DNS

Die Möglichkeiten des DNS Protokolls im Hinblick auf IT-Sicherheit werden vielfach unterschätzt

DNS - ein Fundament des Internets

Der Domain Name Service (DNS) ist zuständig für die Auflösung von Domain-Namen in die entsprechenden Web-Adressen und somit eine unverzichtbare Kernkomponente des Internets für den überwiegenden Grossteil der digitalen Kommunikation.

Die statistische Auswertung der DNS Anfragen aus dem eigenen Netz ermöglicht eine Überwachung des Netzwerkverkehrs in Echtzeit und damit eine Erkennung von Anomalien verursacht durch Befall mit Schadsoftware. Im weiteren kann dann durch gezielte Umleitung oder Blockierung dieser Anfragen eine Kommunikation der Schadsoftware mit den entsprechenden Steuerservern unterbunden werden. Zusätzlich stellen diese DNS Daten ein Fenster in das Nutznungsverhalten der Anwender dar mit Implikationen bezüglich des Schutzes von persönlichen Informationen und vertraulichen Firmendaten.

Darüberhinaus hat DNS noch eine weitere Funktion als 'Vertrauens-Anker' und in den DNS-Einträgen abgelegte Information, wie zum Beispiel digitale Signaturen, dienen der Verifizierung für andere bereitgestellte Dienste, unter anderem Email.

Wir bieten Unterstützung rund um das Thema DNS - angefangen von der Einrichtung einer eigenen, hausinternen DNS Infrastruktur, über den täglichen Betrieb und Überwachung, bis zur Auswertung und Beratung bezüglich entsprechender Massnahmen im akuten Ernstfall.

DNS Server

Wir beraten bei der Planung, Einrichtung und dem Betrieb von Unternehmens-DNS Servern bezüglich Sicherheit und Erreichbarkeit. Weltweite Verfügbarkeit stellt besondere Anforderungen an die DNS-Infrastruktur.

Hidden Master DNS

ermöglicht die Verwaltung der DNS-Zonen unter eigener Kontrolle in Echtzeit

GEO-DNS

ermöglicht unterschiedliche DNS-Antworten abhängig von der Region des Anfragenden

Anycast Zones

ist eine Routing-Technologie, mit der eine IP-Adresse in mehreren Rechenzentren der Welt gehostet werden kann und so optimale Antwortzeiten und hohe Ausfallsicherheit sicherstellt

DNS Reporte

ermöglichen eine Auswertung der Kommunikationspartner, z.B. nach geografischen Regionen oder häufigen DNS-Anfragen, oder aber eine Erkennung von Angriffen via DNS (DNS-Tunnel, Cache Poisoning)

Secondary DNS Hosting

ist die Auswahl der Provider für den Betrieb der Anycast-Zonen oder der Sekundären DNS Server, sofern der Master DNS selbst betrieben wird (Hidden Master)

DNS Resolver

DNS Resolver werden von jedem Unternehmen benötigt, um die Namen im Internet den IP Adressen der Dienste zuzuordnen. Hierbei wird oft angenommen, dass hierzu ein externer Provider erforderlich ist. Externe Resolver Dienste sind jedoch im Hinblick des Datenschutzes problematisch.

Der Betrieb eigener Resolver und die Protokollierung der DNS-Anfragen/-Antworten bietet erhebliche Vorteile:

  • Malware verwendet DNS-Domänen, um ihre Befehls- und Steuerungsserver zu finden.
  • Malware verwendet DNS-Tunneling, um zu verhindern, dass die Firewall das Senden und Empfangen von Daten verhindert.
  • RPZ (Response Policy Zones) können als DNS-Firewall verwendet werden
  • RPZ kann zum Blockieren oder Umleiten von DNS-Datenverkehr verwendet werden
  • RPZ-Listen können verwendet werden, um Anomalien/Malware im eigenen DNS-Traffic zu identifizieren
  • Periodische Malware-DNS-Requests können leicht erkannt werden
  • Ungewöhnlich hohe Client-DNS-Requests können leicht erkannt werden
  • Anomalien können als ungewöhnliche hohe Domainaufrufe erkannt werden
  • DNS-Datenverkehr verursacht Logdateien mit geringem Volumen und ist leicht zu analysieren
  • DNS-Resolver des Unternehmens sind unabhängig von Provider-DNS-Resolvern
  • DNS-Resolver des Unternehmens leiten keine DNS-Verkehrsdaten nach aussen
  • Unternehmens-DNS-Resolver können auf Open Source-Software aufbauen und erfordern keine Lizenzkosten für Software