zur Übersicht

Say my name – DNS zum Schutz der eigenen IT verwenden

Bedrohungsszenarien in der IT-Welt sind vielfältig und genauso vielfältig sind die Mechanismen, mit denen sie bekämpft werden können. Dabei gibt es unterschiedliche Ansätze, je nachdem, in welcher Angriffs-Phase sie zum Einsatz kommen. In allen Fällen gilt aber: je früher eine Attacke abgewehrt wird, desto besser.

Katz‘ und Maus Spiel

Bei über 90% aller Angriffsszenarien spielt das Domain Name System (DNS) eine Rolle. Oft versucht ein infiziertes internes System, eine Verbindung zum Mutterschiff des Angreifers (einem sogenannten Command & Control-Server) aufzubauen. Diese Server werden in der Regel über Namen referenziert: via DNS ermittelt der Client die, für die weitere Kommunikation erforderliche, IP-Adresse passend zum Namen. Fliegt ein infizierter Command & Control-Server (C&C) auf, zieht der Angreifer diesen zu einem anderen Provider um. Durch den Umzug ändert sich zwar die IP, aber nach Anpassung des DNS wäre der neue Server über den gleichen Namen erreichbar. Das Katz‘ und Maus Spiel beginnt…

Doch man kann dieses riskante Spiel bereits im Vorfeld unterbinden. Man unterbricht die Kommunikation zwischen infiziertem Client und dem C&C-Server mittels Firewall. Alle DNS-Anfragen aus dem LAN laufen durch die Firewall und hier lässt sich eine Liste mit bekannten C&C-Servernamen hinterlegen, gegen die alle Anfragen geprüft und ggf. blockiert werden. Der Client erfährt nie die IP des Servers und die Infektion bleibt wirkungslos, da der Client keine weiteren Instruktionen vom Server erhält.

Achten Sie auf Vollständigkeit und Aktualität

Auch wenn dieser Schutzmechanismus sehr wirkungsvoll ist, steht und fällt er mit der Vollständigkeit und Aktualität der Prüfliste. Viele Firewalls laden eine solche Liste in regelmäßigen Abständen, z.B. einmal täglich, von der Herstellerwebsite herunter. Aufgrund begrenzter lokaler Ressourcen sind diese Listen aber oft in der Größe reduziert und daher unvollständig. Zusätzlich fehlen der Firewall die zwischen zwei Listen-Downloads hinzugekommenen C&C-Servernamen. Sogenannte Zero Day-Attacken mit neu aufgesetzten C&C-Servern können so nicht zuverlässig verhindert werden. Schade, wenn Sie so eine hervorragende Schutzmöglichkeit nicht komplett nutzen.

Beide Nachteile kann man jedoch durch die Nutzung einer vollständigen und permanent aktualisierten Onlineliste kompensieren. Mit einer Palo Alto Firewall kann man eine solche, vom Hersteller permanent gepflegt, Onlineliste zur Verifizierung von DNS-Anfragen nutzen.

Wer steckt dahinter?

Durch das Unterbinden einer DNS-Anfrage nach einem bekannten C&C-Server wird zwar ein größerer Schaden verhindert, jedoch sollten noch weitere Schritte erfolgen, um die Sicherheit zu maximieren. So sollte der Administrator bestenfalls auch den infizierten Client identifizieren, isolieren und entseuchen.

Die Identifikation wird aber dadurch erschwert, dass in lokalen Netzen normalerweise ein gemeinsamer DNS-Server, z.B. die AD, hinterlegt ist und dieser die Anfrage nach dem C&C-Servernamen durch die Firewall sendet. Damit sieht die Firewall als Quell-IP des DNS-Requests also stets die IP des internen DNS-Servers.

Statt aber die DNS-Anfragen komplett unbeantwortet zu lassen, kann eine gute Firewall deutlich intelligenter agieren. So schickt sie dem Anfragenden eine vorkonfigurierte falsche IP als Antwort zurück, welche dann in Treue und Glauben vom internen DNS-Server zum Client weitergeleitet wird. Sobald der Client dann versucht diese falsche IP zu kontaktieren, erkennt die Firewall die Ziel-IP wieder und hat damit die Quell-IP des infizierten Systems aufgespürt. Der zuständige Admin kann sich nun gezielt der Reinigung des infizierten Systems widmen.

Das gezielte nicht oder auch falsch beantworten von DNS-Anfragen wird auch als DNS-Sinkholing bezeichnet.

DNS-Sicherheit mit Palo Alto

Bei Palo Alto erfolgt die Konfiguration der DNS-Security über ein Anti-Spyware-Profil.

PaloAlto DNS

Hier wird zunächst die lokal verfügbare, jedoch auf 100.000 Einträge begrenzte Liste, von bekannten C&C-Servernamen geprüft. Parallel wird aber auch eine Anfrage in die Palo Alto-Cloud gesendet, um so gefährliche Namen zu identifizieren, welche sich (noch) nicht auf der lokalen Liste befinden. Im unteren Bereich der Konfiguration wird die falsche Antwort-IP definiert.

Da Angreifer ihre Software aber oft sehr schnell den bekannten Schutzmechanismen anpassen und z.B. feste IPs erkennen und nicht nutzen würden, geht Palo Alto noch einen Schritt weiter. Palo Alto kann an dieser Stelle mit DNS-Namen arbeiten: sofern eine falsche IP an den Client zurück geliefert werden soll, fragt die Firewall in diesem Augenblick selbst den Namen ‚sinkhole.paloaltonetworks.com‘ an und setzt die hier empfangene IP als Antwort-IP zur ursprünglichen DNS-Anfrage des infizierten Clients ein. Es lassen sich aber auch Ausnahmen definieren, um bewusst Anfragen zu eigentlich gelisteten Servernamen zuzulassen.

Fazit

Man kann abschließend also feststellen, dass die DNS-Security-Features einer Palo Alto Firewall einen wertvollen Beitrag zum gesamten Security Konzept des Unternehmens leisten.

Verfasser: Kai Krebber

Wenn Sie Fragen zur DNS-Security oder zum Thema Firewall haben, kommen Sie auf uns zu. Wir beraten Sie gerne, wie Sie Ihre Sicherheit optimieren können!

Vereinbaren Sie einen Beratungstermin mit uns!

zur Übersicht

Kai Krebber

Sie haben Fragen?

Gerne beantworten wir Ihre Fragen und informieren Sie über unsere Referenzprojekte!

Nehmen Sie Kontakt auf

Das könnte Sie auch interessieren

Moderner Schutz fürs Data Center: Trend Micro Hybrid Cloud Security

Im Lauf der letzten Jahrzehnte konnten wir innerhalb der IT-Welt bei einer Art Transformation zusehen. Das Wort Transformation steht dafür, dass ein grundlegender Wandel stattfindet. Es treten sprunghafte Veränderungen z.B. bei technologischen Entwicklungen auf, die daraus resultieren, dass es sowohl neue Möglichkeiten, also auch veränderte Bedürfnisse gibt. Dabei ist dieser Entwicklungsprozess auch immer mit vielen Unsicherheiten verbunden.

30.04.21 09:30

Eine Firewall mit Röntgenblick

Firewalls sind aus den heutigen Kommunikationsketten zwischen Firmennetzen und dem Internet nicht mehr wegzudenken und auch den Ruf sie seien reine Paketfilter, haben sie schon lange abgelegt.

16.04.21 09:13

Sicher & performant – immer & überall, mit Citrix

Weltweit arbeiten mehrere Millionen Anwender aus dem Mittelstand, Konzernen und auch aus der öffentlichen Verwaltung mit den Technologien von Citrix. Im letzten Jahr ist die Nutzung sprunghaft angestiegen – kein Wunder, denn wir sorgen mit unseren Lösungen dafür, dass Mitarbeiter*innen ihre tägliche Arbeit unabhängig von Zeit und Ort ausführen können. New Work ist im Alltag angekommen.

09.04.21 10:36

Robert F. Krick

Geschäftsführer

Starten Sie jetzt
eine Anfrage

In unseren Stellenausschreibungen nicht den passenden Job gefunden? Macht nichts. Unser Team wächst stetig, deshalb sind wir immer auf der Suche nach Teamplayern und freuen uns über Deine Initiativbewerbung. Sende uns diese an: bewerbung@krick.net