Absicherung von DNS-Zugriffen

Der Dienst zum Auflösen von Namen zur IP-Adresse ist der wichtigste Basisdienst in IP-Netzwerken. Ohne DNS geht nichts mehr, weder in der eigenen Windows Domäne noch im Internet. Alle anderen Dienste sind direkt oder indirekt von einer funktionierenden Namensauflösung abhängig. Durch diese große Abhängigkeit ist der DNS ein lohnendes Ziel für Angriffe oder Manipulationen.

Angriffe die direkt oder indirekt auf den DNS zielen sind nicht neu und man ist geneigt zu sagen, dass dies ein alter Hut sei. Dann aber muss man sich die Frage stellen, warum diese Attacken trotzdem immer wieder so erfolgreich sind? Jeder weiß um die Anfälligkeit aber es wird nichts dafür getan eine abgesicherte DNS Struktur aufzubauen.

In den meisten Windows Umgebungen lösen mit großer Wahrscheinlichkeit die Domain-Controller direkt in der Kommunikation mit externen DNS die Namen auf. Per Default ist keine Verkettung eingestellt und es werden die von Microsoft hinterlegten Root-Server verwendet um dann die eigentliche Auflösung durchzuführen. In kleineren Umgebungen sind es die DNS Server der Zugangsanbieter, die diese bei der Einwahl als Parameter mitgeben. Der eigene Zugangsrouter leitet die internen DNS-Anfragen an ihn einfach an die Server des Providers weiter.

Google hat im Dezember 2009 einen Vorstoß in Sachen abgesicherter DNS Server gemacht. Ab Mitte Februar steht nun der öffentliche Google DNS Dienst nicht mehr nur als Beta, sondern im Produktivbetrieb bereit. Das Entwicklerteam verfolgte zwei große Ziele mit den DNS Servern, sie sollen schnell und sicher sein. Jeder der die Google Server nutzt, kann die Geschwindigkeit bestätigen. Im Google Blog gab es einen Artikel anlässlich des Produktivbetriebs, der auch Angaben über die Nutzung enthielt. Laut Google werden über 70 Milliarden DNS Anfragen pro Tag beantwortet. Der weitaus interessanteste Wert dürfte aber die Angabe sein, dass mehr als 70% der Anfragen von außerhalb der USA kommen.

Dies zeigt, dass es einen Bedarf in Sachen schnellen und sicheren DNS gibt und sich nicht jeder auf die Systeme verlassen möchte, die der jeweilige Provider zur Verfügung stellt. Auch ist es keine gute Wahl, die eigenen Windows Domain Controller direkt mit beliebigen DNS Servern in Internet kommunizieren zu lassen. Eine solche Kommunikation sollte nicht ohne Kontrolle und mit entsprechenden Schutzmechanismen stattfinden. Auch wenn es für viele ausreichenden sein sollte die Dienste von Google diesbezüglich zu nutzen, sollte man trotzdem über die eigene DNS Infrastruktur nachdenken. Hier sollten die Punkte Verfügbarkeit, Geschwindigkeit und vor allem Sicherheit im Vordergrund stehen.

Eine pauschale Lösung oder schnelle Antworten gibt es hier, wie so oft, nicht. Eine DNS-Infrastruktur benötigt eine entsprechende Planung bei der nicht nur die offensichtlichen Anforderungen Beachtung finden. In komplexen Umgebungen spielen Faktoren wie zum Beispiel Verwaltbarkeit und administrativer Aufwand eine ebenso große Rolle wie der funktionierende Dienst an sich. Daher ist ein durchdachtes Konzept der erste Schritt für eine „saubere“ Implementierung der eigenen DNS Infrastruktur.

Bei Fragen stehen wir gerne zur Verfügung.