Was ist DNS-Sicherheit?

Wenn die meisten Menschen das Internet nutzen, verwenden sie Domänennamen, um die Website anzugeben, die sie besuchen möchten, zum Beispiel checkpoint.com. Bei diesen Domänennamen handelt es sich um benutzerfreundliche Adressen, die vom Domain Name System (DNS) Internet Protocol (IP)-Adressen zugeordnet werden, die Computer und andere Netzwerkinfrastrukturkomponenten verwenden, um verschiedene mit dem Internet verbundene Geräte zu identifizieren. Zusammenfassend ist das Domain Name System das Protokoll, das das Internet nutzbar macht, indem es die Verwendung von Domainnamen ermöglicht.

Organisationen vertrauen weitgehend auf DNS und der DNS-Verkehr kann in der Regel ungehindert durch die Netzwerk- Firewall passieren. Allerdings wird es häufig von Cyberkriminellen angegriffen und missbraucht. Daher ist die Sicherheit von DNS eine entscheidende Komponente der Netzwerksicherheit.

 

Demo anfordern Mehr erfahren

Was ist DNS-Sicherheit?

Wie DNS bei Angriffen verwendet wird

Zu den Bedrohungen gehören Angriffe auf die DNS-Infrastruktur:

  • Distributed Denial of Service (DDoS): Die DNS-Infrastruktur ist für das Funktionieren des Internets unerlässlich. DDoS-Angriffe gegen DNS können Websites unerreichbar machen, indem sie die DNS-Server, die sie bedienen, nicht verfügbar machen, indem sie das Netzwerk mit scheinbar legitimem Datenverkehr überlasten. Ein klassisches Beispiel hierfür ist der DDoS-Angriff auf Dyn im Jahr 2016, bei dem eine Armee von Bots, die auf mit dem Internet verbundenen Kameras gehostet wurden, Ausfälle auf vielen großen Websites verursachte, darunter Amazon, Netflix, Spotify und Twitter.
  • DNS-DDoS-Verstärkung: DNS verwendet UDP, ein verbindungsloses Protokoll, für den Transport, was bedeutet, dass ein Angreifer die Quelladresse einer DNS-Anfrage fälschen und die Antwort an eine IP-Adresse seiner Wahl senden kann. Darüber hinaus können DNS-Antworten viel umfangreicher sein als die entsprechenden Anfragen. DDoS-Angreifer machen sich diese Faktoren zunutze, um ihre Angriffe zu verstärken, indem sie eine kleine Anfrage an einen DNS-Server senden und eine massive Antwort an das Ziel zurücksenden lassen. Dies führt zu einem DoS des Zielhosts.
  • Andere Denial-of-Service-Angriffe (DoS): Neben netzwerkbasierten DDoS-Angriffen können auch Anwendungen, die auf DNS-Servern ausgeführt werden, Ziel von DoS-Angriffen sein. Diese Angriffe zielen darauf ab, Schwachstellen in der DNS-Serveranwendung auszunutzen, sodass sie nicht in der Lage sind, auf legitime Anfragen zu reagieren.

Auch DNS kann missbraucht und für Cyberangriffe genutzt werden. Beispiele für den Missbrauch von DNS sind:

  • DNS-Hijacking: Unter DNS-Hijacking versteht man jeden Angriff, der einem Benutzer vorgaukelt, dass er sich mit einer legitimen Domäne verbindet, während er tatsächlich mit einer bösartigen Domäne verbunden ist. Dies kann durch einen kompromittierten oder böswilligen DNS-Server erreicht werden oder indem ein DNS-Server dazu gebracht wird, falsche DNS-Daten zu speichern (ein Angriff, der als Cache-Poisoning bezeichnet wird).
  • DNS-Tunneling: Da es sich bei DNS um ein vertrauenswürdiges Protokoll handelt, erlauben die meisten Organisationen, dass es frei in ihr Netzwerk eindringt und es verlässt. Cyberkriminelle nutzen DNS zur Datenexfiltration mit Malware, deren DNS-Anfragen die exfiltrierten Daten enthalten. Da der Ziel-DNS-Server in der Regel vom Eigentümer der Ziel-Website kontrolliert wird, stellen die Angreifer sicher, dass die Daten einen Server erreichen, wo sie von ihnen verarbeitet werden können, und eine Antwort im DNS-Antwortpaket gesendet wird.
  • Sicherheitsumgehung mit zufälligen Domänennamen (DGA): Bedrohungsakteure verwenden ausgefeilte Algorithmen, um mithilfe eines Domänengenerierungsalgorithmus (DGA) Hunderttausende brandneue Domänennamen zu generieren. Malware, die sich auf einem infizierten Computer befindet, nutzt dann diese brandneuen Domänennamen, um der Erkennung zu entgehen und eine Verbindung zum externen Command-and-Control-Server des Hackers herzustellen. Herkömmliche Sicherheitslösungen sind nicht schnell genug, um festzustellen, ob diese Domänen bösartig sind oder nicht, und lassen sie daher standardmäßig passieren.

Die Bedeutung der DNS-Sicherheit

DNS ist ein altes Protokoll und wurde ohne integrierte Sicherheit erstellt. Zur Sicherung von DNS wurden mehrere Lösungen entwickelt, darunter:

  • Reputationsfilterung: Wie jeder andere Internetnutzer muss die meiste Malware DNS-Anfragen stellen, um die IP-Adressen der besuchten Websites zu finden. Organisationen können DNS-Anfragen blockieren oder an bekanntermaßen bösartige Domänen umleiten.
  • DNS-Inspektion: Die Verwendung von DNS zur Datenexfiltration über DNS-Tunneling oder zur Sicherheitsumgehung mithilfe von Domain-Generierungsalgorithmen kann auch in Echtzeit von der Firewall der nächsten Generation (NGFW) erkannt und blockiert werden, die Bedrohungsinformationen auf Basis von KI-Deep-Learning-Engines nutzt. Dies trägt dazu bei, selbst hochentwickelte Malware zu blockieren, die DNS für Malware-Command-and-Control-Kommunikation (C2) und andere Angriffe verwendet.
  • Sichern Sie das Protokoll: DNSSEC ist ein Protokoll, das die Authentifizierung für DNS-Antworten umfasst. Da die authentifizierte Antwort nicht gefälscht oder geändert werden kann, können Angreifer DNS nicht verwenden, um Benutzer auf bösartige Websites weiterzuleiten.
  • Sichern Sie den Kanal: DNS über TLS (DoT) und DoH (DNS über HTTPS) fügt einem unsicheren Protokoll eine sichere Ebene hinzu. Dadurch wird sichergestellt, dass die Anfragen im Gegensatz zu herkömmlichem DNS verschlüsselt und authentifiziert werden. Durch die Verwendung von DoH und DoT kann ein Benutzer die Vertraulichkeit von DNS-Antworten gewährleisten und das Abhören seiner DNS-Anfragen blockieren (wodurch die von ihm besuchten Websites preisgegeben werden).

Analytics, Bedrohungsinformationen und Threat Hunting

Die Überwachung Ihres DNS-Verkehrs kann für Ihre Security Operations Center (SOC)-Teams eine wertvolle Datenquelle sein, wenn sie den Sicherheitsstatus Ihres Unternehmens überwachen und analysieren. Neben der Überwachung Firewall auf DNS Indicators of Compromise (IoC) können SOC-Teams auch nach Lookalike-Domains Ausschau halten.

Verhinderung der böswilligen Nutzung des DNS-Protokolls

Check Point Quantum Firewall der nächsten Generation erkennt böswilligen Datenverkehr und DNS-Tunneling-Angriffe über ThreatCloud KI, sein globales Bedrohungsinformationssystem. ThreatCloud KI analysiert DNS-Anfragen und sendet ein Urteil zurück an Firewall – um die DNS-Anfrage in Echtzeit zu verwerfen oder zuzulassen. Dies verhindert Datendiebstahl über DNS-Tunneling und Command-and-Control-Kommunikation zwischen einem internen infizierten Host und einem externen C2-Server.

We encourage you to ask for a demo of new DNS Security capabilities in Quantum release R81.20 and learn more about the threat analytics and threat hunting capabilities of Check Point Infinity SOC.

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Durch die weitere Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Für weitere Informationen lesen Sie bitte unseren Hinweis zu Cookies.
OK