Was ist DNS-Filterung? | Sichere DNS-Server

Durch DNS-Filterung werden böswillige oder verbotene Websites und Anwendungen auf DNS-Ebene blockiert, sodass sie auf Benutzergeräten nicht geladen werden können.

Share facebook icon linkedin icon twitter icon email icon

DNS-Filterung

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Funktionsweise von DNS verstehen
  • Erfahren, wie DNS-Filterung in den DNS-Prozess eingegliedert wird
  • Typen von Angriffen kennenlernen, durch die DNS-Filterdienste blockiert werden können

Was ist DNS-Filterung?

DNS Filtering

Bei DNS-Filterung wird das Domain Name System genutzt, um schädliche Websites zu blockieren und böswillige oder unangemessene Inhalte herauszufiltern. Dadurch kann das Unternehmen die eigenen Daten schützen und kontrollieren, auf was die Mitarbeiter in den eigenen Netzwerken zugreifen können. DNS-Filterung ist oft nur ein Element einer umfassenderen Strategie für die Zugriffskontrolle.

Was ist das Domain Name System (DNS)?

Mit dem Domain Name System (DNS) werden Domainnamen wie cloudflare.com IP-Adressen wie 192.0.2.24 zugeordnet. Dank des DNS können Benutzer Websites aufrufen, ohne sich verwirrende Zahlenfolgen merken zu müssen. Man könnte es damit vergleichen, dass jemand die Telefonnummern von Freunden in seiner Smartphone-Kontaktliste speichert, anstatt sich jede einzelne Telefonnummer zu merken.

Jedes Mal, wenn ein Benutzer eine Website oder Webanwendung aufruft, werden die Inhalte erst geladen, nachdem das Gerät des Benutzers die richtige IP-Adresse nachgeschlagen hat. Die Ermittlung einer IP-Adresse geschieht in folgenden Schritten:

  1. Sobald der Benutzer einen Domainnamen in seinen Browser eingibt, wird auf dem Gerät des Benutzers eine DNS-Abfrage erzeugt und an einen speziellen Webserver namens DNS-Resolver geschickt.
  2. Der DNS-Resolver sucht zum abgefragten Domainnamen die passende IP-Adresse heraus. Dazu fragt er entweder weitere DNS-Server ab oder sucht in seinem Cache.
  3. Der DNS-Resolver sendet eine Antwort mit der richtigen IP-Adresse an das Gerät des Benutzers. Dies wird als „Auflösen“ der Domain bezeichnet.
  4. Das Gerät des Benutzers nimmt unter dieser IP-Adresse Kontakt mit dem Server auf, stellt eine Verbindung her und beginnt mit dem Laden der Inhalte.

DNS ist für den Zugriff auf Webinhalte unentbehrlich. Inhalte können erst geladen werden, wenn der DNS-Vorgang abgeschlossen ist. Deshalb ist DNS-Filterung eine wirksame Methode zur Kontrolle der Inhalte, auf die ein Benutzer zugreifen kann.

Wie funktionieren DNS-Filterdienste?

Alle DNS-Abfragen gehen an einen DNS-Resolver. Man kann DNS-Resolver auch als spezielle Filter konfigurieren, die sich weigern, Abfragen nach bestimmten Domains aufzulösen, wenn diese Domains auf einer schwarzen Liste stehen. Dadurch können keine Benutzer diese Domains aufrufen. DNS-Filterdienste können statt mit einer schwarzen Liste auch mit einer „weißen Liste“ arbeiten (siehe unten).

Nehmen wir an, der Mitarbeiter eines Unternehmens bekommt eine Phishing-E-Mail und wird dazu verleitet, einen Link anzuklicken, der zu schädliche-website.de führt. Bevor der Computer des Mitarbeiters die Website lädt, sendet er zunächst eine Abfrage an den DNS-Resolver des Unternehmens. Dieser Dienst arbeitet mit DNS-Filterung. Wenn die böswillige Website auf der schwarzen Liste des Unternehmens steht, blockiert der DNS-Resolver die Anfrage. Damit wird verhindert, dass schädliche-website.de geladen wird. Der Phishing-Angriff wird vereitelt.

Bei DNS-Filterung können Websites entweder nach Domainname oder nach IP-Adresse auf die schwarze Liste gesetzt werden:

Nach Domain: Der DNS-Resolver weigert sich, die IP-Adressen für bestimmte Domains überhaupt aufzulösen bzw. zu suchen.

Nach IP-Adresse: Der DNS-Resolver versucht, alle Domains aufzulösen. Wenn die IP-Adresse jedoch auf der schwarzen Liste steht, sendet der Resolver sie nicht an das anfordernde Gerät zurück.

Was ist eine Blacklist?

Im Zusammenhang mit der DNS-Filterung ist eine schwarze Liste (Blacklist) eine Liste bekannter schädlicher Domains oder IP-Adressen. Anbieter von DNS-Filterung nutzen möglicherweise Blacklists, die in der Cybersicherheits-Community gemeinsam gepflegt werden, eigene Blacklists oder beides. Einige DNS-Filterdienste begutachten sogar selbst Webseiten und tragen sie automatisch in eine schwarze Liste ein. Wenn beispielsweise auf example.com böswilliger JavaScript-Code gefunden wird, wird example.com in die Blacklist aufgenommen.

Bei DNS-Filterung kann man auch Domains auf die schwarze Liste setzen, die nicht unbedingt mit Malware- oder Phishing-Angriffen zu tun haben, auf denen aber verbotene oder unangemessene Inhalte gehostet werden. So könnte ein Unternehmen beispielsweise Websites mit nicht jugendfreien Inhalten in die Blacklist für seinen DNS-Filter aufnehmen.

Das Gegenteil einer Blacklist ist eine Whitelist, also eine Positivliste aller zulässigen Domains oder IP-Adressen. Alle Domains oder IP-Adressen, die nicht auf der Whitelist stehen, werden blockiert.

Wie trägt DNS-Filterung zur Abwehr von Malware- und Phishing-Angriffen bei?

DNS-Filterung kann Malware oder schädliche Software von Unternehmensnetzwerken und Benutzergeräten fernhalten. Einige Arten von Phishing-Angriffen können ebenfalls durch DNS-Filterung blockiert werden.

1. Böswillige Websites blockieren

Bei einer Website, auf der Malware gehostet wird, sollen Benutzer entweder zum Herunterladen eines Schadprogramms verleitet werden, oder die schädliche Software wird gleich beim Laden der Website automatisch heruntergeladen (dies wird als Drive-By-Download bezeichnet). Verschiedene andere Angriffe sind ebenfalls möglich. Auf Webseiten wird beispielsweise JavaScript-Code ausgeführt, und JavaScript ist eine vollwertige Programmiersprache, mit der man Benutzergeräte auf die unterschiedlichste Weise kompromittieren kann.

Durch DNS-Filterung kann diese Art von Angriffen verhindert werden. Dazu wird das Laden böswilliger Webseiten durch Benutzer ganz blockiert.

2. Blockieren von Phishing-Websites

Eine Phishing-Website ist eine betrügerische Website, mit der durch Phishing-Angriffe Anmeldedaten gestohlen werden sollen. Die verwendete Domain kann eine manipulierte Domain sein oder einfach nur so echt aussehen, dass die meisten Benutzer die Echtheit nicht anzweifeln. Unabhängig von der Methode soll der Benutzer dazu gebracht werden, einem Angreifer die Anmeldedaten für sein Konto zu verraten. Derartige Websites können durch DNS-Filterung blockiert werden.

Dies kann nur funktionieren, wenn das DNS-Filtersystem die böswilligen IP-Adressen oder Domains als schädlich erkennt. Die böswilligen Aktivitäten können zwar durch DNS-Filterung blockiert werden, aber Angreifer richten sehr schnell neue Domains ein, und es ist unmöglich, diese alle auf die schwarze Liste zu setzen.

Wie werden verbotene Inhalte durch DNS-Filterung blockiert?

Die Methode, den Zugriff auf bestimmte Arten von Inhalten einzuschränken, ähnelt dem oben beschriebenen Verfahren. IP-Adressen oder Domainnamen, von denen man weiß, dass dort verbotene Inhalte gehostet werden, werden auf die schwarze Liste gesetzt, dann können Benutzer nicht darauf zugreifen. Alternativ dazu können vom Unternehmen genehmigte Websites in eine Whitelist eingetragen werden, und die DNS-Filterung blockiert alle anderen Websites.

Was sind sichere DNS-Server?

Ein sicherer DNS-Server ist ein DNS-Resolver, der böswillige oder verbotene Websites im Rahmen eines DNS-Filterdienstes blockiert. Einige sichere DNS-Server bieten darüber hinaus besseren Datenschutz für Benutzerdaten. Von Cloudflare gibt es beispielsweise einen DNS-Auflösungsdienst namens 1.1.1.1, bei dem alle DNS-Abfrageprotokolle nach 24 Stunden gelöscht werden.

Neben der DNS-Filterung gibt es weitere Möglichkeiten, den DNS-Prozess noch sicherer zu machen. Bei der Entwicklung von DNS wurden keine Sicherheitsaspekte berücksichtigt. Mit dem DNSSEC-Protokoll kann man überprüfen, ob DNS-Resolver korrekte Informationen liefern und nicht von einem Angreifer kompromittiert wurden. Bei den Protokollen „DNS über TLS“ (DoT) und „DNS über HTTPS“ (DoH) werden DNS-Abfragen und -Antworten verschlüsselt, sodass Angreifer die DNS-Abfragen eines Benutzers nicht beobachten und die von ihm besuchten Websites nachvollziehen können.

Worin unterscheiden sich DNS-Filterung und Webfilterung?

Webfilterung ist ein weiter Begriff, mit dem unterschiedliche Methoden zur Kontrolle von Webtraffic gemeint sein können. DNS-Filterung ist nur eine Art der Webfilterung. Andere Arten der Webfilterung sind zum Beispiel URL-Filterung, Schlüsselwortfilterung und Inhaltsfilterung.

Bietet Cloudflare zusätzlich zu anderen DNS-Diensten auch DNS-Filterung an?

Cloudflare bieten einen autoritativen DNS-Service, einen öffentlichen DNS-Resolver sowie DNS-Filterfunktionen für Unternehmen an, die die Zugriffsmöglichkeiten ihrer Mitarbeiter im Internet einschränken möchten. Cloudflare Gateway ist ein sicheres Web-Gateway mit DNS-Filterung, Browserisolation und anderen Technologien für die Sicherheit interner Nutzer. Informieren Sie sich über Cloudflare Gateway oder über die Funktionsweise sicherer Web-Gateways.