Inhaltsverzeichnis:
Im April wurde ein niederländischer Hacker wegen des so genannten größten verteilten Denial-of-Service-Angriffs verhaftet, den es je gab. Der Angriff wurde auf Spamhaus verübt, eine Anti-Spam-Organisation, und laut ENISA, der IT-Sicherheitsagentur der Europäischen Union, erreichte die Belastung der Spamhaus-Infrastruktur 300 Gigabit pro Sekunde, das Dreifache des vorherigen Rekords. Es verursachte auch große Internetstaus und verstopfte die Internetinfrastruktur weltweit.
Natürlich sind DNS-Angriffe kaum selten. Während der Hacker im Spamhaus-Fall nur sein Ziel schädigen wollte, wiesen die größeren Auswirkungen des Angriffs auch auf das hin, was viele als Hauptfehler in der Internetinfrastruktur bezeichnen: das Domain Name System. Infolgedessen haben die jüngsten Angriffe auf die DNS-Kerninfrastruktur Techniker und Geschäftsleute nach Lösungen gesucht. Also was ist mit dir? Es ist wichtig zu wissen, über welche Optionen Sie verfügen, um die DNS-Infrastruktur Ihres Unternehmens zu stärken, und wie die DNS-Stammserver funktionieren. Schauen wir uns also einige der Probleme an und was Unternehmen tun können, um sich selbst zu schützen. (Weitere Informationen zu DNS finden Sie unter DNS: Ein Protokoll für alle Regeln.)
Bestehende Infrastruktur
Das Domain Name System (DNS) stammt aus einer Zeit, die das Internet vergessen hat. Aber das macht es nicht zu einer alten Nachricht. Angesichts der sich ständig ändernden Bedrohung durch Cyberangriffe wurde DNS im Laufe der Jahre einer eingehenden Prüfung unterzogen. In den Kinderschuhen bot DNS keine Authentifizierungsmethoden zur Überprüfung der Identität eines Absenders oder Empfängers von DNS-Abfragen an.
Tatsächlich sind die zentralen Nameserver oder Root-Server seit vielen Jahren umfangreichen und unterschiedlichen Angriffen ausgesetzt. Heutzutage sind sie geografisch unterschiedlich und werden von verschiedenen Arten von Institutionen betrieben, darunter Regierungsbehörden, kommerzielle Einrichtungen und Universitäten, um ihre Integrität zu wahren.
Es ist alarmierend, dass einige Angriffe in der Vergangenheit etwas erfolgreich waren. Ein lähmender Angriff auf die Root-Server-Infrastruktur fand beispielsweise im Jahr 2002 statt (lesen Sie hier einen Bericht darüber). Obwohl dies für die meisten Internetnutzer keine nennenswerten Auswirkungen hatte, erregte es die Aufmerksamkeit des FBI und des US-Heimatschutzministeriums, da es hoch professionell und zielgerichtet war und neun der 13 aktiven Root-Server betraf. Wenn es länger als eine Stunde gedauert hätte, könnten die Ergebnisse katastrophal gewesen sein und Elemente der DNS-Infrastruktur des Internets so gut wie unbrauchbar gemacht haben.
Einen solchen integralen Bestandteil der Internetinfrastruktur zu besiegen, würde einem erfolgreichen Angreifer viel Macht verleihen. Infolgedessen wurde seitdem viel Zeit und Geld in die Sicherung der Root-Server-Infrastruktur investiert. (Hier können Sie eine Karte mit Stammservern und ihren Diensten abrufen.)
DNS sichern
Neben der Kerninfrastruktur ist es auch wichtig zu berücksichtigen, wie robust die DNS-Infrastruktur Ihres Unternehmens sowohl gegen Angriffe als auch gegen Ausfälle ist. Es ist beispielsweise üblich (und in einigen RFCs angegeben), dass sich Nameserver in völlig unterschiedlichen Subnetzen oder Netzwerken befinden sollten. Mit anderen Worten, wenn ISP A vollständig ausfällt und Ihr primärer Nameserver offline ist, werden Ihre DNS-Schlüsseldaten von ISP B weiterhin an alle Personen gesendet, die dies anfordern.
DNSSEC (Domain Name System Security Extensions) ist eine der beliebtesten Methoden, mit denen Unternehmen ihre eigene Nameserverinfrastruktur sichern können. Dies ist ein Add-On, um sicherzustellen, dass der Computer, der eine Verbindung zu Ihren Nameservern herstellt, dem entspricht, was er verspricht. DNSSEC ermöglicht auch die Authentifizierung, um festzustellen, woher die Anforderungen stammen, und um zu überprüfen, ob die Daten selbst auf dem Weg nicht geändert wurden. Aufgrund des öffentlichen Charakters des Domain-Name-Systems gewährleistet die verwendete Kryptografie jedoch weder die Vertraulichkeit der Daten, noch gibt es ein Konzept für deren Verfügbarkeit, falls Teile der Infrastruktur eine fehlerhafte Beschreibung aufweisen.
Eine Reihe von Konfigurationsdatensätzen wird verwendet, um diese Mechanismen bereitzustellen, einschließlich der Datensatztypen RRSIG, DNSKEY, DS und NSEC. (Weitere Informationen finden Sie unter 12 DNS-Einträge erklärt.)
RRISG wird verwendet, wenn DNSSEC sowohl für den Computer, der die Abfrage sendet, als auch für den Computer, der die Abfrage sendet, verfügbar ist. Dieser Datensatz wird zusammen mit dem angeforderten Datensatztyp gesendet.
Ein DNSKEY mit signierten Informationen könnte folgendermaßen aussehen:
ripe.net hat einen DNSKEY Datensatz 257 3 5 AwEAAXf2xwi4s5Q1WHpQVy / kZGyY4BMyg8eJYbROOv3YyH1U8fDwmv6k BVxWZntYtYUOU0rk + Y7vZCvSN1AcYy0 / ZjL7cNlkc3Ordl2DialFHPI6 UbSQkIp3l / 5fSWw5xnbnZ8KA7g3E6fkADNIEarMI4ARCWlouk8GpQHt1 1wNW1c65SWB8i958WZJ6LI0pOTNK + BIx8u98b + EVr7C08dPpr9V6Eu / 7 + 3uiPsUqCyRqMLotRFBwK8KgvF9KO1c9MXjtmJxDT067oJoNBIK gvSO9 QcGaRxuGEEFWvCbaTvgbK4E0OoIXRjZriJj8LXXLBEJen6N0iUzj8nqy XSCm5sNxrRk =
Der DS- oder delegierte Unterzeichnerdatensatz wird verwendet, um die Vertrauenskette zu authentifizieren, sodass eine übergeordnete und eine untergeordnete Zone mit einem zusätzlichen Maß an Komfort kommunizieren können.
NSEC- oder next secure-Einträge springen im Wesentlichen zum nächsten gültigen Eintrag in einer Liste von DNS-Einträgen. Mit dieser Methode kann ein nicht vorhandener DNS-Eintrag zurückgegeben werden. Dies ist wichtig, damit nur konfigurierte DNS-Einträge als echt eingestuft werden.
NSEC3, ein verbesserter Sicherheitsmechanismus zur Abwehr von Angriffen im Wörterbuchstil, wurde im März 2008 in RFC 5155 ratifiziert.
DNSSEC-Empfang
Obwohl viele Befürworter in die Bereitstellung von DNSSEC investiert haben, ist dies nicht ohne Kritikpunkte. Trotz seiner Fähigkeit, Angriffe wie Man-in-the-Middle-Angriffe zu vermeiden, bei denen Abfragen unbeabsichtigt entführt und fälschlicherweise an diejenigen weitergeleitet werden, die DNS-Abfragen generieren, gibt es angebliche Kompatibilitätsprobleme mit bestimmten Teilen der vorhandenen Internetinfrastruktur. Das Hauptproblem besteht darin, dass DNS normalerweise das weniger bandbreitenintensive User Datagram Protocol (UDP) verwendet, während DNSSEC das schwerere Transmission Control Protocol (TCP) verwendet, um seine Daten zur Erhöhung der Zuverlässigkeit und Rechenschaftspflicht hin und her zu übertragen. Große Teile der alten DNS-Infrastruktur, die rund um die Uhr an sieben Tagen in der Woche mit Millionen von DNS-Anfragen überflutet wird, sind möglicherweise nicht in der Lage, den Datenverkehr zu steigern. Trotzdem glauben viele, dass DNSSEC ein wichtiger Schritt zur Sicherung der Internetinfrastruktur ist.
Es ist zwar nichts im Leben garantiert, aber einige Zeit in Anspruch zu nehmen, um über die eigenen Risiken nachzudenken, könnte in Zukunft viele kostspielige Kopfschmerzen verhindern. Durch die Bereitstellung von DNSSEC können Sie beispielsweise Ihr Vertrauen in Teile Ihrer DNS-Schlüsselinfrastruktur stärken.
