Firmennetze lassen sich wirksam schützen, ohne auf eine Fritzbox als Router umsteigen zu müssen, die es einem einzelnen User ermöglicht, die NAT-Verbindung ins Internet für alle anderen zu unterbinden. Wichtig ist jedoch zu wissen, dass ein Update auf die aktuelle Version des DNS-Servers allein nicht ausreicht.
Ein Methode ist der Einsatz von Forwarding. Dabei konfiguriert man seinen Intranet-Server so, dass er alle Anfragen außerhalb der eigenen Domain an die DNS-Server des Interproviders weiterleitet. Voraussetzung ist natürlich, das man diese Server vorher mit nslookup oder dig testet.
Beim Microsoft-DNS-Server klickt man dazu in der Mangement Console des DNS-Server auf den eigenen Server und wählt "Eigenschaften" (Properties). Anschließend geht man auf den Reiter "Forwarders". Die DNS-Server trägt man ein, wie in Bild 11 gezeigt.
Bei Bind-Servern muss man die Config-Datei, meist /etc/named.conf, anpassen. Dies geschieht im Abschnitt "Options", siehe Bild 12. Mit der beschrieben Methode reduziert man die Wahrscheinlichkeit eines erfolgreichen Angriff auf dieselbe Wahrscheinlichkeit, wie sie die DNS-Server des Providers besitzen.
Noch sicherer ist es, im Internet mindestens zwei Server anzumieten. Meist reicht dabei ein virtueller Server. Verwendet man diese als Forwarder, reduziert man die Wahrscheinlichkeit eines Angriffs, weil die eigenen Forwarder im Gegensatz zu DNS-Servern großer Provider dem Angreifer unbekannt sind.
Bild 12 zeigt außerdem, dass die Version verschleiert wird. Dies ist wichtig, damit ein Angreifer keine Versionsabfragen durchführen kann und so versionsspezifische Schwachstellen ausnutzt. Microsoft-DNS-Server lassen grundsätzlich keine Versions-Abfrage mit einem Befehl wie "host -a -c CH version.bind [IP-Adresse]" zu.
Als grundsätzlich sicher wird der Einsatz der Domain Name System Security Extensions (DNSSEC) betrachtet. Das ist allerdings organisatorisch schwierig. Neben den Root-Servern und allen Top-Level-Domains muss beachtet werden, dass einige Länder Third-Level-Domains einsetzen, etwa .com.au oder .co.uk. Hinzu kommt die geplante Einführung beliebiger Top-Level-Domains seitens der ICANN. Bis DNSSEC tatsächlich verfügbar ist, werden vermutlich noch einige Jahre verstreichen.
Bildergalerie
- DNS-Cache-Angriffe: Patches in Firmennetzen meist wirkungslos
- DNS-Caching: weniger Traffic und weniger Sicherheit
- Angriff über die Additional Section: kein Problem für jeden Hacker
- Die Kaminsky-Attacke: etwas komplizierter, aber machbar
- Aktuelle Patches: für Firmennetze völlig untauglich
- Abwehrstrategien richtig planen und implementieren
- Fazit
Neueste Kommentare
Noch keine Kommentare zu DNS-Cache-Angriffe: Patches in Firmennetzen meist wirkungslos
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.