von Redaktion IT-A…
Lesezeit
3 Minuten
Mehr Netzwerksicherheit durch Passive DNS
In den vergangenen Jahren haben die Angriffe auf DNS-Infrastrukturen stark zugenommen: DDoS-Angriffe gegen autoritative Nameserver, Nutzung von Nameservern als Verstärker von DDoS-Attacken, kompromittierte Registrar-Accounts, um Delegierungseinträge zu modifizieren, Cache-Poisoning-Angriffe und Missbrauch von Nameservern durch Malware. Es wurden jedoch auch leistungsfähige neue Gegenmaßnahmen entwickelt. Dazu zählt etwa Passive DNS, das bei optimaler Nutzung die DNS-Sicherheit deutlich erhöht. In unserem Fachartikel erfahren Sie mehr.
Zu den Gegenmaßnahmen gegen DNS-Angriffe gehören Response Policy Zones (RPZ), Response Rate Limiting und DNS Security Extensions. Diese sollen die DNS-Sicherheit und die Sicherheit des Internets im Allgemeinen verbessern. Mit Passive DNS existiert jedoch noch eine weitere vielversprechende Methode, die bislang noch nicht optimal zum Einsatz kommt.
Datenbanken zur Echtzeit-Erkennung
Eine Vielzahl an Organisationen stellt Datenbanken zur Verfügung, auf denen Passive-DNS-Sensoren Informationen zu Domainnamen hochladen. Über mehrere Jahre hinweg haben sich so bereits zahlreiche Daten aus der ganzen Welt angesammelt. Mithilfe dieser Informationen lässt sich dann unter anderem feststellen, welche Nameserver zum Beispiel infoblox.com bisher verwendet hat oder welche DNS-Anfragen für die A-Records von infoblox.com im April 2012 aufgelöst wurden. Außerdem lassen sich anhand einer als bösartig bekannten IP-Adresse alle Domainnamen finden, die Passive-DNS-Sensoren kürzlich dieser IP-Adresse zugeteilt haben.
Passive-DNS-Datenbanken erlauben somit nahezu in Echtzeit die Erkennung von Cache-Poisoning und betrügerischen Veränderungen der Delegierungseinträge. Administratoren von Organisationen können daher in regelmäßigen Abständen eine Passive-DNS-Datenbank abfragen, um herauszufinden, welche Adressen ihren Domainnamen laut Passive-DNS-Sensoren zugeordnet sind. Jede Abweichung von den Zuordnungen in autoritativen Zonendaten könnte ein Hinweis auf eine Gefährdung sein.
Eine der beliebtesten und bekanntesten Datenbanken, DNSDB, stammt von dem amerikanischen IT-Sicherheits-Unternehmen Farsight Security. Andere Organisationen, die Datenbanken betreiben, sind beispielsweise Googles Online-Antiviren-Portal VirusTotal, die deutsche Unternehmensberatung BFK, die luxemburgische IT-Security-Initiative CIRCL (Computer Incident Response Center Luxembourg) und die estländische Technologieorganisation CERT Estonia (Computer Emergency Response Team).
Rekursives Verfahren als Grundprinzip
Doch wie funktioniert Passive DNS? Ursprünglich handelt es sich dabei um eine Abwehrmaßnahme gegen Malware, die der Sicherheitsanalytiker Florian Weimer im Jahr 2004 entwickelt hat. Der Methode liegt das rekursive Verfahren von Name-Servern zugrunde. Diese sollen die Antworten, die sie von anderen Name-Servern erhalten, protokollieren und in eine zentrale Datenbank kopieren.
Ein Name-Server geht dabei wie folgt vor: Wenn er eine Anfrage empfängt, untersucht er autoritative Daten sowie seinen Cache nach einer Antwort. Bei einer nicht auflösbaren Anfrage, richtet er sich in der Regel an einen Root-Name-Server. Hier geht er Verweisen nach, bis er schließlich den autoritativen Name-Server identifiziert hat. Mit dessen Hilfe löst er die Anfrage auf und fordert anschließend die Lösung an. Der Prozess läuft dann wie folgt ab:
Passive-DNS-Daten erfasst ein rekursiver Name-Server in den meisten Fällen auf unmittelbare Weise. Das heißt, er muss sich dabei nicht an einen Root-Name-Server wegen Verweisen richten. Denn Passive-DNS-Daten bestehen größtenteils aus Verweisen und Antworten von autoritativen Name-Servern im Internet. Diese Daten enthalten einen Zeitstempel und werden in komprimierter Form in einer zentralen Datenbank repliziert. Sie dient zur Archivierung und Analyse, Duplikate werden dabei entfernt.
Zu beachten ist, dass nur die Server-zu-Server-Kommunikation erfasst wird. Anfragen eines vorangeschalteten Stub-Resolvers an den rekursiven Name-Server finden aus zwei Gründen keine Berücksichtigung: Zunächst gibt es zwischen zwei Servern merklich weniger Kommunikation als zwischen einem Stub-Resolver und einem rekursiven Nameserver. Außerdem kann die Server-zu-Server-Kommunikation nicht zu einem bestimmten Stub-Resolver zurückgeführt werden, weshalb der Datenschutz hier eher weniger wichtig ist.
Response Policy Zones als Schutzmechanismus
Bei böswilligen Domainnamen im Passive DNS können Response Policy Zones zum Einsatz kommen. Dabei handelt es sich um DNS-Zonen, die Regeln beinhalten. Eine Regel könnte beispielsweise so aussehen: "Wenn jemand versucht, A-Records für diesen Domainnamen zu erfassen, antworte mit der Fehlermeldung, dass der Domainname nicht existiert." Response Policy Zones eignen sich daher dafür, den Server-Kreislauf zu schließen und eine Auflösung böswilliger Domain-Namen zu stoppen. Auf diese Weise verhindern sie eine Weiterverteilung an Abonnenten im Internet.
Organisationen können Response Policy Zones schnell und effizient im Internet übertragen und die dort enthaltenen Regeln sofort durchsetzen. Die entsprechenden Regeln können IT-Experten entwickeln, die sich mit der Analyse von Passive-DNS-Daten beschäftigen und böswillige Domainnamen identifizieren.
Fazit
Generell werden Passive-DNS-Daten unterschiedlich aufgezeichnet. Organisationen, die Passive-DNS-Daten beisteuern wollen, können auf rekursive Name-Server wie Knot und Unbound zurückgreifen. Sie bieten unter anderem Funktionen zur einfachen Erfassung von Passive-DNS-Daten. Kommt die Nutzung eines anderen Nameservers nicht infrage, können Organisationen auch verschiedene Tools zur Überwachung von Traffic einsetzen. Diese können beispielsweise den Datenverkehr auf dem Host, der den rekursiven Nameserver betreibt, protokollieren. Alternativ steht Administratoren ein kostenloses Programm namens dnstap [1] zur Verfügung, mit dem sie die Passive-DNS-Daten aus dem Name-Server auslesen können.
Mit der Nutzung von Passive-DNS-Sensoren können Organisationen nahezu in Echtzeit wichtige Informationen über ihre Domain-Namen erhalten. In Verbindung mit Sicherheitslösungen wie Response Policy Zones haben sie ein effizientes Schutzsystem, mit dem sie Angriffe auf ihre DNS-Infrastruktur abwenden können. Weitere Informationen gibt es auf der Website von Farsight [2]. Dort befindet sich auch eine Anleitung, die Schritt für Schritt die Einrichtung von Passive-DNS-Sensoren beschreibt.
ln/Cricket Liu, Chief DNS Architect bei Infoblox
[1] http://dnstap.info
[2] https://archive.farsightsecurity.com/Passive_DNS/
Datenbanken zur Echtzeit-Erkennung
Eine Vielzahl an Organisationen stellt Datenbanken zur Verfügung, auf denen Passive-DNS-Sensoren Informationen zu Domainnamen hochladen. Über mehrere Jahre hinweg haben sich so bereits zahlreiche Daten aus der ganzen Welt angesammelt. Mithilfe dieser Informationen lässt sich dann unter anderem feststellen, welche Nameserver zum Beispiel infoblox.com bisher verwendet hat oder welche DNS-Anfragen für die A-Records von infoblox.com im April 2012 aufgelöst wurden. Außerdem lassen sich anhand einer als bösartig bekannten IP-Adresse alle Domainnamen finden, die Passive-DNS-Sensoren kürzlich dieser IP-Adresse zugeteilt haben.
Passive-DNS-Datenbanken erlauben somit nahezu in Echtzeit die Erkennung von Cache-Poisoning und betrügerischen Veränderungen der Delegierungseinträge. Administratoren von Organisationen können daher in regelmäßigen Abständen eine Passive-DNS-Datenbank abfragen, um herauszufinden, welche Adressen ihren Domainnamen laut Passive-DNS-Sensoren zugeordnet sind. Jede Abweichung von den Zuordnungen in autoritativen Zonendaten könnte ein Hinweis auf eine Gefährdung sein.
Eine der beliebtesten und bekanntesten Datenbanken, DNSDB, stammt von dem amerikanischen IT-Sicherheits-Unternehmen Farsight Security. Andere Organisationen, die Datenbanken betreiben, sind beispielsweise Googles Online-Antiviren-Portal VirusTotal, die deutsche Unternehmensberatung BFK, die luxemburgische IT-Security-Initiative CIRCL (Computer Incident Response Center Luxembourg) und die estländische Technologieorganisation CERT Estonia (Computer Emergency Response Team).
Rekursives Verfahren als Grundprinzip
Doch wie funktioniert Passive DNS? Ursprünglich handelt es sich dabei um eine Abwehrmaßnahme gegen Malware, die der Sicherheitsanalytiker Florian Weimer im Jahr 2004 entwickelt hat. Der Methode liegt das rekursive Verfahren von Name-Servern zugrunde. Diese sollen die Antworten, die sie von anderen Name-Servern erhalten, protokollieren und in eine zentrale Datenbank kopieren.
Ein Name-Server geht dabei wie folgt vor: Wenn er eine Anfrage empfängt, untersucht er autoritative Daten sowie seinen Cache nach einer Antwort. Bei einer nicht auflösbaren Anfrage, richtet er sich in der Regel an einen Root-Name-Server. Hier geht er Verweisen nach, bis er schließlich den autoritativen Name-Server identifiziert hat. Mit dessen Hilfe löst er die Anfrage auf und fordert anschließend die Lösung an. Der Prozess läuft dann wie folgt ab:
Passive-DNS-Daten erfasst ein rekursiver Name-Server in den meisten Fällen auf unmittelbare Weise. Das heißt, er muss sich dabei nicht an einen Root-Name-Server wegen Verweisen richten. Denn Passive-DNS-Daten bestehen größtenteils aus Verweisen und Antworten von autoritativen Name-Servern im Internet. Diese Daten enthalten einen Zeitstempel und werden in komprimierter Form in einer zentralen Datenbank repliziert. Sie dient zur Archivierung und Analyse, Duplikate werden dabei entfernt.
Zu beachten ist, dass nur die Server-zu-Server-Kommunikation erfasst wird. Anfragen eines vorangeschalteten Stub-Resolvers an den rekursiven Name-Server finden aus zwei Gründen keine Berücksichtigung: Zunächst gibt es zwischen zwei Servern merklich weniger Kommunikation als zwischen einem Stub-Resolver und einem rekursiven Nameserver. Außerdem kann die Server-zu-Server-Kommunikation nicht zu einem bestimmten Stub-Resolver zurückgeführt werden, weshalb der Datenschutz hier eher weniger wichtig ist.
Response Policy Zones als Schutzmechanismus
Bei böswilligen Domainnamen im Passive DNS können Response Policy Zones zum Einsatz kommen. Dabei handelt es sich um DNS-Zonen, die Regeln beinhalten. Eine Regel könnte beispielsweise so aussehen: "Wenn jemand versucht, A-Records für diesen Domainnamen zu erfassen, antworte mit der Fehlermeldung, dass der Domainname nicht existiert." Response Policy Zones eignen sich daher dafür, den Server-Kreislauf zu schließen und eine Auflösung böswilliger Domain-Namen zu stoppen. Auf diese Weise verhindern sie eine Weiterverteilung an Abonnenten im Internet.
Organisationen können Response Policy Zones schnell und effizient im Internet übertragen und die dort enthaltenen Regeln sofort durchsetzen. Die entsprechenden Regeln können IT-Experten entwickeln, die sich mit der Analyse von Passive-DNS-Daten beschäftigen und böswillige Domainnamen identifizieren.
Fazit
Generell werden Passive-DNS-Daten unterschiedlich aufgezeichnet. Organisationen, die Passive-DNS-Daten beisteuern wollen, können auf rekursive Name-Server wie Knot und Unbound zurückgreifen. Sie bieten unter anderem Funktionen zur einfachen Erfassung von Passive-DNS-Daten. Kommt die Nutzung eines anderen Nameservers nicht infrage, können Organisationen auch verschiedene Tools zur Überwachung von Traffic einsetzen. Diese können beispielsweise den Datenverkehr auf dem Host, der den rekursiven Nameserver betreibt, protokollieren. Alternativ steht Administratoren ein kostenloses Programm namens dnstap [1] zur Verfügung, mit dem sie die Passive-DNS-Daten aus dem Name-Server auslesen können.
Mit der Nutzung von Passive-DNS-Sensoren können Organisationen nahezu in Echtzeit wichtige Informationen über ihre Domain-Namen erhalten. In Verbindung mit Sicherheitslösungen wie Response Policy Zones haben sie ein effizientes Schutzsystem, mit dem sie Angriffe auf ihre DNS-Infrastruktur abwenden können. Weitere Informationen gibt es auf der Website von Farsight [2]. Dort befindet sich auch eine Anleitung, die Schritt für Schritt die Einrichtung von Passive-DNS-Sensoren beschreibt.
ln/Cricket Liu, Chief DNS Architect bei Infoblox
[1] http://dnstap.info
[2] https://archive.farsightsecurity.com/Passive_DNS/
