Laut Gartner ist das "Internet of Things" (IoT) bis Ende 2016 auf etwa 6,4 Milliarden mit dem Internet verbundene „Dinge“ angewachsen – jeden Tag werden es 5,5 Millionen mehr. Dabei handelt es sich großteils um Produkte, die bisher nichts mit dem Internet zu tun hatten, wie Thermostate, Aquarien oder Produktionsanlagen. All diese Dinge verfügen heute über IP-Adressen und nutzen HTML. Und sie kommunizieren nicht nur mit uns, sondern auch untereinander.
Bei allen unumstrittenen Vorteilen hat das Internet der Dinge auch bereits seine Schattenseiten gezeigt. Denn es kann gleichzeitig Ausgangspunkt und Ziel von Cyberkriminellen sein: Gerade in den letzten Monaten erschütterten zahlreiche gewaltige DDoS (Distributed Denial of Service)-Angriffe die Welt der IT.
Durchgeführt wurden diese von Abermillionen gekaperter Geräte – vom Stromzähler über das Babyphone bis hin zum Heimkino. Immer mehr vernetzte Geräte erlauben es Hackern, eine große Menge an Bots zusammenzuschließen und damit ihre böswilligen Angriffe zu starten. IoT-Geräte können aber auch Zielobjekt einer Attacke sein: So ließ eine DDoS-Attacke auf die Computersteuerung der Heizungsanlage mehrerer Wohngebäude im südostfinnischen Lappeenranta die Bewohner mehrere Tage bei Minusgraden frieren. Und erst Ende Oktober 2016 hatte eine weitere großangelegte Attacke auf den DNS-Provider Dyn Online-Dienste wie Netflix, Amazon, Twitter, Paypal und Spotify lahmgelegt.
Angriffspunkt Domain Name System (DNS)
Gerade dieser Angriff hat die Aufmerksamkeit auf eine der offenen Flanken in Sicherheitssystemen gelenkt: das Domain Name System (DNS). Das DNS löst IP-Adressen in Domain-Namen oder Domain-Namen in IP-Adressen auf. Gibt ein Nutzer eine bestimmte URL in seinen Browser ein, liefert das DNS die entsprechende IP-Adresse des Servers. Das funktioniert, wie erwähnt auch in die andere Richtung. Um den Hostnamen zu erkennen, muss der Server eine DNS-Anfrage starten: der Reverse Lookup spricht die IP-Adresse des Clients an. Das DNS ist hierarchisch aufgebaut und entspricht quasi einem Telefonbuch für das Internet. Ein gezielter Angriff auf die oberste Ebene des Systems kann große Teile des Internet lahm legen.
DDos-Attacken über DNS sind im Prinzip recht einfach umzusetzen. Angreifer versenden Anfragen an Name-Server im Internet, die wiederum Antworten zurücksenden. Dafür verwenden sie nicht die eigene IP-Adresse. DNS-Anfragen werden über das UDP (User Datagram Protocol), ein ungesichertes und verbindungsloses Netzwerk-Protokoll, gesendet und können sehr leicht gefälscht werden. Es ist ebenso einfach den Absender einer DNS-Anfrage zu verschleiern, wie auf einer Postkarte einen falschen Absender anzugeben.
Allerdings bleibt es selten bei einer einzelnen Anfrage, denn der Angreifer muss sein Sendevolumen vergrößern, damit auch ein entsprechend massives Antwortvolumen zurückkommt. Das geschieht mit Hilfe von Verstäkung (Amplification), denn dafür ist das DNS von Natur aus anfällig. Bisher ist – trotz der genannten Attacken – das Schlimmste noch nicht passiert: Die Angriffe hätten durch DNS-Amplification um das Vielfache größer sein können und erheblich gravierendere Schäden anrichten können.
Wissen, was im Netzwerk passiert
Um das Netzwerk fit – und sicher – für das IoT zu machen, muss man zunächst einmal einen Überblick haben, was im Netzwerk überhaupt passiert. Man muss Bescheid wissen über sämtliche angeschlossene Geräte und Dienste, eine Übersicht über die virtuellen und dynamischen Umgebungen und Infrastrukturen sowie über die unzähligen Protokolle, Warnungen und Hinweise haben.
Heute lassen sich alle Layer-2- und Layer-3-Geräte wie zum Beispiel Router, Switches, Firewalls und Load Balancer, die sich mit dem Netzwerk verbinden, zentral erfassen, in einer einzigen Datenbank integrieren und automatisch dokumentieren. Durch die Echtzeit-Integration von DNS-, DHCP- (Dynamic Host Configuration Protocol) und IPAM- (IP-Address-Management) zusammen mit Netzwerk-Infrastrukturdaten kann maximale Transparenz im gesamten Netzwerk erzielt werden. Eine wichtige Grundvoraussetzung, um IoT-Projekte erfolgreich umzusetzen.
Für Unternehmen ist es unabdingbar zu wissen, wie groß ihre reguläre Menge an DNS-Anfragen ist. Nur so kann der Netzwerkadministrator erkennen, wenn das normale Volumen deutlich überschritten wird und eine Attacke erfolgt. Mit der DNS-Software BIND stehen hierzu Statistiken und Analysen in Echtzeit zur Verfügung. Somit wissen die Netzwerkverantwortlichen, wie viele Anfragen durchschnittlich über die eigenen IP-Adressen gestellt werden und können Ausreißer identifizieren, die zum Beispiel auf einen DDoS-Angriff schließen lassen. Autoritative Name-Server verfügen über das sogenannte Respons-Rate-Limiting (RRL), das in den BIND-Name-Server integriert ist. Dieses verhindert die Amplifizierung durch die Deckelung der Anzahl an Antworten, die an eine einzige IP-Adresse geschickt werden kann.
Das Internet der Dinge bringt einen riesige Zahl an IoT-Geräten, -Anwendungen und -Daten mit sich, die alle verwaltet, aktualisiert und konfiguriert werden müssen – natürlich über das Netzwerk. Führt man die unterschiedlichen Daten in einer Datenbank zusammen, werden Probleme wie IP-Konflikte oder überlappende IP-Adressbereiche auf einen Blick sichtbar und nicht-verwaltete Geräte oder Server werden gekennzeichnet (Automatic Labeling). Daneben sorgt eine umfassende Automatisierung der Netzwerk-Konfiguration nach festgelegten Regeln und Best Practices für eine schnellere Bereitstellung von Ressourcen und für das Einhalten von Compliance-Vorgaben.
IoT-Geräte effektiv absichern
Neben der Transparenz sind Sicherheit und Verfügbarkeit ebenfalls unerlässlich für die Netzwerkinfrastruktur. Da der Großteil der Malware-Attacken über das DNS erfolgt, sollte DNS-Sicherheit grundlegend im Netzwerk verankert sein. Eine DNS Security-Lösung bietet Schutz vor DNS-basierten Attacken und unterstützt gleichzeitig die hohe Verfügbarkeit sämtlicher Netzwerkdienste, die quasi alle auf DNS basieren.
Angriffe wie DDoS, Exploits, Cache Poisoning, DNS-Tunneling oder fehlerhafte DHCP-Clients werden sofort erkannt und abgewehrt. Die Abwehr von Angriffen erhält die Systemintegrität und -verfügbarkeit selbst bei extremen Attacken. Eine Security-Lösung für das DNS unterbricht die Kommunikation von Malware in einem APT (Advanced Persistent Threat) mit externen Command-and-Control-Servern (C&C) und Botnetzen durch das Abfangen von DNS-Anfragen, die der Kategorie „Angriff“ zugeordnet werden.
Dieser effektive Schutz funktioniert über DNS Response Policy Zones (RPZ) und eine intelligente Bedrohungsanalyse für Ziele, die als böswillig eingestuft werden. Der intelligente Threat Feed aktualisiert laufend die Blacklist mit aktuell bekannten feindlichen Angreifern. Ein Beispiel hierfür ist die Malware Mirai, die für die Angriffe auf die US-Internetriesen im Oktober 2016 verantwortlich war. Zusätzlich gewinnen IT-Teams umfangreiche Transparenz über infizierte Geräte mit Device-Fingerprinting (OS- und Device-Type).
Ein effizienter, sicherer Zugang zu IoT-Geräten und ihren Diensten ist mittels Zugriffskontrolle und eindeutiger Zuordnung der IP-Adressen unerlässlich für die Sicherheit. Damit können Netzwerkverantwortliche riesige Mengen an IoT-Geräten verwalten und schützen. Dies ist ein Lösungsansatz für das klassische Problem des IoT: Die Verwaltung der Geräte und Gateways über die herstellerspezifische Software – denn deren Management-Möglichkeiten sind oftmals begrenzt. Leider sind hier die vielen Geräte in privater Nutzung nicht abgedeckt – die Wahrscheinlichkeit eines Angriffs über ein IoT-Botnetz bleibt. Und damit auch die Notwendigkeit, das DNS, das in vielen Unternehmen die offene Flanke ist, zu sichern.
Grundsätzlich können Unternehmen nur vom IoT profitieren, wenn sie ihr Business und die IT noch viel stärker miteinander verknüpfen als bisher. Geschäftsvorgänge werden zukünftig zwingend und massiver auf die IT und das Netzwerk angewiesen sein. Ein dynamisches, hochskalierbares und gleichzeitig stabiles und sicheres Netzwerk wird damit zu einem entscheidenden Wettbewerbsvorteil. (haf)