Schutzmöglichkeiten für das DNS
Das DNS (Domain Name System) ist eine zentrale Komponente des Internet. Es ist weltweit auf tausenden von miteinander kommunizierenden Servern verteilt und organisiert den Namensraum des Internet. Der Namensraum ist hierarchisch aufgeteilt in sogenannte Zonen, die von unabhängigen Administratoren verwaltet werden.
Die Zuordnung von Namen zu physikalischen sogenannten IP-Adressen im DNS funktioniert ähnlich wie ein Telefonbuch. Der Aufruf z.B. einer Webadresse wird vom DNS in eine IP-Adresse umgesetzt, die internetweit den Zugriff auf die entsprechende Domäne ermöglicht.
Dieser Blog-Eintrag beschreibt die Funktion und Wichtigkeit
des DNS, mögliche Angriffsformen darauf durch Hacker und welche Schutzmassnahmen
gegen die Attacken getroffen werden sollten.
Wie gross ist das tatsächliche Risiko von DNS-Attacken und welche Auswirkung können sie haben?
Gerade weil das DNS eine so zentrale Funktion im Internet wahrnimmt, ist es besonders häufigen Hackerangriffen ausgesetzt und muss entsprechend gesichert werden. Unterschiedliche Angriffsarten haben zum Ziel, die Verkehrsdaten aufzuzeichnen, den Zugriff auf eine Webseite zu blockieren oder auf ein falsches Ziel umzulenken. Das falsche Ziel kann eine gänzlich gefakte, aber fast identisch aussehende Webseite sein. Darauf können beispielweise Kunden unwissentlich Zahlungen an falsche Adressaten in Auftrag geben. Eine andere Möglichkeit des Phishings ist, dass Mitarbeitende zur Eingabe ihrer Zugangsdaten aufgefordert werden, die im Hintergrund für späteren Missbrauch aufgezeichnet werden. Nachfolgend sind einige der möglichen Angriffsarten kurz erklärt:
Cache Poisoning oder Spoofing
DNS-Server besitzen einen sogenannten Cache-Speicher,
in dem Anfragen zwischengespeichert werden, damit erneute Aufrufe schneller
abgearbeitet werden können. Eine der bekanntesten Hackermethoden ist die
Veränderung dieser Zwischenspeicherinhalte, sodass der Website-Aufruf auf eine
falsche, bösartige Seite umgeleitet wird. Im Beispiel unten wurde der Cache-Speicher
auf der Hierarchiestufe «.ch» manipuliert. Der Eintrag zeigt nicht
mehr auf die gewünschte «switch.ch», sondern auf eine andere Domäne:
Zero Day Exploits
Bezüglich Cybersecurity herrscht ein ständiger Wettlauf zwischen dem Bekanntwerden von Sicherheitslücken und der Bereitstellung von Abhilfen dazu (Security Patch oder «Pflaster»). Ein Zero Day Exploit nutzt das kurze Zeitfenster zwischen Auftreten einer Schwachstelle und deren Behebung für einen gezielten Angriff.
DoS-/DDoS-Attacken
Bei einer Denial-of-Service-Attacke wird ein System, z.B. ein Mailserver, mit unzähligen Anfragen oder Datenpaketen «bombardiert», damit er schliesslich in seiner eigentlichen Funktion beeinträchtigt, blockiert und sogar unbrauchbar gemacht wird. Solche Angriffe können auf der Anwendungs- und/oder auf der Netzwerkebene erfolgen.
Häufig werden Angriffe auch verteilt auf eine riesige Anzahl gekaperter und dann ferngesteuerter Systeme, sogenannte Bot-Netze. Durch diese Multiplikation werden hohe Datenvolumina erreicht, oft mehrere 100 Gbit/s. Einen derart verteilten Angriff nennt man Distributed Denial of Service oder DDoS-Attacke.
Domain Phishing
Eine real existierende Domäne wird mit falschen («gefakten») Inhalten ein zweites Mal aufgebaut. Ist sie sehr gut erstellt, kann sie kaum vom Original unterschieden werden. Dann werden die Aufrufe durch gefälschte DNS-Einträge auf diese Fake-Seite umgeleitet, wo die Benutzenden nicht merken, dass ihre Eingaben «gephisht», also gestohlen werden. Mit den illegal gewonnenen Daten kann dann der eigentliche Angriff erfolgen. So können zum Beispiel Bankkonten leergeräumt werden.
Schutz des DN
Die obige Aufzählung beinhaltet nur einige der wichtigsten Angriffsarten und ist nicht umfassend. Tatsächlich muss noch von viel mehr und häufig auch noch unbekannten Angriffsarten ausgegangen werden. Man spricht von einem eigentlichen Rennen zwischen Angreifern und Schutzmechanismen, ähnlich zum Beispiel der Weiterentwicklung von Grippeimpfstoffen. Es ist fast unmöglich, Angriffe vorauszuahnen, bevor sie zum ersten Mal erfolgen. Nachfolgend sind einige der gängigsten Schutzmechanismen kurz erläutert. Jedes der Themen kann mit einschlägiger Literatur weiter vertieft werden, wenn im Suchfenster des Browsers die Titelbezeichnung des jeweiligen Abschnitts eingegeben wird:
DNS Firewalls
DNS-Server müssen – ebenso wie die eigentliche Domäne – durch eine leistungsfähige und stets aktuell gehaltene Firewall geschützt werden, um viele der möglichen Angriffe, z.B. durch Malware, schon gar nicht in die Server gelangen zu lassen.
Verfügbarkeit des DNS-Servers
Äusserst wichtig bei der Auswahl des DNS-Providers ist die Verfügbarkeit des Services. Wenn DNS-Server nicht hochverfügbar ausgelegt sind und ausfallen können, hat das dieselben Auswirkungen wie ein (D)DoS-Angriff: Die Domäne ist nicht mehr erreichbar. Qualität, Sicherheit und Verfügbarkeit des DNS-Servers müssen unbedingt im Rahmen der Cyber-Security-Strategie abgeklärt werden.
Monitoring und Logging von DNS-Abfragen
Das aufwändige Logging und Monitoring kann angewandt werden, um zum Beispiel im Verdachtsfall Rückschlüsse auf die Täterschaft zu ziehen. Diese Methode ist allerdings wegen der hohen Datenvolumina und Übertragungsgeschwindigkeiten sehr aufwendig und wird vor allem im cyberforensischen Bereich angewandt.
Domain Name Security Extensions (DNSSEC)
DNSSEC versieht die DNS-Einträge mit fälschungssicheren, digitalen Signaturen. Diese Schutzmassnahme ist hochwirksam, weil veränderte Signatureinträge eines Angreifers sofort erkannt und unschädlich gemacht werden können.
Funktionsweise DNSSEC
In der Namensauflösungskette von einem DNS-Server zum nächsten wird ständig überprüft, ob die Antwort der nächsttieferen Hierarchiestufe korrekt signiert und damit unverfälscht ist. Im Beispiel unten erfolgt der Aufruf vom Benutzenden über den DNS-Server des Internetanbieters und den Root Server der Zone Schweiz zum DNS-Server der Zone «.ch». Bis hierhin sind die Einträge korrekt, bestätigt durch die digitalen Signaturen.
Der DNS-Eintrag der Hierarchiestufe «.ch» ist jedoch falsch, er zeigt auf eine fremde Domäne. Dies «sieht» der DNS-Server des Internetproviders, weil er eine ungültige Antwort erhält. Der Fehler wird daraufhin dem Benutzer mitgeteilt, der dadurch weiss, dass er in die Irre geleitet werden sollte. Er kann nun entsprechende Schutzmassnahmen ergreifen.
Fazit
Das Domain Name System DNS dient als Adressbuch im Internet und ermöglicht das Auffinden von Domänen durch einfache Namenseingabe wie z.B. www.nic.ch. Gerade weil das DNS eine so zentrale Funktion wahrnimmt, ist es besonders häufigen, perfiden und zum Teil höchst ausgeklügelten Angriffen ausgesetzt.
Der Blog-Eintrag erklärt einige mögliche Angriffsarten und
deren Auswirkungen. Die aufgeführten Abwehrmassnahmen können Attacken
verunmöglichen oder zumindest deren Effekte minimieren. Die dadurch erreichte
Sicherheit ist aber immer nur als Momentaufnahme zu betrachten und muss ständig
neu überprüft werden. Die DNS-Sicherheit muss darum ein zwingender Bestandteil
jeder umfassenden Cyber-Security-Strategie sein.
Literaturquellen, Links
https://de.wikipedia.org/wiki/Domain_Name_System
https://www.nic.ch/de/faqs/dnssec/details/
https://www.infoguard.ch/de/blog/dns-security-lassen-sie-hacker-nicht-durch-die-hintertuer
Autor: Claude Hafner
Blogpost wurde erstellt
im Rahmen vom CAS Cybersecurity & Information Risk Management.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Cristian Manganiello (PwC)
Andreas Wisler (goSecurity GmbH)
Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung:
CAS Cybersecurity & Information Risk Management
Starttermin ist jeweils im Frühjahr.
Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.