zur Übersicht

Say my name – DNS zum Schutz der eigenen IT verwenden

Bedrohungsszenarien in der IT-Welt sind vielfältig und genauso vielfältig sind die Mechanismen, mit denen sie bekämpft werden können. Dabei gibt es unterschiedliche Ansätze, je nachdem, in welcher Angriffs-Phase sie zum Einsatz kommen. In allen Fällen gilt aber: je früher eine Attacke abgewehrt wird, desto besser.

Katz‘ und Maus Spiel

Bei über 90% aller Angriffsszenarien spielt das Domain Name System (DNS) eine Rolle. Oft versucht ein infiziertes internes System, eine Verbindung zum Mutterschiff des Angreifers (einem sogenannten Command & Control-Server) aufzubauen. Diese Server werden in der Regel über Namen referenziert: via DNS ermittelt der Client die, für die weitere Kommunikation erforderliche, IP-Adresse passend zum Namen. Fliegt ein infizierter Command & Control-Server (C&C) auf, zieht der Angreifer diesen zu einem anderen Provider um. Durch den Umzug ändert sich zwar die IP, aber nach Anpassung des DNS wäre der neue Server über den gleichen Namen erreichbar. Das Katz‘ und Maus Spiel beginnt…

Doch man kann dieses riskante Spiel bereits im Vorfeld unterbinden. Man unterbricht die Kommunikation zwischen infiziertem Client und dem C&C-Server mittels Firewall. Alle DNS-Anfragen aus dem LAN laufen durch die Firewall und hier lässt sich eine Liste mit bekannten C&C-Servernamen hinterlegen, gegen die alle Anfragen geprüft und ggf. blockiert werden. Der Client erfährt nie die IP des Servers und die Infektion bleibt wirkungslos, da der Client keine weiteren Instruktionen vom Server erhält.

Achten Sie auf Vollständigkeit und Aktualität

Auch wenn dieser Schutzmechanismus sehr wirkungsvoll ist, steht und fällt er mit der Vollständigkeit und Aktualität der Prüfliste. Viele Firewalls laden eine solche Liste in regelmäßigen Abständen, z.B. einmal täglich, von der Herstellerwebsite herunter. Aufgrund begrenzter lokaler Ressourcen sind diese Listen aber oft in der Größe reduziert und daher unvollständig. Zusätzlich fehlen der Firewall die zwischen zwei Listen-Downloads hinzugekommenen C&C-Servernamen. Sogenannte Zero Day-Attacken mit neu aufgesetzten C&C-Servern können so nicht zuverlässig verhindert werden. Schade, wenn Sie so eine hervorragende Schutzmöglichkeit nicht komplett nutzen.

Beide Nachteile kann man jedoch durch die Nutzung einer vollständigen und permanent aktualisierten Onlineliste kompensieren. Mit einer Palo Alto Firewall kann man eine solche, vom Hersteller permanent gepflegt, Onlineliste zur Verifizierung von DNS-Anfragen nutzen.

Wer steckt dahinter?

Durch das Unterbinden einer DNS-Anfrage nach einem bekannten C&C-Server wird zwar ein größerer Schaden verhindert, jedoch sollten noch weitere Schritte erfolgen, um die Sicherheit zu maximieren. So sollte der Administrator bestenfalls auch den infizierten Client identifizieren, isolieren und entseuchen.

Die Identifikation wird aber dadurch erschwert, dass in lokalen Netzen normalerweise ein gemeinsamer DNS-Server, z.B. die AD, hinterlegt ist und dieser die Anfrage nach dem C&C-Servernamen durch die Firewall sendet. Damit sieht die Firewall als Quell-IP des DNS-Requests also stets die IP des internen DNS-Servers.

Statt aber die DNS-Anfragen komplett unbeantwortet zu lassen, kann eine gute Firewall deutlich intelligenter agieren. So schickt sie dem Anfragenden eine vorkonfigurierte falsche IP als Antwort zurück, welche dann in Treue und Glauben vom internen DNS-Server zum Client weitergeleitet wird. Sobald der Client dann versucht diese falsche IP zu kontaktieren, erkennt die Firewall die Ziel-IP wieder und hat damit die Quell-IP des infizierten Systems aufgespürt. Der zuständige Admin kann sich nun gezielt der Reinigung des infizierten Systems widmen.

Das gezielte nicht oder auch falsch beantworten von DNS-Anfragen wird auch als DNS-Sinkholing bezeichnet.

DNS-Sicherheit mit Palo Alto

Bei Palo Alto erfolgt die Konfiguration der DNS-Security über ein Anti-Spyware-Profil.

PaloAlto DNS

Hier wird zunächst die lokal verfügbare, jedoch auf 100.000 Einträge begrenzte Liste, von bekannten C&C-Servernamen geprüft. Parallel wird aber auch eine Anfrage in die Palo Alto-Cloud gesendet, um so gefährliche Namen zu identifizieren, welche sich (noch) nicht auf der lokalen Liste befinden. Im unteren Bereich der Konfiguration wird die falsche Antwort-IP definiert.

Da Angreifer ihre Software aber oft sehr schnell den bekannten Schutzmechanismen anpassen und z.B. feste IPs erkennen und nicht nutzen würden, geht Palo Alto noch einen Schritt weiter. Palo Alto kann an dieser Stelle mit DNS-Namen arbeiten: sofern eine falsche IP an den Client zurück geliefert werden soll, fragt die Firewall in diesem Augenblick selbst den Namen ‚sinkhole.paloaltonetworks.com‘ an und setzt die hier empfangene IP als Antwort-IP zur ursprünglichen DNS-Anfrage des infizierten Clients ein. Es lassen sich aber auch Ausnahmen definieren, um bewusst Anfragen zu eigentlich gelisteten Servernamen zuzulassen.

Fazit

Man kann abschließend also feststellen, dass die DNS-Security-Features einer Palo Alto Firewall einen wertvollen Beitrag zum gesamten Security Konzept des Unternehmens leisten.

Wenn Sie Fragen zur DNS-Security oder zum Thema Firewall haben, kommen Sie auf uns zu. Wir beraten Sie gerne, wie Sie Ihre Sicherheit optimieren können!

Vereinbaren Sie einen Beratungstermin mit uns!

zur Übersicht

Robert F. Krick

Sie haben Fragen?

Gerne beantworten wir Ihre Fragen und informieren Sie über unsere Referenzprojekte!

Nehmen Sie Kontakt auf

Das könnte Sie auch interessieren

Der neue Workspace oder: wie fühlt sich New Normal an?

Im heutigen Blog-Beitrag begrüßen wir unseren ersten Gast-Autor, Marco Rosin (Senior Partner Account Manager @ Citrix Systems GmbH). Er berichtet in den nächsten Wochen aus seiner Perspektive, wie sich Homeoffice anfühlen kann und sollte, warum ein betriebliches Kontinuitätsmanagement so wichtig ist und wie Sie die Lösungen von Citrix dabei unterstützen, den Fortbestand Ihres Unternehmens zu sichern.

19.02.21 11:17

30 Jahre KRICK - The story behind…

In diesem Jahr feiern wir unser 30-jähriges Firmenjubiläum und wollen Sie mitnehmen auf eine kurze Reise durch die Zeit. Wir möchten uns ansehen, wie alles begann aber auch einen Moment im Hier und Jetzt verweilen. Und wir würden Ihnen gerne einen Blick hinter die Kulissen des Rebrandings geben. Also: lassen wir Robert Krick selbst erzählen…

12.02.21 11:26

Say my name – DNS zum Schutz der eigenen IT verwenden

Bedrohungsszenarien in der IT-Welt sind vielfältig und genauso vielfältig sind die Mechanismen, mit denen sie bekämpft werden können. Dabei gibt es unterschiedliche Ansätze, je nachdem, in welcher Angriffs-Phase sie zum Einsatz kommen. In allen Fällen gilt aber: je früher eine Attacke abgewehrt wird, desto besser.

15.01.21 12:15

Robert F. Krick

Geschäftsführer

Starten Sie jetzt
eine Anfrage

In unseren Stellenausschreibungen nicht den passenden Job gefunden? Macht nichts. Unser Team wächst stetig, deshalb sind wir immer auf der Suche nach Teamplayern und freuen uns über Deine Initiativbewerbung. Sende uns diese an: bewerbung@krick.net