DNS-Sicherheit: 10 Tipps, wie Sie Ihr Unternehmen vor Angriffen schützen

DNS-Cyber-Angriffe nutzen entweder das DNS-Protokoll oder Lücken in Ihrer Nameserver-Software aus. Ein einfaches Beispiel: ein Hacker sendet Ihrem Nameserver eine Flut kleiner DNS-Anfragen, die ihn dazu veranlassen, grosse Antwortnachrichten zu senden, wobei jede Antwort bis zur 70-fachen Grösse der Anfrage haben kann. Der daraus resultierende Verkehr kann Ihr Netzwerk in die Knie zwingen. Das DNS-Protokoll und die eingesetzte Nameserver-Software unterliegen Risiken, die Ihr Netzwerk lahmlegen, vertrauliche interne Informationen über Ihr Unternehmen preisgeben oder Ihr gesamtes Netzwerk in ein riesiges Botnetz verwandeln können. Wenden Sie diese Best-Practice-Richtlinien an, um sich vor Hackern, Kriminellen und Industriespionen in Ihrem Unternehmen zu schützen.

1. Halten Sie eine alternative Nameserver-Software bereit

Netzwerkadministratoren sollten mindestens zwei verschiedene Nameserver-Softwareprodukte einsetzen und bereit sein, zwischen diesen zu wechseln. Wenn eine neue Sicherheitswarnung ausgegeben wird, können sie zu der zweiten Software wechseln, die von der Warnung nicht betroffen ist. Parallel dazu kann der DNS-Admin ein Sicherheitsupgrade auf die anfälligen Nameserver patchen, testen und validieren. Darüber hinaus verwirrt dieser hybride DNS-Ansatz Hacker, indem er ihnen unterschiedliche „Fussabdrücke“ aus dem Netzwerk zur Analyse gibt. Diese führen Hacker zu völlig anderen, schwer zu analysierenden Antworten.

2. Halten Sie Ihre Nameserver-Software auf dem neuesten Stand

Innerhalb von 24 Stunden nach der offiziellen Veröffentlichung eines Updates oder eines Korrektur-Patches für die von Ihnen verwendete Nameserver-Software sollten Sie eine neue Version installieren.

3. Verwenden Sie DNSSEC-kompatible und TSIG-kompatible Nameserver-Software

Domain-Name-System-Security-Extensions (DNSSEC) verwendet digitale Zertifikate zur Authentifizierung von DNS-Abfragen und -Antworten. Transaction-Signature (TSIG) stellt sicher, dass DNS-Aktualisierungen gültig und authentisch sind. DNSSEC und TSIG geben Ihnen ein hohes Mass an Sicherheit, dass die Systeme in Ihrem Netzwerk die richtigen IP-Adressen verwenden.

4. Einsatz von DNS-Anycast

Router verwenden Anycast, mit dem mehrere Server dieselbe IP-Adresse gemeinsam nutzen können, um Netzwerkverkehr an den relevantesten Server und nicht an einen bestimmten Server zu senden.  Ein Netzwerk, in welchem Anycast zur Anwendung kommt, ist ausfallsicherer, da Router den Datenverkehr flexibel und dynamisch an den nächsten verfügbaren Server senden. Wenn Sie einen Server (oder ein Rechenzentrum) aus dem Netzwerk entfernen, fliesst der Datenverkehr zum nächstgelegenen Server. Anycast hilft, den Effekt des DDoS-Angriffs auf mehrere Server zu verteilen, wodurch die Verkehrsflut verringert wird, die jeder Server oder jedes Rechenzentrum auffangen muss.

5. Trennen Sie rekursive von autorisierenden Nameservern

Autorisierende Nameserver durchsuchen nur ihren lokalen Datenspeicher, um eine DNS Anfrage zu beantworten. Rekursive Nameserver hingegen durchsuchen ihren lokalen Datenspeicher und weitere Nameserver, die Antworten können zusätzlich im lokalen Cache gespeichert werden. Sie sollten verschiedene autorisierende und rekursive Nameserver verwenden, um diese Rollen gemäss einer logischen Ansicht Ihres Netzwerks zu trennen und zu isolieren. Auch sollten Sie die autorisierenden Nameserver so konfigurieren, dass DNS-Aktualisierungen nur von anderen autorisierenden Nameservern (oder Administratoren) akzeptiert werden. Da autorisierende Nameserver nicht zwischenspeichern, also keinen lokalen Cache führen, wirken sich betrügerische oder beschädigte DNS-Einträge in einem rekursiven Nameserver nicht auf die autorisierenden Nameserver aus.

6. Setzen Sie ein Antwortlimit für DNS-Abfragen

Sie sollten RRL (Response-Rate-Limiting) verwenden, um die Geschwindigkeit zu drosseln, mit der ein autoritativer Nameserver Anfragen von einer bestimmten IP-Adresse beantwortet. Heutige Nameserver sollten alle RRL unterstützen. Mit RRL merkt sich der Nameserver, wie oft er dieselbe Antwort an dasselbe, abfragende System gesendet hat. Wenn diese Rate den von Ihnen konfigurierten Schwellenwert überschreitet, wartet der Nameserver einige Zeit, bevor er wieder eine Antwort sendet. Der RRL-kompatible Nameserver ist somit gegen viele Arten von DDoS-Angriffen immun.

7. Verbergen Sie Ihren primären DNS-Server vor der Öffentlichkeit

Sie sollten Ihre öffentlich sichtbaren DNS-Server als Slaves konfigurieren und Ihren primären DNS-Server als versteckten Stealth-Master-Nameserver festlegen, für den in keiner öffentlich zugänglichen DNS-Datenbank Nameserver-Einträge vorhanden sind. Im Internet sind nur die Slave-Nameserver bekannt. Diese Slave-and-Stealth-Master-Architektur verhindert öffentliche Abfragen Ihrer (Master-) Nameserver. Sie schützt auch die Integrität der DNS-Datenbanken der Slave-Nameserver, da nur der versteckte Master-Server die Slave-Server (über eine Notifizierung) aktualisieren kann.

8. Installieren Sie keine weitere Software auf den Nameservern

Die einzige Software, die auf Ihren Nameservern ausgeführt wird, sollte das Betriebssystem und die Nameserver-Software selbst sein. Die Nameserver sind ausschliesslich für die Namensauflösung Ihres Netzwerks vorgesehen. Jede andere Software, die auf einem Nameserver ausgeführt wird, lädt zu Hacking-Versuchen ein. Sie kann auch die Leistung von Nameservern beeinträchtigen und möglicherweise sogar das Nameserver-System zum Absturz bringen, wenn Fehler behoben werden. Ebenso sollten die einzigen Verbindungen eines Nameservers zur Aussenwelt aus den Netzwerkverbindungen bestehen, über welche der Nameserver aktualisiert wird und über die er DNS-Anfragen beantwortet. Das Vorhandensein zusätzlicher offener Ports und/oder zusätzlicher angeschlossener Netzwerkverbindungen bietet Angriffsflächen für Hacker.

9. Übermässige Auslastung Ihrer Nameserver-Umgebung verhindern

Ein erfolgreicher DDoS-Angriff überfordert die Performance eines Nameservers. Wenn Sie Ihre Nameserver Systeme jedoch so konfigurieren, dass sie nicht übermässige Prozessorauslastung, Arbeitsspeicherbelegung und Datenträgerzugriffe aufweisen, können Sie die Auswirkungen eines ansonsten erfolgreichen DDoS-Angriff abschwächen. Dies ist möglich, indem Sie entweder einen Nameserver entsprechend performant auslegen oder mehrere Nameserver parallel einsetzen.

10. Richten Sie physische Sicherheit für Ihre DNS-Server ein

Angriffe auf Ihre Nameserver können innerhalb Ihres Unternehmens und nicht nur von aussen erfolgen. Sie sollten eine Nameserver Umgebung einrichten, die verhindert, dass Mitarbeiter physisch auf Ihre Nameserver oder geschäftskritische Server zugreifen können. Verschiedene Rechenzentren verwenden unterschiedliche Methoden, um die physische Sicherheit ihrer Server und anderer kritischer Infrastrukturkomponenten zu gewährleisten. Stellen Sie unbedingt sicher, dass wirksame Massnahmen zur physischen Sicherung Ihrer Nameserver vorhanden sind.