Datenklau via DNS unterbinden

Geheimgang

Das Domain Name System – kurz DNS – bildet das Rückgrat des Internet. Doch lässt sich das System auch für Angriffe missbrauchen. So öffnen Methoden wie DNS Signaling und DNS Tunneling Angreifern die Hintertür in Unternehmensnetze, häufig an allen aufwendig implementierten Security-Produkten vorbei. Wir zeigen, wie die Angriffe funktionieren und was davor schützt.
Den Schutz vor Angreifern und Malware hat sich IT-Administrator im März auf die Fahnen geschrieben. So lesen Sie in der Ausgabe, mit welchen Handgriffen Sie ... (mehr)

Angriffe auf die – oder auch mittels – DNS-Infrastruktur sind auf dem Vormarsch. So warnte zum Beispiel der DDoS-Abwehrspezialist Arbor Networks schon 2015: HTTP und DNS sind die Hauptziele für Angriffe auf Anwendungsebene. Cisco stellte in seinem Sicherheitsbericht für das Jahr 2016 sogar fest, dass 91,3 Prozent der Malware DNS in Angriffen nutzt. Und obwohl es heute zumindest in größeren IT-Organisationen üblich ist, die Internetkommunikation mit Next Generation Firewalls und Co. zu kontrollieren, mussten über zwei Drittel (68 Prozent) der für den Cisco-Report befragten Administratoren eingestehen, keinen Einblick in den Datenverkehr der rekursiven DNS-Server zu haben. Hier klafft also eine Sicherheitslücke.

DNS als Angriffsvektor

Das Domain Name System bildet praktisch ein Overlay-Netzwerk über das öffentliche Internet und private Netzwerke von Unternehmen und Organisationen. Das Problem: Selbst wenn der Administrator um die Angreifbarkeit des DNS weiß, kann er den zugehörigen Port 53 nicht einfach per Firewall-Regel schließen – ebenso wenig, wie er den HTTP-Port 80 dichtmachen könnte. Der Admin würde dadurch das Netzwerk praktisch von der Außenwelt abkoppeln – DNS ist systemrelevant.

Die Möglichkeiten des DNS-Missbrauchs sind dabei wesentlich vielfältiger als der vergleichsweise plumpe Ansatz, DNS-Server per DDoS-Anfrageflut mit gekaperten Geräten aus dem Internet der Dinge lahmzulegen, wie dies beim Mirai-Botnet der Fall ist. Die Angriffsvarianten reichen von solchen Botnet-basierten Brute-Force-Angriffen über Distributed Reflection DoS in Kombination mit DNS Amplification (also Denial-of-Service-Angriffe, die zur Verstärkung der Angriffswirkung Anfragen an DNS-Server einsetzen, indem sie tausendfach ein möglichst umfangreiches DNS-Antwortvolumen provozieren) bis hin zur bösartigen Umleitung von DNS-Anfragen mittels DNS Hijacking oder DNS Cache

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019