Domain Name System im Fokus

Sicheres DNS in virtualisierten Umgebungen

| Autor / Redakteur: Rainer Singer / Andreas Donner

Das DNS ist ein empfindlicher Knotenpunkt im Netzwerk und sein Ausfall ist ein Albtraum. Besonders heikel ist die DNS-Absicherung in virtualisierten Umgebungen.
Das DNS ist ein empfindlicher Knotenpunkt im Netzwerk und sein Ausfall ist ein Albtraum. Besonders heikel ist die DNS-Absicherung in virtualisierten Umgebungen. ( © CrazyCloud - Fotolia)

Die Virtualisierung der Unternehmens-In­fra­struk­tur ist nicht aufzuhalten und geht mit Software-Defined-Lösungen in die nächste Run­de. Die Zentralisierung aller Funktionen auf einem Server – etwa durch Virtualisierung von Netzwerkfunktionen wie Routing, DNS oder Firewall – bietet viele Vorteile. Doch die breite Virtualisierung birgt auch neue Heraus­for­de­run­gen und Risiken.

Gerade der Umzug des Domain Name System in eine virtualisierte Umgebung wirft Fragen auf, die sich Unternehmen eigentlich von Anfang an stellen sollten. Das DNS ist ein empfindlicher Knotenpunkt im Netzwerk, sein Ausfall ein Albtraum für die IT. Herkömmliche Firewalls und Intrusion-Detection-Systeme sind nicht dafür ausgelegt, DNS abzusichern, schon gar nicht in einer virtualisierten Umgebung.

Die Flexibilität von Software erlaubt zwar einen hohen Grad an Freiheit, doch zugleich schafft sie mehr Möglichkeiten zur Fehlkonfiguration der Netzwerkfunktionen. Diese öffnen neue Tore für Angreifer, auch wenn andere Eigenschaften von virtualisierten Netzwerkfunktionen an sich für mehr Sicherheit sorgen – etwa die zentralisierte Übersicht und die Sicherheit der virtuellen Maschinen an sich. Selbst wenn es keinen Angriff im eigentlichen Sinne gibt, so können Konfigurationsfehler eine Kaskade an Ereignissen auslösen, die das Netzwerk als solches in seiner Funktion empfindlich einschränken können. So entstehen Phantom-Angriffe mit dem Anschein eines Sicherheitsproblems.

Angriffe auf das DNS

DNS-basierte Distributed-Denial-of-Service-Attacken können Netzwerkressourcen im Nu verschlingen, indem sie mehr Anfragen generieren als das DNS bedienen kann. Somit legen sie das Netzwerk lahm, da keine legitimen Anfragen mehr beantwortet werden können. Andere Angriffsarten vertauschen die gespeicherten validen IP-Adressen mit solchen, die den anfragenden Nutzer auf bösartige Websites weiterleiten oder nutzen Tunneling, um einzelne virtuelle Maschinen anzugreifen, Informationen zu verschlüsseln und durch andere Kanäle abzugreifen, die von traditionellen Sicherheitslösungen nicht analysiert werden.

Virtuelle Maschinen ermöglichen ein Netzwerk mit zentraler Ressourcen-Kontrolle und schnellem Deployment. Doch genau wie physische Hardware sind auch VMs anfällig für Malware. Wenn eine Maschine einmal infiziert wurde und nicht umgehend in der Quarantäne landet, kann sich die Infektion rasend schnell auf andere Maschinen im Netzwerk übertragen und dessen Funktionalität von innen stören. Doch für die Überwachung einer virtualisierten Umgebung reichen traditionelle Sicherheitstools nicht aus.

Was tun, wenn es zu einer Attacke kommt?

Hier zählen zwei Dinge: Geschwindigkeit und Skalierung. Das virtualisierte Netzwerk muss in der Lage sein, selbstständig VMs aufzusetzen. So können die Auswirkungen eines Angriffs minimiert und Gegenmaßnahmen zackig eingeleitet werden. Ist das Netzwerk etwa in der Lage, während die Angriffsabwehr läuft gleichzeitig und automatisch Kapazitäten zu erhöhen, lässt sich eine Unterbrechung vermeiden. Dies wiederum minimiert Umsatzverluste und hält die Produktivität stabil.

Im besten Falle sollten virtualisierte Netzwerkfunktionen direkt in das zugrundeliegende System greifen (Hook), etwa per Integration mit OpenStack. Ein solches DNS-System kann im Falle eines Angriffs direkt mit der OpenStack-Plattform kommunizieren, die wiederum den Befehl zur sofortigen Skalierung gibt. Automatisiert werden nun virtuelle Maschinen aufgesetzt, die vom DNS/DDI-System mit IP-Adressen versorgt werden und die erhöhte Last abfangen können.

Sicherheitslösungen für virtuelle Umgebungen

Sicherheitsansätze für virtuelle Umgebungen sollten zudem in der Lage sein, unbekannte Gefahren und Zero-Day-Sicherheitslücken zu entdecken, indem das Netzwerk ständig auf ungewöhnliche Verhaltensweisen hin überwacht wird; bereits bekannte Gefahren lassen sich durch herkömmliche Toolkits abwehren, die jeweils auf spezifische Angriffstypen ausgelegt sind.

Ergänzendes zum Thema
 
Über Infoblox

Eine moderne DNS-Sicherheitsstrategie sollte interne und externe Analysen sowie Ressourcentracking umfassen. Im besten Falle sollte die virtualisierte Infrastruktur in der Lage sein, alle provisionierten VMs auf dem Schirm zu haben, ihre IP-Adressen zu analysieren und jeglichen Traffic zu überwachen, um verdächtiges Verhalten von virtuellen Maschinen in Echtzeit zu entdecken. Zusätzlich sollte die Möglichkeit vorhanden sein, infizierte VMs sofort unter Quarantäne zu stellen, um die Infektion des Netzwerks zu unterbinden.

Rainer Singer
Rainer Singer (Bild: Infoblox)

Da Konfigurationsfehler zu Sicherheits- und Leistungsproblemen führen, muss eine virtualisierte Sicherheitsstrategie auch die Bereiche Network Discovery und Automatisierung umfassen, um Netzwerkfunktionen zu überprüfen und potentielle Probleme frühestmöglich zu entdecken.

Fazit

Jede neue technische Generation stellt Netzwerk-Architekten vor dieselbe Herausforderung: die Risiken müssen minimiert werden, ohne die Vorteile einer neuen Technologie zunichte zu machen. Virtualisierte Netzwerkfunktionen sind der nächste logische Schritt hin zu hochdynamischen, automatisierten Netzwerken. Wenn Service-Provider die Sicherheitsfragen bereits während der Implementierung angehen und nicht als erst im Nachhinein, so können sie ein flexibles, transparentes Netzwerk schaffen, das den Ansprüchen von heute und denen der Zukunft gerecht wird.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44047538 / Protokolle und Standards)