Domain Name System – Probleme, Hintergründe und Tipps

Wichtig, wichtiger…DNS

| Autor / Redakteur: Frank-Michael Schlede, Thomas Bär / Andreas Donner

Auf den DNS-Manager des Windows-Servers sollten Admins ein Auge haben.
Auf den DNS-Manager des Windows-Servers sollten Admins ein Auge haben. (Bild: Schlede, Bär / Microsoft)

Viele Anwender und leider immer wieder auch IT-Verantwortliche machen sich nicht klar, wie abhängig ihr Geschäftsbetrieb vom Domain Name System DNS ist. Auch die daraus resultierenden Sicherheitsprobleme werden nur allzu oft ignoriert. Wir zeigen die Hintergründe und bieten einige Tipps.

Die „normalen Anwender“ werden sich nur selten der Tatsache bewusst sein, wie abhängig ihre IT und all ihre Anwendungen vom Domain Name System (DNS) sind. IT-Fachleute wissen prinzipiell sicher alle um die Rolle von DNS – schließlich lässt sich nicht einmal ein einfacher Domänen-Server ohne DNS einrichten. Doch nehmen sie diese Rolle auch wichtig oder ist DNS eben nur ein weiterer Standarddienst im IP-Netzwerk, der einfach funktioniert und daher kaum jemanden kümmert?

Glaubt man einem Report, den die Firma EfficientIP kürzlich unter dem Titel „The Global DNS Threat Survey“ veröffentlichte, dann ist es wohl leider wirklich so, dass auch IT-Profis diesem Bereich ihrer IT viel zu wenig Beachtung schenken. Das Unternehmen hat dabei 1.000 Firmen aus den Regionen Nordamerika, Europa und Asien befragen lassen. Es war das Ziel dieser Untersuchungen festzustellen, welche technischen und durch das Verhalten der Anwender bedingten Ursachen der Anstieg von DNS-Bedrohungen hat.

Grundsätzlich stellten die Experten von EfficientIP, die sich nach eigenen Aussagen auf die Bereiche DNS, DHCP und IP Address Management (DDI) konzentrieren, bei der Auswertung der Umfragen fest, dass DNS als ein besonders wichtiges Element bei der Bereitstellung von IT-Diensten zunehmend zum Ziel von Cyber-Attacken wird. Damit versuchen Angreifer dann den Geschäftsbetrieb zu behindern oder im schlimmsten Fall ganz zu unterbinden. Aber DNS-Attacken kommen zunehmend auch als Angriffsvektor zum Einsatz, um beispielsweise Daten abzuschöpfen oder eine DDOS-Attacke zu starten.

Sicherheitsrisiko DNS

Dabei zeigte Studie unter anderem, dass 76 Prozent der befragten Firmen innerhalb des letzten Jahres Ziel einer DNS-Attacke waren. Wobei 49 Prozent der Unternehmen sich der Gefahr von solchen Angriffen laut der Studie aber nicht einmal bewusst sind. Dem steht gegenüber, dass nach dem in diesem Zusammenhang zitierten Cisco Security Report 91 Prozent der gefundenen Malware DNS einsetzt. Wer mehr über die Studie von EfficientIP wissen will, kann sie von der Web-Seite der Firma herunterladen.

Tatsache ist, dass DNS-Verbindungen auf den Firewalls vieler Unternehmen ungefiltert bleiben und Administratoren gerade in kleineren und mittelgroßen Unternehmen schon allein aufgrund der großen Datenmengen, die rund um DNS auftauchen, kaum die Zeit haben, sich innerhalb dieses Datenstroms einmal anzuschauen, was alles über die Ports 53 und 853 fließt.

Was getan werden kann

Wer sich mit mehr erfahrenen Administratoren und Netzwerkbetreuern unterhält, hört wahrscheinlich immer wieder eine Aussage der Form „wenn mit dem DNS was nicht stimmt, dann stimmt’s auch im eigenen LAN und bei den Verbindungen ins Web nicht“. Doch kaum ein Anwender kann und will IP-Adressen per Hand eingeben und das Einbinden solcher IP-Adressen direkt in Apps und Programme ist sicher auch kein gangbarer Wert: Ein zuverlässiges, sicheres und schnelles DNS-System ist also entscheidend. Doch in vielen Unternehmen genügen die DNS-Systeme diesen Ansprüchen leider nicht und so treten immer wieder Probleme mit DNS auf.

5 Tipps für umfassend geschützte DNS-Server

Perimeter-Sicherheit unzureichend

5 Tipps für umfassend geschützte DNS-Server

12.12.16 - Ein ungeschützter DNS-Server wirkt auf Hacker wie eine persönliche Einladung zum Datenklau. EfficientIP zeigt, wie man DNS-Server umfassend vor den immer ausgefeilteren Attacken schützt, damit eine ausfallsichere und verlässliche Serverumgebung gewährleistet werden kann. lesen

Problem: Kein lokaler DNS-Server vorhanden

Immer dann wenn Mitarbeiter darüber klagen, dass die Verarbeitungsgeschwindigkeit viel zu langsam sei und alle Anfragen „ewig“ dauern würden, lohnt der Blick darauf, wohin die DNS-Anfragen geleitet werden. Gerade bei Firmen, deren Büros und Niederlassungen etwas weiter verteilt sind, findet der IT-Profi dann oft Konfigurationen, bei denen die DNS-Anfragen zu einem zentralen Server der Firma in der jeweiligen Region oder gar noch weiter entfernt geleitet werden.

Da aber die Auflösung einer DNS-Anfrage in der Regel nicht viel länger als 25 Millisekunden dauern sollte, damit die Nutzer eben nicht das Gefühl des „lahmen Netzwerks“ bekommen, ist die Anfrage an einen DNS-Server, der sich vielleicht in einem anderen Land oder sogar auf einem anderen Kontinent befindet, eher kontraproduktiv. Auch für die kleinste Außenstelle lohnt es sich deshalb auf jedem Fall, ein System mit einem lokalen DNS-Server zu installieren und zu betreiben, und wenn es im Zweifelsfall dann auch nur ein Caching-Server auf dem lokalen Router ist.

Kleinere Unternehmen, deren Mitarbeiter nur an einem Standort arbeiten, sollten auch die nächsten beiden Punkte in Erwägung ziehen.

Problem: DNS des Internet-Providers verwenden

Soll nicht mehr der DNS-Server in der Firmenzentrale, der sich vielleicht an einem anderen weit entfernten Standort befindet, zum Einsatz kommen oder ist sowieso nur ein Standort vorhanden, so fällt häufig die Entscheidung, den DNS-Server des ISP einzusetzen. Allerdings kann es auch hier durchaus Probleme geben.

So können Firmen letztendlich nicht sicher sein, dass die IP-Adressen, die sie vom ISP zurückbekommen, sich in der gleichen Region wie ihr eigener Standort befinden. Die DNS-Server des ISPs könnten so konfiguriert sein, dass sie ein Forward auf einen Server in einer anderen Region ausführen – dann würden die Nutzer in einigen Fällen wieder entsprechend lange warten.

Für SOHO-Umgebungen und für reine Home-Offices mag es noch durchaus sinnvoll sein, den DNS-Server des Providers zu verwenden. Vor allen Dingen dann, wenn der Nutzer feststellen kann, ob dieser sich in seiner Region (also beispielsweise in einem deutschen Rechenzentrum) befindet. Aber auch in diesen Fällen sollten Nutzer und vor allen Dingen die IT-Fachleute ein wachsames Auge auf die Antwortzeichen haben. Wenn es möglich ist, sollte der lokale DNS-Server zudem so konfiguriert werden, dass er selbst Anfragen an einen Root-Server stellen kann und nicht über den ISP oder die eigene Firmenzentrale geht.

Und was ist mit öffentlichen DNS-Servern als Alternative?

Eine weitere Möglichkeit besteht darin, einen der vielen öffentlichen, freien DNS-Server in seine Systeme einzutragen, um somit von ISPs unabhängig zu sein und auch keine eigene DNS-Infrastruktur aufbauen zu müssen. Auch hier sollten die IT-Verantwortlichen sicherstellen, dass diese Server sich in der eigenen Region befinden. Das ist aber zumeist über entsprechende Web-Seiten möglich.

Auch im Hinblick auf Sicherheitsbedenken, auf die wir hier auch noch eingehen werden, ist es sicher wünschenswert, dass sich ein solcher DNS-Server beispielsweise nicht in den USA befindet. Zudem gibt es auch hier, wie bei vielen freien Angeboten im Netz, durchaus „schwarze Schafe“, die versuchen Abfragen gezielt auf Seiten mit Schadsoftware umzuleiten. Deshalb ist hier gerade für den professionellen Einsatz Vorsicht geboten.

In dieser Kategorie am bekanntesten dürften die freien DNS-Server von Google oder von OpenDNS sein. Die Firma OpenDNS gehört aktuell zu Cisco. Wie immer bei solchen freien Angeboten im Netz, stellt sich natürlich auch hier die Frage, wie lange die jeweilige Firma oder auch Vereinigung das kostenlose Angebot zur Verfügung stellt. Gerade Google ist ja bekannt dafür, schnell mal wieder ein Produkt oder Angebot vom Markt zu nehmen. Allerdings dürfte das bei der Popularität der freien Google DNS-Dienste, die wohl fast jeder Administrator mit ihren Adressen 8.8.8.8 beziehungsweise 8.8.4.4 schon mal eingesetzt haben dürfte, wohl kaum zu erwarten sein.

In unseren exemplarischen Tests aus verschiedenen Systemumgebungen heraus zeigten diese Server auch sehr performante Abfragen. Ähnliches gilt für den OpenDNS-Dienst von Cisco, der zudem sehr viele aussagekräftige Informationen zu den jeweiligen Diensten bereitstellt.

5 Tipps für umfassend geschützte DNS-Server

Perimeter-Sicherheit unzureichend

5 Tipps für umfassend geschützte DNS-Server

30.11.16 - Ein ungeschützter DNS-Server wirkt auf Hacker wie eine persönliche Einladung zum Datenklau. EfficientIP zeigt, wie man DNS-Server umfassend vor den immer ausgefeilteren Attacken schützt, damit eine ausfallsichere und verlässliche Serverumgebung gewährleistet werden kann. lesen

GeoDNS

Ein Feature von DNS, das in diesem Zusammenhang noch eine kurze Betrachtung wert ist, wird als GeoDNS bezeichnet. Dabei handelt es sich genau genommen um ein Feature des BIND-Pakets, das für die Namensauflösung im DNS zuständig ist. Durch GeoDNS wird es möglich, dass DNS-Server bei einer Anfrage in Abhängigkeit vom Standort des Client-Systems unterschiedliche Adressen zurückgeben.

Durch diese kurze und etwas vereinfachte Beschreibung wird auch klar, dass diese Technik nur für größere Unternehmen sinnvoll ist, die ihr Geschäft an geografisch verteilten Standort betreiben. Wenn dann die Firmenseite ebenfalls in verschiedenen Regionen und Ländern gehostet wird, so kann eine solche Technik die Zugriffe der Kunden und Geschäftspartner deutlich beschleunigen.

Versucht der Client beispielsweise aus Deutschland auf die Firmen-Webseite, die ursprünglich in den USA gehostet ist, zuzugreifen, so würde ein derart konfiguriertes DNS-System das merken, und die IP-Adresse einer näher gelegenen Kopie der Web-Seite beispielsweise direkt in Deutschland oder einem anderen europäischen Land zurückzugeben, um so die Antwortzeiten zu verbessern.

Sicherheitsrisiken

Schließlich sollten sich Administratoren und Anwender immer darüber im Klaren sein, dass das DNS-System auch ein Einfallstor für verschiedenste Angriffe sein kann. Die bekanntesten Angriffsmodelle heißen „DNS Cache-Poisoning“ und „DNS-Spoofing“.

Beim Spoofing wird der Cache mit den Zoneninformationen manipuliert. Derart manipulierte Server übertragen in der Folge diese manipulierte Information an andere DNS-Server. So werden dann falsche Zoneninformationen verbreiten. Client-Rechner, die in der Regel die Rückgabe eines DNS-Servers nicht überprüfen, erhalten auf ihre DNS-Anfrage dann nicht mehr die richtigen IP-Adressen, sondern landen möglicherweise auf falschen Web-Seiten. Auch die gesamte Mail-Kommunikation kann durch solche Manipulationen leicht umgeleitet werden.

Beim „DNS-Spoofing“ wird hingegen nicht die komplette Zone manipuliert, sondern es werden nur einige wenige Einträge verfälscht. Das Ergebnis bleibt gleich: Die IP-Adresse, die der Client aufgrund seiner DNS-Anfrage erhält, ist falsch.

Etwas neuer ist ein Angriffsszenario, das Experten in letzter Zeit häufiger vorfinden konnten. Dabei wird das DNS-System als versteckter Datenkanal missbraucht. In diesen Fällen, die als „DNS Tunneling“ bezeichnet werden, umgehen Hacker die klassischen Verteidigungsmechanismen. Sie verwenden dabei den üblicherweise offenen DNS-Port, um Daten auszutauschen. In Rahmen solcher Angriffe werden dann Dateien in kleine Stückchen von nur wenigen Bytes zerlegt und verschlüsselt. So gelangen sie schließlich über DNS-Anfragen und deren Antworten durch die Schutzfunktionen hindurch und können im Zweifelsfall auch entsprechende Schadroutinen starten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44899149 / Protokolle und Standards)