Jeder Laptop, jedes Handys, jedes Tablet: Das Erste, was sämtliche Geräte tun, wenn ein User beispielsweise seine Mails abruft oder andere webbasierte Anwendungen startet, ist die Abfrage des entsprechenden Domain Name System (DNS) Servers.
Doch wen verbindet die DNS-Kommunikation eigentlich miteinander? Was sind die Inhalte der DNS-Requests? Und gibt es unter Umständen versteckte Datenpakete, die in DNS-Anfragen eingebettet sind, um unbemerkt Informationen zu transportieren - sprich Malware zu verbreiten oder Daten zu stehlen?
Ungebetene Gäste im Netzwerk
Besorgniserregende Fragen - besonders dann, wenn es in Unternehmen kein konsistentes Logging oder Reporting über die DNS-Kommunikation gibt. Was vielerorts leider der Fall ist. Die Folge: Organisationen sehen nicht, was eigentlich über das Domain Name System angefragt wird – und auch nicht, durch wen. Das birgt große Risiken, denn clevere kriminelle Hacker missbrauchen die Netzwerkkomponente DNS, eigentlich zuständig für die Auflösung von Namen (etwa URLs) und IP-Adressen, auf immer raffiniertere Weise als "Türöffner" zu den Netzwerken ihrer Opfer.
Wie aber feststellen, ob bösartige Domains an der DNS-Kommunikation beteiligt sind, die in Verbindung mit Command-and-Control-Servern, Phishing-Webseiten oder Malware stehen? In erster Linie bieten sich an dieser Stelle zwei Lösungswege an:
der Abgleich von Anfragen an Server der eigenen Organisation mit kontinuierlich aktualisierten Datensätzen bekannt böswilliger Domains.
die Erstellung von Risikoprofilen durch sensible DNS Security Software, die nach typischen Charakteristika verdächtiger Anfragen sucht und diese isoliert, bevor sie den Ziel-Server erreichen.
So sind auch verdächtige Anfragen, die bislang noch nicht in einem Threat-Intelligence-Feed verzeichnet sind, rechtzeitig zu identifizieren – und können ausgebremst und umgehend in die Threat-Verzeichnisse aufgenommen werden.
- DNS Jumper - Archiv-Download
DNS Jumper ist ein portables Programm, das der Hersteller als ZIP-File zum Download anbietet. - DNS Jumper - Entpacktes ZIP-File
Nachdem Sie das Archiv entpackt haben, starten Sie die im Ordner "DnsJumper" enthaltene EXE-Datei. - DNS Jumper - GUI
Die GUI des Tools wirkt etwas angestaubt und zwängt alle Steuerelemente in nur ein Fenster. - DNS Jumper - Schnellsten DNS ermitteln
Trotz des Layouts lässt sich DNS Jumper weitgehend intuitiv bedienen, etwa um wie hier den Geschwindigkeitstest zu starten. - DNS Jumper - Server-Liste
Sie können bestimmte Anbieter vom Speed-Test ausnehmen, indem Sie das Häkchen in der Checkbox entfernen. - DNS Jumper - Ergebnis Speed-Test
Nach kurzer Zeit steht der schnellste Server fest, den Sie durch Klick auf die entsprechende Schaltfläche gleich übernehmen können. - DNS Jumper - Allgemeine Einstellungen
In den allgemeinen Einstellungen lässt sich unter anderem regeln, ob das Tool automatisch mit Windows gestartet oder im Systray abgelegt wird. - DNS Jumper - Einstellungen DNS-Liste
Die Einträge der DNS-Server-Liste lassen sich einsehen und anpassen, etwa wenn eine IP-Adresse veraltet ist. - DNS Jumper - DNS-Server hinzufuegen
Wenn Sie bekannte Server auf der Liste vermissen, können Sie diese einfach hinzufügen. - DNS Jumper - IPv6-DNS-Liste
Die IPv6-Liste erscheint erst, wenn Sie das entsprechende Kontrollkästchen aktivieren. - DNS Jumper - IPv6 nutzen
Auch im Hauptfenster müssen Sie die IPv6-Unterstützung explizit einschalten. - DNS Jumper - DNS-Voreinstellungen
Über den Eintrag "Voreinstellung" können Sie immer die Default-Konfiguration rasch wiederherstellen. - DNS Jumper - IPv6-Test-Fehlermeldung
Ein Manko des Programms liegt darin, dass Sie derzeit für IPv6 keinen Speed-Test durchführen können. - DNS Jumper - Systray
Haben Sie DNS Jumper im Systray geparkt, können Sie per Kontextmenü auf die häufigsten Befehle zugreifen.
Riskante DNS-Kommunikation
Die Betonung liegt dabei auf dem Wort 'rechtzeitig'. Denn der wichtigste Faktor, um das eigene Netzwerk vor dubiosen Anfragen zu schützen, deren Muster zum Beispiel auf Zero-Day-Attacken oder Data Exfiltration schließen lassen, ist: Zeit. Auch solche DNS-Verhaltensanalysen, die einen fundierten "Threat Insight" ans Licht bringen sollen (ohne bereits auf einen Threat Intelligence Feed zurückgreifen zu können), müssen mit extrem kurzen Reaktionszeiten oder idealerweise in Echtzeit arbeiten.
Hintergrund: Riskante DNS-Kommunikation muss umgehend unterbrochen, umgeleitet (etwa auf eine Alert-Seite) oder in Quarantäne genommen werden, wenn Anfragen "Alarmsignale" enthalten, wie etwa einen hohen Anteil an Hex-Codes statt lesbarer Inhalte und weitere Anomalien. Anderenfalls könnte die Anfrage ihren Zielserver erreichen und nur noch im Nachgang als bösartig dokumentiert werden – zu spät für das gekaperte Netzwerk. Besonders groß ist das Risiko dann, wenn keine automatisierten Prozesse etabliert sind und im entscheidenden Moment keine manuelle Intervention erfolgt.
Es gilt also sicherzustellen, dass nicht einfach Namen in Adressen aufgelöst werden und mögliche versteckte Inhalte an Firewalls und Co. vorbeigeschleust werden. Der entscheidende Check findet bereits im Vorfeld statt - und das möglichst in Realtime: Ist der betreffende Name eigentlich gut- oder bösartig? Nicht umsonst gibt rund die Hälfte der Befragten einer Studie des Ponemon Institute an, dass die Aussagekraft von Threat-Intelligence-Analysen immer nur wenige Minuten umfasse. Kontinuierliche Datenaktualisierung und permanente Analyse statt gelegentlicher und schnell überholter Momentaufnahmen sind also dringend angezeigt.
Netzwerkfunktion Security
Bei immer komplexeren IT-Umgebungen und folglich immer mehr DNS-Kommunikation steht fest: Mit manuellen Prozessen alleine lässt sich konsistente und tiefgreifende DNS-Verhaltensanalyse nicht mehr gewährleisten. Alleine die ständig steigende Anzahl eingebundener Geräte sorgt dafür, dass Unternehmen ihre Endpunkte trotz Next Generation Firewalls oft nicht mehr im Blick behalten können.
Bestes Beispiel: IoT-Devices, die selbst über keine Management Software verfügen und für die keine regelmäßigen Patches vorgesehen sind. Immer mehr Netzwerke sind zudem automatisiert, was eine Automatisierung der Netzwerk-Steuerung und -Kontrolle obligatorisch macht. Insgesamt sollte IT-Sicherheit daher konsequenterweise als Netzwerkfunktion gedacht werden und nicht als reine Client-Thematik. Um Kunden bei der Umstellung von manueller auf automatisierte Netzwerk-Kontrolle und Fehlerbehebung zu unterstützen, arbeiten inzwischen zahlreiche Hersteller zusammen.
Dass das Thema bereits große Relevanz hat, zeigt ein weiterer Blick auf die bereits genannte Ponemon-Untersuchung: 47 Prozent der Befragten setzen bei Threat Investigation in ihren Unternehmen bereits auf automatisierte Prozesse oder auf hybride Ansätze, die manuelles und automatisiertes Vorgehen verbinden. Bedenklich aber ist dabei, dass 46 Prozent der Befragten sich nach wie vor auf manuelle Prozesse verlassen – ein Risikofaktor, der täglich mit der Digitalisierung der Unternehmensprozesse wächst. Wer beim Thema Netzwerksicherheit Automatisierung und einen kontinuierlichen Echtzeit-Ansatz integriert, macht es ungebetenen Gästen deutlich schwerer, sein Netzwerk zu entern. (fm)