Suchen

DNS-Firewall schützt vor Malware und Datenklau

Cache Poisoning und andere DNS-Attacken abwehren

Seite: 4/4

Firmen zum Thema

Mehr über Funktionsweise einer DNS-Firewall

Sobald neue Malware erkannt wird, versendet der Malware-Daten-Feed des Anbieters umgehend ein entsprechendes Update an den Kunden, also den Nutzer der DNS-Firewall. Daraufhin werden die aktualisierten Daten nahezu in Echtzeit entweder direkt oder indirekt an alle beteiligten, rekursiven DNS-Server weitergegeben.

Sollte nun ein Endnutzer versuchen, einen schädlichen Link anzuklicken oder eine bekannte Malware-Webseite zu besuchen, wird dieser daran gehindert, da die entspechende Aktivität schon auf DNS-Ebene geblockt wird. Stattdessen wird diese Sitzung an eine „Walled-Garde-Seite“ weitergeleitet, die der zuständige Administrator im Unternehmen zuvor definiert hat.

Sind Clients bereits infiziert, so werden diese versuchen, über DNS-Befehle mit dem Botnetz-Controller zu kommunizieren. Meist handelt es sich bei diesen Clients um privat mitgebrachte Endgeräte. Die DNS-Firewall wird diese Kommunikation nun unterbinden und kann so das gesamte Botnetz lahmlegen, sodass es keinen Schaden mehr anrichten kann.

Gleichzeitig werden alle diese Aktivitäten getrackt und im Industrie-Standardformat in das Syslog geschrieben. Damit kann die IT-Abteilung dann sowohl das infizierte Gerät von der Malware befreien als auch die Quelle des schadhaften Links untersuchen.

Eine DNS-Firewall stellt somit unterschiedliche Leistungsmerkmale zur Verfügung:

  • Sie stoppt Clients, bevor sie infiziert werden, beispielsweise durch Anklicken eines schädlichen Links oder durch den Besuch einer Malware-Website. Außerdem werden falsche DNS-Befehle nicht ausgeführt, was das Botnetz lahmlegt. Schließlich werden alle Malware-Aktivitäten in Protokolldateien geschrieben und Berichte erstellt, um die infizierten Geräte und Angriffe genau zu ermitteln.
  • Zudem werden umfassende, genaue und aktuelle Malware-Daten genutzt, um diese aufzuspüren und zu neutralisieren. Das geschieht bedeutend früher, als dies mit internen Maßnahmen machbar wäre.
  • Die Anpassungsmöglichkeiten stellen sicher, dass allen Arten von Malware entgegen gewirkt werden kann. Die Definition hierarchischer Richtlinien für DNS, NXDomain-Umleitung und Malware ermöglicht zudem eine maximale Flexibilität, sodass ein Unternehmen die volle Kontrolle darüber hat, welcher rekursive DNS-Server welche Richtlinien durchsetzt.

Fazit

Für Cyber-Kriminelle ist das Domain Name System schnell zu einer bevorzugten Option geworden, existierende Sicherheitsvorkehrungen zu umgehen. Cyber-Krieg, Industriespionage, Hacktivismus, politische Hintergründe, Datendiebstahl, Spam-Versand oder koordinierte DDoS-Attacken sind dabei die hauptsächlichen Motive.

Die Zahl der (bekannten) DNS-basierten Angriffe steigt kontinuierlich an. Bestehende Systeme und Next-Generation Firewalls genügen nicht mehr, um Unternehmensnetzwerke umfassend vor Attacken zu schützen. Das macht eine mehrstufige und mehrschichtige Sicherheitsstrategie notwendig, mit der aktuellen Gefahren und Malware getrotzt werden kann, die via DNS in die IT-Infrastruktur eines Unternehmens gelangen.

Über den Autor

Bernhard Reich ist Regional Sales Director DACH, Osteuropa und GUS bei Infoblox.

(ID:42483726)