DNS als Malware-Filter

Ausgesiebt

Nicht nur Internet-User, auch Schadsoftware und Phishing-Angreifer setzen auf die Namensauflösung via Domain Name System. Dort hinterlegen sie täuschend ähnliche URLs etwa zu gefälschten Bankportalen und verstecken ihre Kommandoserver, zu denen sich die lokal installierte Malware verbindet. Und genau das ist ein Schwachpunkt, den Sie als Administrator ausnutzen können, indem Sie nichtlegitime DNS-Einträge blockieren.
Damit Sie als Admin stets über alle Parameter Ihrer IT Bescheid wissen, befasst sich IT-Administrator im Juni mit dem Schwerpunkt 'Monitoring'. Darin lesen Sie ... (mehr)

Das Domain Name System (DNS) ist Teil des zentralen Nervensystems des Internets und aus diesem nicht mehr wegzudenken. Die Auflösung von Domain-Namen zu IP-Adressen ist nicht nur wegen langer 128-Bit-Adressen von IPv6 relevant. Auch bei der geteilten Nutzung von IP-Adressen, wie im Shared-Hosting-Bereich, ist DNS tief in den Strukturen verankert. Virtuelle Hosts konfigurieren das Multiplexing für Apache, Nginx oder den Mailserver. Die Server Name Indication (SNI) für TLS erlaubt sogar die Verwendung unterschiedlicher Domain-Zertifikate auf derselben IP-Adresse. In unserem Security-Tipp zeigen wir Ihnen, wie Sie mittels DNS für mehr Sicherheit sorgen.

DNS-Blocklisten

Als Administrator kennen Sie sicher die DNS-Blocklisten von der Konfiguration des E-Mail-Servers. Bei jeder eingehenden E-Mail wird der sendende Mailserver überprüft. Ist er auf einer der konfigurierten Sperrlisten eingetragen, wird die E-Mail abgelehnt oder als Spam markiert zugestellt. Diese Maßnahmen sind sehr effizient, um vorab einen Großteil des auflaufenden Spam-Aufkommens auszufiltern.

Sperrlisten lassen sich aber nicht nur zur Spam-Bekämpfung einsetzen, sondern auch zur Absicherung von Remote-Zugängen oder Web-Diensten. Bekannte Anbieter von DNS-basierten "Realtime-Blackhole-Listen" (DNSRBL) sind "dns­rbl.org" oder "spamhaus.org". Diese bieten ein DNS-Interface zur Überprüfung von Kommunikationspartnern an. DNS eignet sich dafür besonders gut, da es sehr schnell arbeitet und maßgeblich von dezentralem Caching profitiert.

Um zu überprüfen, ob eine IP-Adresse auf einer Blocklist steht, erzeugen Sie zunächst die sogenannte Reverse-IP als Unterdomain des jeweiligen Blocklisten-Anbieters. Die Reverse-IP ist die ursprüngliche IP-Adresse in umgekehrter Bytefolge, die Reverse-IP von 93.184.216.34 lautet also 34.216.184.93. Sie überprüfen diese nun bei spamhaus.org durch

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019