklich?
Cyberkriminelle haben das Potenzial von ungenügend gesicherten DNS-Systemen längst erkannt und sind in der Lage, durch verschiedenste Angriffsformen die Schutzmechanismen zu umgehen. Gerade in diesem Jahr haben DNS-basierte Angriffe stark zugenommen ‒ Trend weiterhin steigend. Wie steht es um die Sicherheit in Ihrem Unternehmen? Unsere Experten erachten es als unerlässlich, dass jedes Unternehmen DNS Security in ihre Cyber Security-Strategie integriert und geeignete Sicherheitslösungen einsetzt.
Maximaler DNS-Schutz dank Infoblox
Sie fragen sich, was wir Ihnen sowie unseren Kunden empfehlen? Ganz einfach: Die neuartigen Lösungen von Infoblox, einem führenden Hersteller von DNS-, DHCP-, IP-Adress- und TFTP-Management, die maximalen DNS-Schutz garantieren. Denn diese gewährleisten zuverlässige, skalierbare, einfach verwaltbare und sichere Dienste, die Ihnen helfen, Nutzer, Endgeräte und Netzwerke optimal miteinander zu verbinden. Durch die Kombination von lokalen, anwendungsbasierten Diensten mit einer erweiterten, dezentralisierten Datenbank wird eine konstant funktionierende Verwaltung gewährleistet ‒ und das erst noch mit optimaler Verfügbarkeit, Steuerung und Transparenz.
