Was ist DNS-Sicherheit?

Bei der Entwicklung von DNS stand Sicherheit nicht im Vordergrund. Es wurden viele Arten von Angriffen entwickelt, um die Schwachstellen im DNS-System zu nutzen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Definition und Funktionsweise von DNSSEC
  • Vorstellung der häufigsten DNS-Angriffe
  • Unterschied zwischen DNSSEC und anderen DNS-Sicherheitslösungen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Melden Sie sich an, um Artikel zum Thema Sicherheit von Cloudflare zu erhalten.

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist DNS-Sicherheit?

DNS-Sicherheit ist die Praxis zum Schutz der DNS-Infrastruktur vor Cyberangriffen, um eine schnelle und zuverlässige Performance zu gewährleisten. Eine wirksame DNS-Sicherheitsstrategie umfasst eine Reihe von sich überschneidenden Verteidigungsmaßnahmen, darunter die Einrichtung redundanter DNS-Server, die Anwendung von Sicherheitsprotokollen wie DNSSEC und eine strenge DNS-Protokollierung.

Warum ist DNS-Sicherheit wichtig?

Wie viele andere Internetprotokolle wurde auch das DNS-System nicht mit Blick auf die Sicherheit entwickelt und enthält mehrere Design-Einschränkungen. Diese Einschränkungen in Verbindung mit dem technologischen Fortschritt machen DNS-Server anfällig für ein breites Spektrum von Angriffen, darunter Spoofing, Amplification , DoS (Denial of Service) oder das Abfangen privater personenbezogener Informationen. Und da DNS ein integraler Bestandteil der meisten Internetanfragen ist, kann es ein Hauptziel für Angriffe sein.

Darüber hinaus werden DNS-Angriffe häufig in Verbindung mit anderen Cyberangriffen eingesetzt, um die Sicherheitsteams vom eigentlichen Ziel abzulenken. Ein Unternehmen muss in der Lage sein, DNS-Angriffe schnell zu bekämpfen, damit es nicht zu sehr damit beschäftigt ist, sich um simultane Angriffe über andere Vektoren zu kümmern.

Welche häufigen Angriffe gibt es im Zusammenhang mit DNS?

Angreifer haben verschiedene Möglichkeiten gefunden, DNS-Sever anzuvisieren und zu manipulieren. Nachfolgend sind einige der gängigsten Methoden aufgeführt:

DNS-Spoofing/-Cacheangriffe:Das ist ein Angriff, bei dem gefälschte Daten in den Cache eines DNS-Resolvers eingeschleust werden, sodass der Resolver eine falsche IP-Adresse für eine Domain zurückgibt. Statt zur richtigen Website kann der Traffic zu einem Computer mit böswilligen Inhalten oder ein anderes vom Angreifer gewünschtes Ziel umgeleitet werden. Häufig handelt es sich um eine Nachbildung der ursprünglichen Website, die zu böswilligen Zwecken wie der Verbreitung von Malware oder dem Sammeln von Anmeldedaten dient.

DNS-Tunnelling: Bei diesen Angriffen werden andere Protokolle verwendet, um auf DNS-Abfragen und -Antworten zuzugreifen. Angreifer können mithilfe von SSH, TCP oder HTTP Malware oder gestohlene Daten in DNS-Abfragen einfügen. Von den meisten Firewalls wird dies nicht erkannt.

DNS-Hijacking: Beim DNS-Hijacking leitet der Angreifer Abfragen an einen anderen Domain-Nameserver um. Das lässt sich entweder mit Malware oder einer unbefugten Änderung eines DNS-Servers erreichen. Obwohl das Ergebnis dem eines DNS-Spoofing-Angriff ähnelt, ist dies ein grundlegend anderer Angriff, weil er auf den DNS-Eintrag der Website auf dem Nameserver und nicht auf den Cache des Resolvers abzielt.

NXDOMAIN-Angriff: Dies ist ein Typ von DNS-Angriff, bei dem ein Angreifer einen DNS-Server mit Anfragen nach nicht vorhandenen Einträgen überhäuft, um den legitimen Traffic durch einen Denial-of-Service zu blockieren. Dies wird mit ausgefeilten Angriffstools erreicht, die für jede Anfrage automatisch eindeutige Subdomains erstellen. NXDOMAIN-Angriffe können auch einen rekursiven Resolver anvisieren, um seinen Cache mit unsinnigen Anfragen zu füllen.

Phantom-Domain-Angriff: Ein Phantom-Domain-Angriff hat ähnliche Folgen wie ein NXDOMAIN-Angriff auf einen DNS-Resolver. Der Angreifer richtet eine Reihe von Phantom-Domain-Server ein, die entweder sehr langsam oder gar nicht auf Anfragen reagieren. Der Resolver wird dann von einer Flut von Anfragen nach dieser Domain überrollt und blockiert, während er auf Antworten wartet. Dadurch wird die Performance beeinträchtigt und ein Denial-of-Service verursacht.

Random-Subdomain-Angriff: In diesem Fall sendet der Angreifer DNS-Abfragen für verschiedene zufällige, nicht vorhandene Subdomains einer legitimen Website. Ziel ist es, einen Denial-of-Service für den autoritativen Nameserver der betreffenden Domain zu erzwingen, sodass die Website vom Nameserver nicht ermittelt werden kann. Dieser Angriff kann auch den vom Angreifer verwendete ISP beeinträchtigen, da der Cache von dessen rekursivem Resolver mit ungültigen Anfragen gefüllt wird.

Domain-Sperrenangriff: Angreifer orchestrieren diese Art von Angriff, indem sie spezielle Domains und Resolver einrichten, um TCP-Verbindungen mit anderen legitimen Resolvern herzustellen. Wenn die anvisierten Resolver Anfragen senden, senden diese Domains langsame Ströme von Paketen mit Zufallsdaten zurück, wodurch die Ressourcen des Resolvers gebunden werden.

Botnetz-basierter CPE-Angriff: Diese Angriffe werden mit CPE-Geräten durchgeführt (Customer Premise Equipment, das sind Geräte, die von Serviceprovidern ihren Kunden zur Verfügung gestellt werden, z. B. Modems, Router, Kabelboxen usw.). Die Angreifer kompromittieren die CPEs und die Geräte werden Teil eines Botnetzes, das für Random-Subdomain-Angriffe auf eine Website oder Domain genutzt wird.

Was ist DNSSEC?

DNS Security Extensions (DNSSEC) ist ein Sicherheitsprotokoll, mit dem dieses Problem bekämpft werden soll. DNSSEC schützt vor Angriffen, indem Daten digital signiert werden, um ihre Gültigkeit zu bestätigen. Zur Gewährleistung eines sicheren Lookups müssen die Daten auf jeder Ebene des DNS-Lookup-Prozesses signiert werden.

Dieser Signiervorgang ähnelt der handschriftlichen Unterzeichnung eines rechtsverbindlichen Dokuments. Die Person unterzeichnet mit ihrer eindeutigen Unterschrift und ein Gerichtsgutachter kann sich die Unterschrift ansehen und verifizieren, dass das Dokument von der betreffenden Person unterzeichnet wurde. Diese digitalen Signaturen stellen sicher, dass die Daten nicht manipuliert wurden.

DNSSEC implementiert eine hierarchische digitale Signierungsrichtlinie über alle Layer des DNS-Systems. Beispielsweise würde im Fall eines Lookup von google.com ein DNS-Stammserver einen Schlüssel für den .COM-Nameserver signieren und der .COM-Nameserver würde einen Schlüssel für den autoritativen Nameserver von google.com signieren.

Höhere Sicherheit wird zwar immer bevorzugt, doch DNSSEC ist rückwärtskompatibel, um sicherzustellen, dass herkömmliche DNS-Lookups trotz der zusätzlichen Sicherheitsmerkmale weiterhin richtig aufgelöst werden. DNSSEC soll mit anderen Sicherheitsmaßnahmen wie SSL/TLS im Rahmen einer ganzheitlichen Internetsicherheitsstrategie zusammenarbeiten.

DNSSEC erstellt eine Eltern-Kind-Vertrauenskette, die bis zur Root Zone reicht. Diese Vertrauenskette kann auf keiner DNS-Ebene kompromittiert werden, da die Anfrage andernfalls für einen On-Path-Angriff anfällig wird.

Zum Schließen der Vertrauenskette muss die Stammzone sich selbst validieren (nachweislich nicht manipuliert sein) und das geschieht mit einer Intervention durch den Menschen. Interessanterweise treffen sich bei dieser sogenannten Root Zone Signing Ceremony ausgewählte Personen aus aller Welt, um den DNSKEY RRset öffentlich und nachprüfbar zu signieren.

Es folgt eine ausführlichere Erläuterung der Funktionsweise von DNSSEC >>>

Welche anderen Möglichkeiten gibt es, sich gegen DNS-basierte Angriffe zu schützen?

Zusätzlich zu DNSSEC kann der Betreiber einer DNS-Zone seine Server durch weitere Maßnahmen schützen. Eine einfache Strategie zur Abwehr von DDoS-Angriffen ist die Überkapazität der Infrastruktur. Einfach ausgedrückt: Wenn Ihre Nameserver ein Vielfaches des zu erwartenden Traffics bewältigen können, ist es für einen volumenbasierten Angriff schwieriger, Ihren Server zu überwältigen. Unternehmen können dies erreichen, indem sie die Gesamtkapazität ihres DNS-Servers für den Traffic erhöhen, mehrere redundante DNS-Server einrichten und Load Balancing einsetzen, um DNS-Anfragen an intakte Server zu routen, wenn einer eine schwache Performance aufweist.

Eine andere Strategie ist immer noch eine DNS-Firewall.

Was ist eine DNS-Firewall?

Eine DNS-Firewall ist ein Tool, das eine Reihe von Sicherheits- und Performance-Diensten für DNS-Server bereitstellen kann. Eine DNS-Firewall befindet sich zwischen dem rekursiven Resolver des Nutzers und dem autoritativen Nameserver der Website oder des Service, den der Nutzer zu erreichen versucht. Die Firewall kann Ratenbegrenzungdienste (Rate Limiting Services) bereitstellen, um Angreifer auszuschalten, die einen Server lahm legen möchten. Wenn der Server aufgrund eines Angriffs oder aus einem anderen Grund ausfällt, kann die DNS-Firewall die Website oder den Service des Betreibers weiterhin verfügbar halten, indem sie DNS-Antworten aus dem Cache liefert.

Neben den Sicherheitsmerkmalen kann eine DNS-Firewall auch Performance-Lösungen wie schnellere DNS-Lookups und geringere Bandbreitenkosten für den DNS-Betreiber bieten. Weitere Informationen zur DNS-Firewall von Cloudflare.

DNS als Sicherheitstool

DNS-Resolver können auch so konfiguriert werden, dass sie Sicherheitslösungen für ihre Endnutzer (Personen, die im Internet surfen) bereitstellen. Einige DNS-Resolver bieten Features wie Inhaltsfilterung oder Botnetz-Schutz. Durch die Inhaltsfilterung können Websites blockiert werden, die bekanntermaßen Malware und Spam verteilen. Botnetz-Schutz blockiert die Kommunikation mit bekannten Botnetzen. Viele dieser geschützten DNS-Resolver sind kostenlos und der Nutzer kann durch die Änderung einer einzigen Einstellung in seinem lokalen Router zu einem dieser rekursiven DNS-Services wechseln. Cloudflare DNS legt Wert auf Sicherheit.

Sind DNS-Abfragen privat?

Ein weiterer wichtiger Aspekt der DNS-Sicherheit ist die Privatsphäre der Nutzer. DNS-Abfragen werden nicht verschlüsselt. Selbst wenn Nutzer einen DNS-Resolver wie 1.1.1.1 verwenden, der ihre Aktivitäten nicht verfolgt, werden DNS-Abfragen im Klartext über das Internet übertragen. Das bedeutet, dass jeder, der die Abfrage abfängt, sehen kann, welche Websites der Nutzer besucht.

Dieser Mangel an Privatsphäre hat enorme Auswirkungen auf die Sicherheit – und in einigen Fällen sogar auf die Menschenrechte. Wenn DNS-Abfragen nicht privat sind, dann wird es für Regierungen leichter, das Internet zu zensieren, und Angreifer haben es einfacher, das Online-Verhalten von Benutzern zu verfolgen.

DNS over TLS und DNS over HTTPS sind zwei Standards für die Verschlüsselung von DNS-Abfragen, um zu verhindern, dass externe Parteien sie lesen können.

Bietet Cloudflare DNS-Sicherheit

Die DNS-Dienste von Cloudflare sind mit einer Vielzahl von Sicherheitsmerkmalen ausgestattet, darunter DNSSEC, DDoS-Abwehr, Multi-DNS-Funktionalität und Load Balancing.