DNS-Firewall schützt vor Malware und Datenklau Cache Poisoning und andere DNS-Attacken abwehren

Autor / Redakteur: Bernhard Reich / Stephan Augsten

Malware ist für 69 Prozent der nicht-erlaubten Zugriffe auf Firmennetze verantwortlich, wie Verizon in einer Studie aufgezeigt hat. Damit verbundene Datenabflüsse werden meist von externen Firmen entdeckt, nicht vom betroffenen Unternehmen selbst. Was aber kann ein Unternehmen seinerseits tun, um vorzubeugen?

Firma zum Thema

Eine DNS-Firewall hilft insbesondere dabei, mögliche Umleitungen und Botnetz-Verbindungen zu verhindern.
Eine DNS-Firewall hilft insbesondere dabei, mögliche Umleitungen und Botnetz-Verbindungen zu verhindern.
(Bild: Infoblox)

Die gefährlichste Art von Schadsoftware zielt auf das Domain Name System (DNS) ab, denn damit werden hauptsächlich sensible Firmendaten gestohlen. Um das zu verhindern, gilt es zunächst die verschiedenen Arten von Angriffen zu identifizieren, bevor an deren Bekämpfung bzw. Vermeidung gedacht werden kann.

Gängige Schutzmaßnahmen sind in der Regel nur nach außen gerichtet, sodass Malware IP-basierte Schutztechnologien umgehen kann. Dies gilt insbesondere in Zeiten, in denen Endanwender immer häufiger eigene Geräte mit dem Firmennetzwerk verbinden. Der bloße Schutz nach Außen hin reicht also nicht mehr aus.

Das DNS – ein kurzer Überblick

Das DNS kann als Adressbuch für jedes beliebige Ziel im Internet bezeichnet werden. So übersetzt es Domain-Namen wie „Infoblox.com“ in IP-Adressen wie 54.235.223.101. Im Ergebnis ist daher auch immer der Status der verknüpften Internet Domains vom Status der DNS-Server betroffen – ist dieser down oder der Service-Name nicht auflösbar, sind die Internet Domains nicht mehr erreichbar.

Schnelle und genaue DNS-Dienste für den ein- und ausgehenden Traffic sind daher unbedingt nötig, damit Unternehmen, Behörden und andere Organisationen richtig funktionieren. Traditionelle Ansätze für die Netzwerksicherheit konzentrieren sich nicht auf den Schutz dieser geschäftskritischen Infrastruktur. Das macht das DNS verwundbar.

Man unterscheidet zwei Hauptarten DNS-basierter Angriffe. Zum einen gibt es Attacken, die hauptsächlich auf die Unterbrechung von DNS-Diensten abzielen. Zum anderen werden DNS-Attacken ausgeführt, um Firmen über das DNS auszuspähen und die gewonnenen Daten gewinnbringend zu nutzen.

DNS-Dienste unterbrechen

  • Eine der wichtigsten Angriffsarten ist das Cache Poisoning, bei dem manipulierte DNS-Adressen verschickt und dann im DNS-Cache gespeichert werden. So gelangen Nutzer, deren Rechner eine Adresse sucht, auf einen manipulierten Server und akzeptieren dann automatisch und ohne es wahrzunehmen nicht-autorisierte Inhalte.
  • Bei Attacken auf das DNS-Protokoll senden Angreifer manipulierte DNS-Anfragen oder -Antworten an einen DNS-Server, um so Programmfehler in die Software einzupflegen.
  • Attacken durch DNS-Umleitung sind ebenfalls gefährlich, denn hier schaltet sich der Angreifer zwischen Sender und Empfänger. Somit kann er den kompletten Daten-Traffic zwischen beiden kontrollieren – und auch manipulieren.
  • Beim DNS Tunneling wird das DNS genutzt, um traditionelle Sicherheitsvorkehrungen zu umgehen – und zwar heimlich. Dabei werden Daten in kleine Datenmengen zerteilt, verschlüsselt und entsprechend in die DNS-Anfragen integriert.
  • Das Domain Phishing wird genutzt, um eine Domain zu entwenden und sie an ein Ziel umzuleiten, das vom Hacker kontrolliert wird. Bevorzugte Ziele sind hierbei Banken oder Reiseportale, denn dort können Cyberkriminelle an sensible Daten gelangen. DDoS-Attacken richten sich direkt an die Server der DNS-Infrastruktur und überfluten diese mit Anfragen, so dass sie nicht mehr funktionsfähig sind.

Daten über das DNS ausspähen

  • Botnetze nutzen häufig DNS Fast Fluxing, damit sie die genaue Location eines bestimmten Servers verschleiern können, so dass IP-Adressen sich schnell und häufig ändern.
  • Beim Domain Fluxing werden vollständige Domain-Namen ständig anders zugeteilt, sodass sie zu einer einzigen IP-Adresse geleitet werden.
  • Weiterhin häufig sind Advanced Persistent Threats (APTs). Diese bestehen aus sehr fortgeschrittener Malware, die speziell programmiert und genutzt wird. Die Bedrohung durch diese APTs steigt – 2012 wurden 855 erfolgreiche Angriffe verzeichnet, bei denen 174 Millionen Dateien gestohlen wurden (laut Ponemon Institute Report, Juni 2013).

Die DNS-Firewall als potenzielle Gegenmaßnahme

Eine Möglichkeit, das Unternehmensnetzwerk und geschäftskritische Daten dennoch zu schützen, ist der Einsatz einer DNS-Firewall. Diese sollte aktiv und reaktionsschnell auf Bedrohungen reagieren und anpassungsfähig sein.

So lassen sich Clients nicht nur schützen, eine DNS-Firewall unterbindet auch die Kommunikation zwischen bereits infizierten Clients und dem, der das Botnetz kontrolliert. Mit einer DNS-Firewall ist ein Unternehmen demnach weniger angreifbar, sowohl im Hinblick auf die Geschäftsfähigkeit als auch in rechtlicher Hinsicht.

Letzteres ist insbesondere wichtig, wenn es um sensible Kundendaten geht oder ein Unternehmen anderen Firmen Dienstleistungen zur Verfügung stellt. Indem Malware-Angriffe so bekämpft werden, kann ein hohes Maß an Schutz für das eigene Unternehmen – aber auch für Partner und Kunden – sichergestellt werden.

Ein weiterer Vorteil ist, dass eine DNS-Firewall dabei hilft, den Aufwand für Schutz- und Recovery-Maßnahmen gegen Malware-Attacken deutlich zu senken. Eine solche Lösung ist nämlich dazu in der Lage, Bedrohungen und Gefahren aufzuhalten, bevor sie überhaupt aktiv werden.

Somit können Unternehmen sicherstellen, dass alle infizieren Endgeräte identifiziert werden, um die Schadsoftware davon zu entfernen. Das gilt auch für private Smartphones und Tablets, die mit dem Unternehmensnetzwerk verbunden werden. Somit wird auch das Risiko durch den BYOD-Trend reduziert.

Zudem bildet eine solche DNS-Firewall einen Schutz gegen Malware innerhalb der IT-Systeme und -Prozesse eines Unternehmens. Nach der ersten Einrichtung und Konfiguration sind keine weiteren manuellen Anpassungen mehr notwendig.

Natürlich liefert eine DNS-Firewall auch verschiedene Protokolle und Berichte, mit denen infizierte Clients aufgelistet und nachverfolgt werden können. Diese lassen sich wiederum in die Aufgabenlisten für die IT-Abteilungen einbinden und wieder bereinigen.

Mehr über Funktionsweise einer DNS-Firewall

Sobald neue Malware erkannt wird, versendet der Malware-Daten-Feed des Anbieters umgehend ein entsprechendes Update an den Kunden, also den Nutzer der DNS-Firewall. Daraufhin werden die aktualisierten Daten nahezu in Echtzeit entweder direkt oder indirekt an alle beteiligten, rekursiven DNS-Server weitergegeben.

Sollte nun ein Endnutzer versuchen, einen schädlichen Link anzuklicken oder eine bekannte Malware-Webseite zu besuchen, wird dieser daran gehindert, da die entspechende Aktivität schon auf DNS-Ebene geblockt wird. Stattdessen wird diese Sitzung an eine „Walled-Garde-Seite“ weitergeleitet, die der zuständige Administrator im Unternehmen zuvor definiert hat.

Sind Clients bereits infiziert, so werden diese versuchen, über DNS-Befehle mit dem Botnetz-Controller zu kommunizieren. Meist handelt es sich bei diesen Clients um privat mitgebrachte Endgeräte. Die DNS-Firewall wird diese Kommunikation nun unterbinden und kann so das gesamte Botnetz lahmlegen, sodass es keinen Schaden mehr anrichten kann.

Gleichzeitig werden alle diese Aktivitäten getrackt und im Industrie-Standardformat in das Syslog geschrieben. Damit kann die IT-Abteilung dann sowohl das infizierte Gerät von der Malware befreien als auch die Quelle des schadhaften Links untersuchen.

Eine DNS-Firewall stellt somit unterschiedliche Leistungsmerkmale zur Verfügung:

  • Sie stoppt Clients, bevor sie infiziert werden, beispielsweise durch Anklicken eines schädlichen Links oder durch den Besuch einer Malware-Website. Außerdem werden falsche DNS-Befehle nicht ausgeführt, was das Botnetz lahmlegt. Schließlich werden alle Malware-Aktivitäten in Protokolldateien geschrieben und Berichte erstellt, um die infizierten Geräte und Angriffe genau zu ermitteln.
  • Zudem werden umfassende, genaue und aktuelle Malware-Daten genutzt, um diese aufzuspüren und zu neutralisieren. Das geschieht bedeutend früher, als dies mit internen Maßnahmen machbar wäre.
  • Die Anpassungsmöglichkeiten stellen sicher, dass allen Arten von Malware entgegen gewirkt werden kann. Die Definition hierarchischer Richtlinien für DNS, NXDomain-Umleitung und Malware ermöglicht zudem eine maximale Flexibilität, sodass ein Unternehmen die volle Kontrolle darüber hat, welcher rekursive DNS-Server welche Richtlinien durchsetzt.

Fazit

Für Cyber-Kriminelle ist das Domain Name System schnell zu einer bevorzugten Option geworden, existierende Sicherheitsvorkehrungen zu umgehen. Cyber-Krieg, Industriespionage, Hacktivismus, politische Hintergründe, Datendiebstahl, Spam-Versand oder koordinierte DDoS-Attacken sind dabei die hauptsächlichen Motive.

Die Zahl der (bekannten) DNS-basierten Angriffe steigt kontinuierlich an. Bestehende Systeme und Next-Generation Firewalls genügen nicht mehr, um Unternehmensnetzwerke umfassend vor Attacken zu schützen. Das macht eine mehrstufige und mehrschichtige Sicherheitsstrategie notwendig, mit der aktuellen Gefahren und Malware getrotzt werden kann, die via DNS in die IT-Infrastruktur eines Unternehmens gelangen.

Über den Autor

Bernhard Reich ist Regional Sales Director DACH, Osteuropa und GUS bei Infoblox.

(ID:42483726)