Domain Name System als First Line of Defense

FirewallSicherheit
IT-Sicherheit(Bild: Shutterstock)

Remote Work: SaaS-Lösungen bringen VPNs an ihre Sicherheitsgrenzen. Die Unternehmens-IT steckt weltweit mitten in einem Experiment: Home-Office für eine Vielzahl der Mitarbeiter. Die Verantwortlichen müssen sich dabei ständig Gedanken machen, wie sie den Zugang zum Unternehmensnetzwerk sicher gestalten können. Virtuelle Private Netzwerke (VPNs) sind häufig das Mittel der Wahl.

Die Unternehmens-IT steckt weltweit mitten in einem Experiment: Home-Office für eine Vielzahl der Mitarbeiter. Die Verantwortlichen müssen sich dabei ständig Gedanken machen, wie sie den Zugang zum Unternehmensnetzwerk sicher gestalten können. Virtuelle Private Netzwerke (VPNs) sind häufig das Mittel der Wahl. VPNs verschlüsseln den Internetverkehr eines Benutzers und senden ihn über eine private Tunnel-Verbindung zum Unternehmensnetzwerk, so dass Mitarbeiter mit einem gewissen Maß an Sicherheit und Privatsphäre auf Unternehmensdaten und -anwendungen zugreifen können. Doch reicht das?

Cloud-basierte Anwendungen wie Office365, Salesforce oder Google Drive haben aktuell ebenso Konjunktur wie das Home-Office. Denn sie schaffen für die Unternehmen skalierbare und für die Mitarbeiter einfache Zugriffsmöglichkeiten auf Unternehmensressourcen. Die fatale Folge allerdings: Nutzer im Home-Office sind bei diesen Anwendungen aus der Cloud meist nicht abgesichert. Denn wie jede Form der Online-Kommunikation, arbeiten auch Software-Lösungen aus der Cloud mit Domain-Namen. VPNs sichern also meist nur für den direkten Zugriff auf interne Unternehmensplattformen ab, Dokumente in der Cloud hingegen bleiben ungeschützt.

Felix Bland, der Autor dieses Gastbeitrags, ist Senior Manager Systems Engineer CEUR bei Infoblox. (Bild: Infoblox)
Felix Bland, der Autor dieses Gastbeitrags, ist Senior Manager Systems Engineer CEUR bei Infoblox. (Bild: Infoblox)

Auch Cyberkriminelle haben mittlerweile VPNs als idealen Angriffspunkt ausgemacht. Mitte März etwa warnte die US-Behörde für Cybersicherheit und Infrastruktur (CISA) davor, dass Angreifer in der Pandemie verstärkt auf Schwachstellen in VPNs zielen. Denn ein weiteres Problem: VPNs sind 24 Stunden, rund um die Uhr, eingeschaltet, um stets eine sichere Verbindung zum Unternehmensnetzwerk zu ermöglichen. Zeitfenster für Patches gibt es kaum, was bedeutet, dass sie folglich nur selten auf dem aktuellsten Stand gehalten werden. Hinzu kommt, dass VPNs auf der klassischen On-Premise Sicherheitsinfrastruktur aufbauen, die aber für Zeiten wie diese zu wenig agil und nur langsam nach oben skalierbar ist. So lässt sich eine spontane und gleichzeitig sichere Erhöhung der Anzahl der Mitarbeiter im Home-Office auf diesem Weg kaum realisieren. Unternehmen, die eine flexible sowie umfassende Sicherheitsarchitektur anstreben, müssen also eine Alternative zum klassischen VPN-Tunneling suchen. Sonst öffnen sie in Zeiten von agilen SaaS-Lösungen Cyberkriminellen Tür und Tor: Das Domain Name System, kurz DNS, kann eine solche Grundlage für Netzwerksicherheit schaffen.

DNS ist mehr

IT-Profis betrachten das DNS meist nur als die Grundlage der Nameserver des Internets. Dabei ist DNS viel mehr und eignet sich hervorragend für Home-Office-Arbeit im großen Stil als erste Linie der Verteidigung. Denn eigentlich verbergen sich hinter DNS drei verschiedene Namensdienste.

1) Internes DNS: Leitet den Datenverkehr innerhalb des Unternehmensnetzwerks.
2) Rekursives DNS: Löst Internet-Domänen in IP-Adressen auf.
3) Externes DNS: Hilft zum Beispiel bei der Auflösung des Dateiübertragungsprotokolls (FTP) und von Webadressen, die öffentlich zugänglich werden können.

Auch etwa 90 % der Malware verwendet in irgendeiner Form DNS. Beispielsweise haben Cyberkriminelle das Domain Name System als guten Weg für Daten-Exfiltration oder als Kommunikationsweg von Botnets und Malware mit Führungsservern entdeckt.

Security-Grundlage DNS

DNS ist aber auch eine gute Grundlage für eine umfassende Netzwerk-Sicherheit. Wo VPN-Tunneling nur den kleinen Bereich der direkten Netzwerkverbindungen absichert, geht DNS-Security einen Schritt weiter. Denn das interne DNS ist die Tür zu Netzwerkressourcen und -protokollen. Sie liefern wichtige Informationen über Angriffe jeder Art. Sicherheitsexperten, die Sichtbarkeits- und Kontrollinformationen, die das DNS liefert, nutzen, können Bedrohungen früher erkennen und automatisiert reagieren. Das „Wer, Was, Wann, Wo und Warum“ des Netzwerkzugriffs wird damit zu einer wertvollen Threat Intelligence. Als netzwerkinhärentes Tool müssen für eine DNS-Security-Lösung keine weiteren Netzwerk-Ressourcen bereitgestellt werden. Auch die Koordination durch ein Expertenteam entfällt.

Ein weiterer Vorteil von DNS für eine effiziente Einführung von Sicherheitsarchitekturen: DNS ist der kleinste gemeinsame Nenner für den Netzwerkzugriff. Die Steuerung der Sicherheit beginnt somit auf der untersten Ebene. Eine Vielzahl an Bedrohungen kann bereits hier gestoppt werden. Die Basis dafür ist die Masse an Informationen, die DNS über IP-Adressen zur Verfügung steht.

SaaS – Gefahr durch DNS-Tunneling

Wie jede Form der Online-Kommunikation, arbeiten auch Software-Lösungen aus der Cloud, mit Domain-Namen. Deshalb ist das DNS ein besonders exponierter Punkt, an dem schädliche Dateien und ungewollter Datenverkehr zu identifizieren sind. Beliebter Weg der Angreifer: DNS-Tunneling. Cyber-Kriminelle haben es auf Daten aller Art abgesehen: Kreditkartendaten, Passwörter, Personaldaten,…. Diese müssen aus dem Unternehmen unbemerkt herausgeschleust werden. Das Domain Name System ist dafür der perfekte Weg, denn es bietet die idealen Voraussetzungen für einen Angriff.

Die Kommunikation zum DNS-Server muss stets funktionieren, denn das sogenannte „Telefonbuch des Internets“ übersetzt einfache URL-Adressen in die zugehörigen, sperrigen IP-Adressen. Dabei führt der Weg meistens über den Port 53. Die Gefahr: Port 53 ist in 10 von 10 Fällen offen. Angreifer nutzen diesen offenen „Highway 53“ indem sie eine Domain registrieren. Diese empfängt DNS-Pakete, die ein durch Malware infizierter Client nach außen schickt. Dabei müssen Daten zwar in unterschiedliche Größen aufgeteilt werden, was etwas mühselig ist, aber der Aufwand lohnt sich: Da der DNS-Server denkt, die Daten gehen an eine externe Domain, lässt er die Daten durch. Damit erreichen Kriminelle ihr Ziel und können in Ruhe ihren Machenschaften nachgehen.

Threat Intelligence Feeds und DNS Response Policy Zones (RPZ) helfen dabei, den Informationsaustausch via Domain Name System zu prüfen – und bösartige Anfragen gar nicht erst aufzulösen. Der Datenpool des Infoblox ActiveTrust Feed beispielsweise kennt derzeit über 4,5 Millionen schädliche Domain-Names, deren Anfragen umgehend isoliert und nicht bis zum angefragten Server durchgelassen werden. Egal, ob es sich um bekannte Angriffsvektoren oder um 0-Day-Attacken handelt, die mittels Behavioural Analyse bzw. Machine Learning erkannt werden können.

Skalierbarkeit und Entlastung in zweierlei Hinsicht

Können Next Generation Firewalls jeweils bis zu 200.000 Regeln verarbeiten, schaffen DNS-Anwendungen hingegen – ob physisch oder virtuell – viele Millionen von Indikatoren (Indicators of Compromises (IOCs)). Sie fangen damit DNS-Bedrohungen ab und blockieren sie, bevor sie Schaden anrichten können. DNS-Sicherheit kann in jede bereits bestehende Sicherheitsinfrastruktur integriert werden und diese sofort über akut auftretende IOCs informieren. Threat Intelligence wird so auf infizierten Geräten aktiviert, bevor Malware die Chance zur Verbreitung hat. DNS-basierte Sicherheit reduziert den Traffic von Next Generation Firewalls um bis zum 60-fachen. Damit wird eine Sicherheitsstrategie auf Basis von DNS skalierbar.

Und noch einen weiteren positiven Aspekt gibt es: SecOps-Teams werden deutlich produktiver, denn die Zeit, die sie auf die Lösung von Sicherheitsbedrohungen aufwenden müssen, verkürzt sich. So haben SecOps und CISOs wieder mehr personelle Ressourcen, um sich auf strategische, geschäftskritische Sicherheitsentscheidungen zu fokussieren.

Hinzu kommt, dass mittlerweile auch DNS-Sicherheit direkt aus der Cloud angeboten wird. Ein konsequenter Schritt, um Unternehmen eine noch skalierbarere Lösung ganz ohne neue physische Infrastruktur an die Hand zu geben.

Unterm Strich: DNS-Security nicht nur in Zeiten von Home-Office sinnvoll

Unternehmen, die DNS-Security aus der Cloud als Grundlage ihrer Netzwerksicherheit einsetzen, lösen mehrere Probleme auf einmal. Die Anzahl der Tools, die zur Abwehr von Cyber-Bedrohungen benötigt werden, wird reduziert, indem IOCs auf DNS-Ebene abgefangen und an automatisierte Tools zur Bedrohungsabwehr weitergeleitet werden. Dies wiederum reduziert die Anzahl der Bedrohungen, die vom Next Generation Firewalls bewertet werden müssen, enorm. Was letztendlich die Belastung der SecOps-Mitarbeiter reduziert und die Auswirkungen des Fachkräftemangels abschwächt. DNS-Sicherheit wird, als Grundlage für Netzwerksicherheit und als weitreichende Ergänzung zu den weitverbreiteten VPNs zur Absicherung von Remote Work, auch in Zeiten nach COVID-19 ein elementarer Bestandteil der Sicherheitsarchitektur von Unternehmen sein.

Autor
Erfahren Sie mehr 
Erfahren Sie mehr