News

    Möglichkeiten Ihren Domain-Namen vor einer Cyberattacke zu schützen

    01.03.2018

    Schützen Sie Ihren Domain-Namen vor einer Cyberattacke

    Es war im Herbst 2016 als eine Cyberattacke erstmals international aufwies wie ein unsicheres Domain Name System (DNS) sogar die mächtigsten Unternehmensakteure in die Knie zwingen kann. Dieser Angriff verursachte Blackouts auf Webseiten von BBC, CNN, The New York Times, Twitter, Verizon, Netflix, HBO, Visa und Dutzenden mehr, deren Domains von einem einzigen DNS-Provider betrieben wurden. Dieser Angriff wurde höchstwahrscheinlich von den beiden Gruppen Anonymous und New World Hackers verübt, die mit Hilfe der Maleware Mirai ein Botnet, bestehend aus Hunderttausenden von mit dem Internet verbundenen, infizierten Geräten – Druckern, IP-Kameras, Residential Gateways und Babyphones – zur Generierung eines Distributed Denial-of-Service (DDoS) Angriffs, erstellt haben. Bei einem solchen Angriff überschwemmt der eingehende Datenverkehr von vielen Geräten das Opfer, sodass es unmöglich ist, eine einzige Quelle zu blockieren.

    Dies führte zu einem schockierenden, aber durchaus notwendigen Moment der Erleuchtung, in dem es die Verwundbarkeit von DNS-Systemen zu der Zeit veranschaulichte. Paul Towmey, ehemaliger CEO der ICANN (zu deren vielfältigen Aufgaben unter anderem die Verwaltung von IP-Adressen und des gesamten Domain Namen Systems sowie Root Servern für Milliarden von Netzwerkadressen in 240 Ländern fällt), sagte in einem Bericht einige Jahre vor dem Angriff: „Eines ist klar; jedes Unternehmen, jede Regierung, jede Organisation, die das Internet im täglichen Betrieb nutzt, ist verwundbar. Einfach ausgedrückt; Cybersicherheit ist nicht mehr nur ein Thema der IT-Abteilung.“

    Wie nutzten Hacker das DNS?

    Das DNS ist ein Namenssystem, das auf den tatsächlichen Standort eines Gerätes, sowie seine numerische IP-Adresse, die von der ICANN verwaltet wird, verweist. Hacker können den gespeicherten Cache eines Firmennetzwerks oder die DNS Resolver (diese übersetzen einen Domainnamen in eine IP-Adresse) eines Internet Service Providers (ISP) oder sogar Google oder OpenDNS nutzen, um den Resolver zu täuschen und eine falsche IP-Adresse zu melden. Dies sendet einen Nutzer zu einer falschen Adresse, eine E-Mail an ein falsches Ziel und so weiter.
    Es geht um DNS-Server-Konfigurationen. „DNS-Server werden in der Regel vergessen, und ihre Standardkonfiguration ist nicht unbedingt sicher“, sagt Chris Brenton, ein Mitarbeiter des SANS Institute und Sicherheitsdirektor eines großen DNS-Server-Providers.
    DNS kann auch kompromittiert werden, wenn ein Hacker seine Aufzeichnungen ändert und den Datenverkehr auf seine eigene Webseite umleitet. Aber der wohl einfachste Weg für Hacker ein DNS zu benutzen, ist schlicht und einfach, Dienste zu verweigern, was bei dem Angriff vom Oktober 2016 geschah.

    Wie sicher ist Ihre DNS?

    Gehen Sie folgendermaßen vor, um Ihr DNS vor Angriffen zu schützen:

    • Verwalten Sie Ihre DNS-Server sicher. „Es ist nicht nur eine Frage des Fachwissens, sondern auch des Umfangs, denn viele Unternehmen sollten DNS-Server an drei oder vier Orten auf der ganzen Welt verteilt haben“, sagt Brenton.
    • Halten Sie Ihre primären Server versteckt, und halten Sie Resolver privat und geschützt durch ein sekundäres DNS, um die Möglichkeit zu reduzieren, dass Domains durch DDoS-Angriffe offline gehen. Dies erlaubt beides, den Schutz der versteckten Server und der Domain-Namen, die von einem schnellen Anycast DNS aus bedient werden.
    • Stellen Sie sicher, dass nur die Informationen öffentlich zugänglich sind, die für die Parteien, die den Server nutzen, erforderlich sind. Beschränken Sie alle anderen DNS Server und Daten auf den internen Zugriff.
    • Halten Sie die Verfügbarkeit aufrecht, so dass jeder DNS-Server Teil eines Hochverfügbarkeitspaares (HA) oder Clusters ist. Auf diese Weise können andere die Last übernehmen, wenn einer auffällt.
    • Verwenden Sie nach Möglichkeit lokale Nameserver. So sollte ein Unternehmen mit mehreren Standorten sicherstellen, dass rekursive und autoritative Nameserver vor Ort an diesen Standorten installiert sind, um die Abfragelast zu verteilen und sicherzustellen, dass die Namen schnell aufgelöst werden.
    • Beschränken Sie den Zugriff auf primäre Nameserver auf die Mitarbeiter, die für die Wartung und Pflege verantwortlich sind.
    • Um die Datenintegrität zu schützen, verwenden Sie Domain Name System Security Extentions (DNNSSEC), die DNS-Daten digital signieren, damit Nameserver ihre Integrität bei der Beantwortung von Anfragen sicherstellen können
    • Verwenden Sie ein Scurbbing-Center (Data Cleansing Station), in dem der Datenverkehr analysiert wird und bösartiger Datenverkehr entfernt wird.