Unsichere DNS-Server bedrohen das Internet

EnterpriseSicherheit

Dreiviertel der DNS-Server weltweit sind anfällig für Pharming- und DoS-Attacken.

Mehr als 75 Prozent der weltweit verteilten Domain Name Server (DNS) sind nicht ausreichend gesichert und machen es Hackern leicht, Pharming- und DoS-Bomben auf das Internet und die angeschlossenen Anwender abzuwerfen.

Laut einer Umfrage der Measurement Factory können sich dreiviertel der 1,3 Millionen gescannten DNS-Server nicht gegen eine Reihe von Angriffen wehren. Das wäre aber ziemlich nötig, denn die Server übernehmen eine der wichtigsten Aufgaben im Internet überhaupt. Sie übersetzen URLs wie silicon.de in eine IP-Adresse, denn das System kann nur Zahlen verarbeiten. Dann wird die Anfrage entsprechend weitergeleitet. Sollte das Telefonbuch des Webs nicht funktionieren, bleibt die Anfrage stecken und macht alle Funktionen diesbezüglich vorerst nicht abrufbar.

Eine identifizierte Lücke ist der wahllose Zugriff auf den so genannten Namensdienst. Normalerweise haben zwar alle Anwender Zugriff auf den Server, wenn sie eine Webseite ansteuern, aber nur ein kleiner ausgewählter Kreis (Ersatzserver oder bestimmte Hosts) hat Zugang zu dem darunter liegenden Namensdienst – um beispielsweise zu verhindern, dass den Zahlen zugewiesene URLs nicht verändert werden und Hacker den User umleiten könnten (Pharming). Eines der Sicherheitslecks erlaubt aber genau diesen Missbrauch.

Außerdem hat die Studie ermittelt, dass 40 Prozent der Server den so genannten Zonentransfer nicht ausreichend absichern. Wie beim Namensdienst sollen auch hier nur ausgesuchte Hosts den gesamten auf dem DNS-Server abgelegten Datensatz auf einen anderen DNS-Server kopieren können. Haben gekaperte Hosts Zugriff, können Hacker DoS-Attacken auf den Server niederprasseln lassen und ihn schließlich lahm legen.

Mit ein paar einfachen Regeln könne der DNS-Server sicherer gemacht werden, heißt es. So sollten beispielsweise externe DNS-Server in einen Name Server und einen ‘Forwarder’ gesplittet werden. Besser sei auch, dedizierte, speziell abgesicherte Server statt General purpose Server einzusetzen. Außerdem sollte immer die neueste DNS-Server-Software installiert sein und der Datenverkehr zu und von dem Server gefiltert werden.