CAS Information Security & Risk Management 2018: DNS: Aktuelle Technologien zur Erhöhung der Sicherheit

Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Ein weiterer Teil des 15-tägigen Lehrgangs ist es, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

DNS: Aktuelle Technologien zur Erhöhung der Sicherheit

Internet ohne DNS? Das ist wie ein Telefon ohne Adressbuch. Heutzutage kaum denkbar, dennoch erhält DNS nicht die notwendigen Schutzmassnahmen, die es eigentlich dringend benötigt. Es gibt heute unzählige Angriffsvektoren für DNS, und Hacker haben meist ein einfaches Spiel diese auszunutzen.

Angriffsmöglichkeiten

• DDoS – DNS-Server werden durch gezielte Angriffe überlastet und können so legitime Anfragen nicht mehr verarbeiten. Dies kann dazu führen, dass weitere Dienste, beispielsweise ein Onlineshop, nicht mehr erreichbar sind.
• DNS-Amplification – Ähnlich wie bei einem DDoS-Angriff, wird diese Technik verwendet, um den DNS-Server als Angreifer zu missbrauchen und so den Internetanschluss des Zieles zu überlasten.
• Cache Poisoning – Der anfragende Client erhält zur korrekten Antwort auch manipulierte Daten, die der Client zwischenspeichert und bei weiteren Anfragen ungeprüft verwendet.
• DNS-Spoofing – Ähnlich wie beim Cache Poisoning, wird dem Client eine falsche IP-Adresse zu einer dazugehörigen Domain mitgeteilt, um ihn auf eine gefälschte Webseite umzuleiten.
• Zero-Day-Exploits – Unbekannte Schwachstellen werden ausgenutzt, um die DNS-Infrastruktur zu manipulieren oder sogar um diese zu übernehmen.
• Fast Flux – Mehrere IP-Adressen werden mit einem Domaineintrag assoziiert und konstant ausgetauscht, damit die Anfragen umgeleitet werden und der Angriff unentdeckt bleibt. Clients werden daher konstant mit einer neuen IP-Adresse verbunden.

Da der DNS-Verkehr sehr häufig nicht genau überprüft, ob die Anfragen auch ihre Richtigkeit haben, wird dies zusätzlich für Command-&-Control-Verkehr missbraucht. So kann Malware unbemerkt an den Sicherheitskomponenten, beispielsweise einer Firewall, vorbeigeschleust werden. Mithilfe des MetaSploit-Frameworks kann beispielsweise ein solcher Angriff mit geringem Aufwand durchgeführt werden. Mehr über das MetaSploit-Framework.

Schutzmassnahmen Im vorherigen Abschnitt wurde nur ein Teil der unzähligen Angriffsmöglichkeiten aufgelistet, umso wichtiger sind daher die Schutzmassnahmen. Wie kann ich mich davor schützen? Wie kann meine Infrastruktur geschützt werden?

• DNSSEC – Ist eine Erweiterung für das DNS-Protokoll. Durch eine Signierung der Domainnamen, werden Authentizität und Integrität gewährleisten.

Der Trend zeigt, dass immer mehr .ch Domains DNSSEC einsetzen. Aktuelle Grafik von SWITCH (Stand 29.03.2018): Quelle: https://www.nic.ch/de/statistics/dnssec/

• DNS Firewall – Die Implementation einer Firewall, die DNS-Anfragen prüfen und blockieren kann ist unabdingbar. Aktuelle DNS Firewalls prüfen zusätzlich ob die Anfrage legitim ist (versteckt sich evtl. Command-&-Control-Verkehr darin?) und ob das Zielsystem eine schlechte Reputation hat. Durch einen dynamischen Abgleich mit einer zentralen Datenbank, auch Threat Intelligence Service genannt, kann die Sicherheit maximiert werden.
• Hybrid DNS – Hybride Ansätze nutzen zwei oder mehrere DNS Engines, um einen möglichen Zero-Day-Exploit zu minimieren. So kann bei einer Zero-Day-Verwundbarkeit die betroffene Engine deaktiviert werden, und der Server ist nicht mehr verwundbar.
• DDoS-Schutzsystem – Viele Internetprovider bieten bereits einen DDoS-Schutz an, dieser muss meistens zusätzlich zum Internetanschluss bestellt werden. Es gibt auch Systeme, die den Verkehr nach DoS-Attacken prüfen und diesen unterbinden, damit der angesteuerte Server nicht überlastet wird.

Der Schutz von DNS kann nur mit mehreren Massnahmen effektiv erhöht werden. Cyberkriminelle kennen das Potenzial von ungesicherten DNS-Systemen schon längst. Durch die vielen verschiedenen Angriffsmöglichkeiten können auch einfache Schutzmassnahmen umgangen werden.

---

Blogpost wurde erstellt im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Der CAS findet in der Regel zweimal im Jahr statt. Starttermine: März & September Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.