Netzwerk-Absicherung

DNS Security auch für mobile Nutzer wichtig

29.06.2018 von Rainer Singer
Sie wird oft unterschätzt - doch sie war noch nie so wichtig wie heute: DNS Security. Denn das Domain Name System (DNS) ist das nächste große Einfallstor für Cyberattacken nach HTML und E-Mail. Wir erläutern, wie Sie sich davor schützen.

Schlägt das Thema Cyberattacken via DNS in Unternehmen auf, treten die Zuständigen an die Security-Hersteller heran und sagen: Wir möchten unsere DNS-Infrastruktur absichern. Was dabei konkret gemeint ist, sind eigentlich drei Dinge: Das eine sind DDoS-Attacken, was für alle Organisationen relevant ist, die mit externer Internetpräsenz arbeiten. Besonders wichtig ist eine Absicherung aber für Unternehmen, die ihren Umsatz direkt über ihre Webpräsenz generieren, beispielsweise Online-Shops. Wollen sie keine Umsatzeinbußen samt Imageschaden riskieren, sollten sie unbedingt darauf achten, dass ihre Online-Präsenzen nicht in unabsehbare Downtimes gedrängt werden - worauf es DDoS-Angriffe ja gerade anlegen.

Die Zunahme an Malware bereitet in vielen Organisationen zunehmend Bauchschmerzen.
Foto: kentoh - shutterstock.com

Unbemerkte Kontaktaufnahme zu C&C-Servern

Zweitens brennen den Unternehmen die Themen Data Exfiltration und Data Infiltration über DNS auf den Nägeln. Lange war diese gefährliche Sicherheitslücke, durch die Daten nahezu unbemerkt hin- und hergeschoben werden können, relativ unbekannt. Allerdings ist diese Schwachstelle in den meisten Unternehmen noch immer ungesichert - trotz Next-Generation-Firewalls und Co. Deswegen wird sie zunehmend von Hackern aktiv ausgenutzt. Denn die einzelnen Teile eines DNS-Requests, in denen raffinierte Cyber-Kriminelle kleine Datenpakete zum Hin- und Hertransport verstecken, passieren viele Sicherheitstools meist problemlos.

Drittens bereitet Malware vielen Organisationen zunehmend Bauchschmerzen: Clients, die über Fake-Webseiten, USB-Sticks oder Mailanhänge infiziert wurden, nehmen aus dem Unternehmen heraus Kontakt zu externen Command-and-Control-Servern (C&C-Server) auf und empfangen Anweisungen von diesen, zum Beispiel zur Spionage oder zum Zerstören von Dateien. Der Weg der fatalen Kommunikation zwischen den unbemerkt verbundenen Servern: das DNS.

Umgehende Quarantäne nach Treffer in der Threat-Datenbank

Nachdem die Threat-Szenarien immer ausgefeilter werden und sich in immer schnellerer Schlagzahl weiterentwickeln, sollte alles, was mit DNS-Anfragen zu tun hat, konsequent abgesichert werden. Sehr hilfreich dabei sind aktuelle Threat Intelligence Services. So lassen sich Malware und Co. in der Regel rechtzeitig erkennen und unschädlich machen, bevor größerer Schaden angerichtet wird. Jedenfalls dann, wenn die Threat-Datenbanken mit bekannten bösartigen Domainnamen, IP-Adressen und URLs möglichst vollständig und immer up-to-date sind. Sobald ein DNS-Request ein Unternehmen verlässt, sollte - im Idealfall automatisiert und in Echtzeit - überprüft werden, ob das digitale "Gegenüber" unbedenklich ist, ob die angesteuerte Domain oder IP-Adresse zum Beispiel Fake oder bekanntermaßen schädlich ist, oder ob Anzeichen einer Gefährdung vorliegen, auch wenn die konkrete Adresse (noch) nicht auffällig geworden ist. Liegt ein entsprechender "Treffer" vor, sollte der Administrator umgehend darüber informiert werden, dass Malware oder Ähnliches im Netz vorhanden ist, bzw. sollte parallel eine automatische Quarantäne greifen.

Microsoft Management Reporting und Cloud-basierte Tools unterstützen DNS-Absicherung

Doch so wichtig umfassende DNS Security ist: Sie ist keine Selbstverständlichkeit. Wer zum Beispiel mit MS Management DNS und DHCP über Microsoft macht, bekommt zwar einen gewissen Service zur DNS-Absicherung mit. Doch dieser ist in seiner Basis nicht besonders umfänglich. So sind darin nur einige zehntausend bekannte Threat-Adressen verzeichnet, während die Gefährdungslandschaft längst mehrere Millionen umfasst. Sinnvoll ist es daher in diesem Fall ein Microsoft Management Reporting einzuführen, mit dem auf Microsoft AD-Servern die ganzen DNS- und DHCP-Logs ausgewertet werden. So wird mehr Wissen über DNS und DHCP vermittelt, als es in der Microsoft-Basis eigentlich angelegt ist.

Wer so vorgeht und idealerweise noch eine konsequente Threat-Intelligence-Strategie fährt, der kann - eventuell auch Cloud-basiert - erkennen: Hier hat zum Beispiel ein Endsystem mit Malware einen DNS-Request losgeschickt. Im Zusammenspiel mit dem Microsoft Management Reporting lässt sich das herunterbrechen bis auf den infizierten Client, beziehungsweise die betroffene IP-Adresse im Netzwerk.

Mobile Nutzer stehen verstärkt im Focus von Angreifern

Stichwort Cloud: Gerade für mobile Nutzer kann DNS-Security als Cloud-Service besonders sinnvoll sein. Denn auch, wenn Unternehmen sich bereits mit dem Thema DNS-Absicherung befasst haben, denken viele dabei vor allem an ihre stationären User, die sich im Unternehmensnetzwerk befinden und dort auch (z. B. mit einer On-Premise-Lösung zur DNS-Security) abgesichert sind. Aber was ist mit den mobilen Nutzern und ihren Geräten? Eine Möglichkeit ist es, die abzusichernden Devices mit einem Client auszustatten, der automatisiert ein Forwarding zu einem entsprechenden Cloud-Dienst ausführt: In diesem werden die DNS-Requests ohne installierte Software, sondern Cloud-basiert analysiert, so dass auch mobile Nutzer in der DNS-Kommunikation unabhängig vom Standort abgesichert sind - und nicht nur stationäre Mitarbeiter, etwa im Headquarter oder an einem bestimmten Produktionsstandort. (hal)