User Experience verbessern und absichern

Microsoft Office 365 - Geringe Laufzeiten dank lokaler DNS-Server

04.07.2019
Von 


Frank Ruge ist seit 2016 bei Infoblox als Senior Director & General Manager Central Europe tätig. Er ist für die Sales- Marketing- und auch Channel-Teams verantwortlich. Die DACH-Region sowie die Länder Osteuropas die GUS-Staaten und Russland fallen in sein Verantwortungsgebiet. Als Systemingenieur bei Cisco angefangen und dort langjährig tätig gewesen, hat sich Frank Ruge als Experte im Bereich Netzwerksicherheit mit zahlreichen Vorträgen und Fachbeiträgen etabliert.
Lokale DNS-Server ermöglichen geringe Laufzeiten für die beste User-Experience mit MS Office 365. Sie müssen aber vor DNS Tunneling geschützt werden. Sonst drohen geschäftsschädigende Folgen.

Microsoft Office 365 ist eine der am meisten verwendeten SaaS-Lösung weltweit. Denn mit seiner ständigen und globalen Verfügbarkeit, sowohl über Kontinente als auch über unterschiedliche Devices, erfüllt es die Anforderungen eines modernen Arbeitsplatzes. Anwender schätzen dies.

Doch was ist, wenn die Benutzerfreundlichkeit leidet? Um dies zu vermeiden, müssen Unternehmen ihr Augenmerk auf einen ganz bestimmten Baustein ihrer IT-Infrastruktur lenken: die DNS-Architektur. Dies gilt besonders für Unternehmen, die Microsoft Office 365 global nutzen.

Bislang haben viele Unternehme auf zentralisierte DNS-Dienste gesetzt. Mit Microsoft Office 365 und anderen SaaS-Diensten funktioniert das nicht mehr. Denn die Anwendungen gehen damit von einem falschen Ort des Benutzers aus. Die Folgen: Die Laufzeit der Datenpakete ist stark erhöht. Die User-Experience leidet.

Ohne das Domain Name System (DNS) würde in einem Unternehmen kaum etwas funktionieren - schon gar nicht SaaS-Lösungen wie Microsoft Office 365, die auf das Internet angewiesen sind.
Ohne das Domain Name System (DNS) würde in einem Unternehmen kaum etwas funktionieren - schon gar nicht SaaS-Lösungen wie Microsoft Office 365, die auf das Internet angewiesen sind.
Foto: Godfried Edelman - shutterstock.com

Warum ist DNS überhaupt relevant für Microsoft Office 365?

Das Domain Name System, kurz DNS, sorgt dafür, dass Informationen aus dem Internet bei Nutzern ankommen. Ohne DNS würde in einem Unternehmen kaum etwas funktionieren - schon gar nicht SaaS-Lösungen wie Microsoft Office 365, die auf das Internet angewiesen sind.

BEISPIEL: Mitarbeiter Herr Müller arbeitet normalerweise in der deutschen Zentrale seines Unternehmens. Allerdings ist er im Moment auf Geschäftsreise in Brasilien. Dort möchte er wie gewohnt Microsoft Office 365 nutzen.

Folgende Kette setzt der Nutzer in Gang:

- Er stellt eine DNS-Anfrage an den lokalen DNS-Server seines Unternehmens.
- Der lokale DNS-Server schickt die Anfrage an Microsoft GEO Data DNS.
- Microsoft GEO Data DNS erkennt anhand der IP-Adresse des Nutzers, wo sich dieser gerade befindet.
- Microsoft GEO Data DNS schickt die lokale IP-Adresse des Microsoft Datacenters an die Nutzer-DNS zurück.
- Damit verbindet sich der Nutzer mit dem lokalen Microsoft Datacenter.

Die Lokations-Erkennung ist entscheidend dafür, ob die Daten weite Strecken über das Firmennetz zurücklegen müssen, oder ob sie über ein Microsoft-internes Netz transportiert werden. Unternehmen können diesen Vorgang mit ihrer DNS-Architektur beeinflussen. Microsoft selbst sagt auf seinem Blog:

"If your environment is making its DNS calls in a location on a different continent to where the user is physically located then you are going to get really bad performance with O365."

Was ist die DNS-Architektur?

Es gibt drei verschiedene Möglichkeiten einer DNS-Architektur.

1) Zentrale DNS-Architektur:
Herr Müller ist noch immer auf Geschäftsreise in Brasilien. Der DNS-Server seines Unternehmens ist in der Firmenzentrale in Deutschland. Möchte Herr Müller nun auf seine Office-365-Daten zugreifen, geht sein DNS-Request an den DNS-Server in Deutschland. Dort geht die Anfrage dann über den Internetprovider des Unternehmens an das Microsoft Datacenter in Deutschland. Dieses schickt die Informationen an den zentralen DNS-Server zurück und über das Firmennetzwerk bekommt Herr Müller schließlich große Datenmengen zur Verfügung gestellt. Diese weiten Wege führen zu Verzögerungen und zu einer schlechten User-Experience.

2) Regionale Hubs:
Herr Müller ist auch in diesem Fall in Brasilien. Allerdings verfügt das Unternehmen über einen regionalen Hub in den USA. Über den amerikanischen Internet Service Provider gelangt die DNS-Anfrage von Herrn Müller an das regionale Microsoft Datacenter. Microsoft erkennt, Herr Müller sitzt in den USA und schickt die Daten über sein internes Netz in die USA. Von dort geht es über das Firmennetzwerk zu Herrn Müller.

3) Lokale Architektur:
Herr Müllers DNS-Anfrage geht in diesem Fall über den lokalen, brasilianischen Internetanbieter an das Microsoft Datacenter. Microsoft schickt die Daten über sein internes Netz zum regionalen Datacenter in Brasilien. Von dort bekommt Herr Müller seine Daten über das Firmennetz.

Für SaaS-Dienste, wie Microsoft Office 365, bedeutet dies:
Eine lokale Architektur mit dezentralen Internet-Breakouts ist ideal. Denn die Laufzeiten sind gering und die User-Experience ist optimal

Sicherheitslücke DNS

Lokale DNS-Architekturen und dezentrale Internet-Breakouts müssen aber auch abgesichert werden. DNS-Tunneling ist dabei das Stichwort. Cyber-Kriminelle haben es auf Daten aller Art abgesehen: Kreditkartendaten, Passwörter, Personaldaten,…. Diese müssen aus dem Unternehmen unbemerkt herausgeschleust werden. Das Domain Name System ist dafür der perfekte Weg, denn es bietet die idealen Voraussetzungen für einen Angriff.

Die Kommunikation zum DNS-Server muss stets funktionieren, denn das sogenannte "Telefonbuch des Internets" übersetzt einfache URL-Adressen in die zugehörigen, sperrigen IP-Adressen. Dabei führt der Weg meistens über den Port 53. Die Gefahr: Port 53 ist in 10 von 10 Fällen offen.

Angreifer nutzen diesen offenen "Highway 53" indem sie eine Domain registrieren. Diese empfängt DNS-Pakete, die ein durch Malware infizierter Client nach außen schickt. Dabei müssen Daten zwar in unterschiedliche Größen aufgeteilt werden, was etwas mühselig ist, aber der Aufwand lohnt sich: Da der DNS-Server denkt, die Daten gehen an eine externe Domain, lässt er die Daten durch. Damit erreichen Kriminelle ihr Ziel und können in Ruhe ihren Machenschaften nachgehen.

Herr Müller möchte sich nicht mit IT-Fragen herumschlagen. Er möchte einfach die Leistungen von Microsoft Office 365 nutzen - egal, wo er sich gerade befindet. Domain Name System und DNS-Tunneling sind für ihn Fremdwörter. Umso wichtiger ist es für die Unternehmens-IT sich mit der DNS-Architektur auseinander zu setzen und diese adäquat abzusichern.

Meine Handlungsempfehlungen

- Lokale DNS-Server für benutzerfreundliches Microsoft Office 365: Über den lokalen DNS-Service werden DNS-Queries in das Internet geschickt. Für Office 365 bedeutet das, dass eine Anfrage an das Geo DNS geht. Um eine schnelle, fehlerfreie Antwort zu erhalten, ist eine IP-Adresse, die der Geolocation entspricht, ideal.

- Zentrale Verwaltung lokaler DNS-Server: Konfiguration, Updates und Trouble Shooting sollte auch bei lokalen DNS-Servern an zentraler Stelle geschehen.

- Lokaler Schutz: DNS arbeitet nicht auf Daten-, sondern auf Kontroll-Ebene und kann dadurch skalierbar eingesetzt werden. Egal, ob es um bekannte Angriffsvektoren geht, oder um Zero-Day-Attacken. Ein Schutz lässt sich nicht nur technisch realisieren, sondern ist auch mit dem Blick auf das Budget gut umsetzbar.