:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Domain Name System – Probleme, Hintergründe und Tipps Wichtig, wichtiger…DNS
Viele Anwender und leider immer wieder auch IT-Verantwortliche machen sich nicht klar, wie abhängig ihr Geschäftsbetrieb vom Domain Name System DNS ist. Auch die daraus resultierenden Sicherheitsprobleme werden nur allzu oft ignoriert. Wir zeigen die Hintergründe und bieten einige Tipps.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Die „normalen Anwender“ werden sich nur selten der Tatsache bewusst sein, wie abhängig ihre IT und all ihre Anwendungen vom Domain Name System (DNS) sind. IT-Fachleute wissen prinzipiell sicher alle um die Rolle von DNS – schließlich lässt sich nicht einmal ein einfacher Domänen-Server ohne DNS einrichten. Doch nehmen sie diese Rolle auch wichtig oder ist DNS eben nur ein weiterer Standarddienst im IP-Netzwerk, der einfach funktioniert und daher kaum jemanden kümmert?
:quality(80)/images.vogel.de/vogelonline/bdb/1286100/1286141/original.jpg "Vielfältig sind die Angriffsmöglichkeiten, die sich bei DNS bieten. Das zeigt die von EfficientIP durchgeführte Studie sehr deutlich.")
:quality(80)/images.vogel.de/vogelonline/bdb/1286100/1286142/original.jpg "Der DNS-Manager des Windows-Servers bietet ausreichende Einstellmöglichkeiten: IT-Verantwortliche und Administratoren sollten einen wachsamen Blick darauf haben, da ein funktionierendes DNS-System für die gesamte IT wichtig ist.")
:quality(80)/images.vogel.de/vogelonline/bdb/1286100/1286143/original.jpg "Welchen DNS-Server sollen Administratoren wählen, wenn sie beispielsweise das Gefühl haben, dass die Server des Providers zu langsam reagieren? Mit OpenDNS steht eine freie Alternative bereit, die von Cisco betreut wird.")
:quality(80)/images.vogel.de/vogelonline/bdb/1286100/1286144/original.jpg "Wie gut funktioniert meine DNS-Infrastruktur? Die freie Software DNS-Benchmark (https://www.grc.com/dns/benchmark.htm) hilft und zeigt dem Administrator viele nützliche Informationen.")
Glaubt man einem Report, den die Firma EfficientIP kürzlich unter dem Titel „The Global DNS Threat Survey“ veröffentlichte, dann ist es wohl leider wirklich so, dass auch IT-Profis diesem Bereich ihrer IT viel zu wenig Beachtung schenken. Das Unternehmen hat dabei 1.000 Firmen aus den Regionen Nordamerika, Europa und Asien befragen lassen. Es war das Ziel dieser Untersuchungen festzustellen, welche technischen und durch das Verhalten der Anwender bedingten Ursachen der Anstieg von DNS-Bedrohungen hat.
Grundsätzlich stellten die Experten von EfficientIP, die sich nach eigenen Aussagen auf die Bereiche DNS, DHCP und IP Address Management (DDI) konzentrieren, bei der Auswertung der Umfragen fest, dass DNS als ein besonders wichtiges Element bei der Bereitstellung von IT-Diensten zunehmend zum Ziel von Cyber-Attacken wird. Damit versuchen Angreifer dann den Geschäftsbetrieb zu behindern oder im schlimmsten Fall ganz zu unterbinden. Aber DNS-Attacken kommen zunehmend auch als Angriffsvektor zum Einsatz, um beispielsweise Daten abzuschöpfen oder eine DDOS-Attacke zu starten.
Sicherheitsrisiko DNS
Dabei zeigte Studie unter anderem, dass 76 Prozent der befragten Firmen innerhalb des letzten Jahres Ziel einer DNS-Attacke waren. Wobei 49 Prozent der Unternehmen sich der Gefahr von solchen Angriffen laut der Studie aber nicht einmal bewusst sind. Dem steht gegenüber, dass nach dem in diesem Zusammenhang zitierten Cisco Security Report 91 Prozent der gefundenen Malware DNS einsetzt. Wer mehr über die Studie von EfficientIP wissen will, kann sie von der Web-Seite der Firma herunterladen.
Tatsache ist, dass DNS-Verbindungen auf den Firewalls vieler Unternehmen ungefiltert bleiben und Administratoren gerade in kleineren und mittelgroßen Unternehmen schon allein aufgrund der großen Datenmengen, die rund um DNS auftauchen, kaum die Zeit haben, sich innerhalb dieses Datenstroms einmal anzuschauen, was alles über die Ports 53 und 853 fließt.
Was getan werden kann
Wer sich mit mehr erfahrenen Administratoren und Netzwerkbetreuern unterhält, hört wahrscheinlich immer wieder eine Aussage der Form „wenn mit dem DNS was nicht stimmt, dann stimmt’s auch im eigenen LAN und bei den Verbindungen ins Web nicht“. Doch kaum ein Anwender kann und will IP-Adressen per Hand eingeben und das Einbinden solcher IP-Adressen direkt in Apps und Programme ist sicher auch kein gangbarer Wert: Ein zuverlässiges, sicheres und schnelles DNS-System ist also entscheidend. Doch in vielen Unternehmen genügen die DNS-Systeme diesen Ansprüchen leider nicht und so treten immer wieder Probleme mit DNS auf.
:quality(80)/images.vogel.de/vogelonline/bdb/1125700/1125791/original.jpg "Fortschrittliche Analysetools und eine übersichtliche DNS-Architektur helfen, Risiken zu minimieren und Angriffe schneller abzuwehren. (© - NicoElNino - Fotolia.com)")
Perimeter-Sicherheit unzureichend
5 Tipps für umfassend geschützte DNS-Server
Problem: Kein lokaler DNS-Server vorhanden
Immer dann wenn Mitarbeiter darüber klagen, dass die Verarbeitungsgeschwindigkeit viel zu langsam sei und alle Anfragen „ewig“ dauern würden, lohnt der Blick darauf, wohin die DNS-Anfragen geleitet werden. Gerade bei Firmen, deren Büros und Niederlassungen etwas weiter verteilt sind, findet der IT-Profi dann oft Konfigurationen, bei denen die DNS-Anfragen zu einem zentralen Server der Firma in der jeweiligen Region oder gar noch weiter entfernt geleitet werden.
Da aber die Auflösung einer DNS-Anfrage in der Regel nicht viel länger als 25 Millisekunden dauern sollte, damit die Nutzer eben nicht das Gefühl des „lahmen Netzwerks“ bekommen, ist die Anfrage an einen DNS-Server, der sich vielleicht in einem anderen Land oder sogar auf einem anderen Kontinent befindet, eher kontraproduktiv. Auch für die kleinste Außenstelle lohnt es sich deshalb auf jedem Fall, ein System mit einem lokalen DNS-Server zu installieren und zu betreiben, und wenn es im Zweifelsfall dann auch nur ein Caching-Server auf dem lokalen Router ist.
Kleinere Unternehmen, deren Mitarbeiter nur an einem Standort arbeiten, sollten auch die nächsten beiden Punkte in Erwägung ziehen.
Problem: DNS des Internet-Providers verwenden
Soll nicht mehr der DNS-Server in der Firmenzentrale, der sich vielleicht an einem anderen weit entfernten Standort befindet, zum Einsatz kommen oder ist sowieso nur ein Standort vorhanden, so fällt häufig die Entscheidung, den DNS-Server des ISP einzusetzen. Allerdings kann es auch hier durchaus Probleme geben.
So können Firmen letztendlich nicht sicher sein, dass die IP-Adressen, die sie vom ISP zurückbekommen, sich in der gleichen Region wie ihr eigener Standort befinden. Die DNS-Server des ISPs könnten so konfiguriert sein, dass sie ein Forward auf einen Server in einer anderen Region ausführen – dann würden die Nutzer in einigen Fällen wieder entsprechend lange warten.
Für SOHO-Umgebungen und für reine Home-Offices mag es noch durchaus sinnvoll sein, den DNS-Server des Providers zu verwenden. Vor allen Dingen dann, wenn der Nutzer feststellen kann, ob dieser sich in seiner Region (also beispielsweise in einem deutschen Rechenzentrum) befindet. Aber auch in diesen Fällen sollten Nutzer und vor allen Dingen die IT-Fachleute ein wachsames Auge auf die Antwortzeichen haben. Wenn es möglich ist, sollte der lokale DNS-Server zudem so konfiguriert werden, dass er selbst Anfragen an einen Root-Server stellen kann und nicht über den ISP oder die eigene Firmenzentrale geht.
Und was ist mit öffentlichen DNS-Servern als Alternative?
Eine weitere Möglichkeit besteht darin, einen der vielen öffentlichen, freien DNS-Server in seine Systeme einzutragen, um somit von ISPs unabhängig zu sein und auch keine eigene DNS-Infrastruktur aufbauen zu müssen. Auch hier sollten die IT-Verantwortlichen sicherstellen, dass diese Server sich in der eigenen Region befinden. Das ist aber zumeist über entsprechende Web-Seiten möglich.
Auch im Hinblick auf Sicherheitsbedenken, auf die wir hier auch noch eingehen werden, ist es sicher wünschenswert, dass sich ein solcher DNS-Server beispielsweise nicht in den USA befindet. Zudem gibt es auch hier, wie bei vielen freien Angeboten im Netz, durchaus „schwarze Schafe“, die versuchen Abfragen gezielt auf Seiten mit Schadsoftware umzuleiten. Deshalb ist hier gerade für den professionellen Einsatz Vorsicht geboten.
In dieser Kategorie am bekanntesten dürften die freien DNS-Server von Google oder von OpenDNS sein. Die Firma OpenDNS gehört aktuell zu Cisco. Wie immer bei solchen freien Angeboten im Netz, stellt sich natürlich auch hier die Frage, wie lange die jeweilige Firma oder auch Vereinigung das kostenlose Angebot zur Verfügung stellt. Gerade Google ist ja bekannt dafür, schnell mal wieder ein Produkt oder Angebot vom Markt zu nehmen. Allerdings dürfte das bei der Popularität der freien Google DNS-Dienste, die wohl fast jeder Administrator mit ihren Adressen 8.8.8.8 beziehungsweise 8.8.4.4 schon mal eingesetzt haben dürfte, wohl kaum zu erwarten sein.
In unseren exemplarischen Tests aus verschiedenen Systemumgebungen heraus zeigten diese Server auch sehr performante Abfragen. Ähnliches gilt für den OpenDNS-Dienst von Cisco, der zudem sehr viele aussagekräftige Informationen zu den jeweiligen Diensten bereitstellt.
GeoDNS
Ein Feature von DNS, das in diesem Zusammenhang noch eine kurze Betrachtung wert ist, wird als GeoDNS bezeichnet. Dabei handelt es sich genau genommen um ein Feature des BIND-Pakets, das für die Namensauflösung im DNS zuständig ist. Durch GeoDNS wird es möglich, dass DNS-Server bei einer Anfrage in Abhängigkeit vom Standort des Client-Systems unterschiedliche Adressen zurückgeben.
Durch diese kurze und etwas vereinfachte Beschreibung wird auch klar, dass diese Technik nur für größere Unternehmen sinnvoll ist, die ihr Geschäft an geografisch verteilten Standort betreiben. Wenn dann die Firmenseite ebenfalls in verschiedenen Regionen und Ländern gehostet wird, so kann eine solche Technik die Zugriffe der Kunden und Geschäftspartner deutlich beschleunigen.
Versucht der Client beispielsweise aus Deutschland auf die Firmen-Webseite, die ursprünglich in den USA gehostet ist, zuzugreifen, so würde ein derart konfiguriertes DNS-System das merken, und die IP-Adresse einer näher gelegenen Kopie der Web-Seite beispielsweise direkt in Deutschland oder einem anderen europäischen Land zurückzugeben, um so die Antwortzeiten zu verbessern.
Sicherheitsrisiken
Schließlich sollten sich Administratoren und Anwender immer darüber im Klaren sein, dass das DNS-System auch ein Einfallstor für verschiedenste Angriffe sein kann. Die bekanntesten Angriffsmodelle heißen „DNS Cache-Poisoning“ und „DNS-Spoofing“.
Beim Spoofing wird der Cache mit den Zoneninformationen manipuliert. Derart manipulierte Server übertragen in der Folge diese manipulierte Information an andere DNS-Server. So werden dann falsche Zoneninformationen verbreiten. Client-Rechner, die in der Regel die Rückgabe eines DNS-Servers nicht überprüfen, erhalten auf ihre DNS-Anfrage dann nicht mehr die richtigen IP-Adressen, sondern landen möglicherweise auf falschen Web-Seiten. Auch die gesamte Mail-Kommunikation kann durch solche Manipulationen leicht umgeleitet werden.
Beim „DNS-Spoofing“ wird hingegen nicht die komplette Zone manipuliert, sondern es werden nur einige wenige Einträge verfälscht. Das Ergebnis bleibt gleich: Die IP-Adresse, die der Client aufgrund seiner DNS-Anfrage erhält, ist falsch.
Etwas neuer ist ein Angriffsszenario, das Experten in letzter Zeit häufiger vorfinden konnten. Dabei wird das DNS-System als versteckter Datenkanal missbraucht. In diesen Fällen, die als „DNS Tunneling“ bezeichnet werden, umgehen Hacker die klassischen Verteidigungsmechanismen. Sie verwenden dabei den üblicherweise offenen DNS-Port, um Daten auszutauschen. In Rahmen solcher Angriffe werden dann Dateien in kleine Stückchen von nur wenigen Bytes zerlegt und verschlüsselt. So gelangen sie schließlich über DNS-Anfragen und deren Antworten durch die Schutzfunktionen hindurch und können im Zweifelsfall auch entsprechende Schadroutinen starten.
(ID:44899149)
:quality(80)/p7i.vogel.de/wcms/fa/17/fa171cc3b3b2ffb0420b93af71c49ef9/0109001068.jpeg "Das Wachstum des Internets der Dinge geht immer weiter. Umso wichtiger ist es, dass Schwachstellen in IoT-Geräten geschlossen und Cyberangriffe abgewehrt werden. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/e7/4fe74c91b1a44f66dfaad4707b59f406/0109264134.jpeg "Mit der Data Exfiltration Application können Unternehmen ihre eigenen DNS-Netzwerke durch eine Art „Test-Hack“ auf Sicherheitslücken prüfen. (Bild: EfficientIP)")