DNS ist das Rückgrat unserer Kommunikation über das Internet. Das Domain Name System wandelt die IP-Adressen der Server in für Menschen les- und erinnerbare URLs um. Dadurch bietet DNS für Kriminelle ein interessantes Angriffsziel – sowohl für interne wie für externe Attacken. Ein gutes Beispiel für einen externen Angriff ist die Attacke der so genannten „Syrian Electronic Army“ auf die NY Times. Aktuell sieht es so aus, als hätten sich die Angreifer Zugriff auf den Registrar der Domain verschafft und die DNS-Einträge geändert. Sobald die Änderungen durch die Hierarchie des Domain Name Systems verbreitet wurden, wurde statt der New York Times die entsprechende Webseite der Angreifer dargestellt. Das zeigt den „Vorteil“ einer DNS-Attacke: Die Angreifer müssen sich nicht mit den wahrscheinlich aufwändigen Sicherheitsvorkehrungen des jeweiligen Ziels auseinandersetzen, sondern nehmen stattdessen den Dienstleister ins Visier, der für die DNS-Einträge zuständig ist.
Die zweite Variante sind interne Angriffe, wie sie meist von Viren oder anderer Malware verwendet werden. Dabei attackieren die Schädlinge den DNS-Server des lokalen Netzwerks, beispielsweise den in jedem DSL-Router integrierten, und versuchen ihn zu manipulieren. Ist diese Attacke erfolgreich, lassen sich Verbindungen zu Webseiten beliebig umleiten. In der Praxis lassen sich so etwa Zugangsdaten zu Cloud-Diensten abgreifen. Denn wer DNS kontrolliert, kontrolliert die angesteuerten Ziele einer jeden Webverbindung.
Entsprechend sollten Unternehmen genügend Ressourcen bereitstellen, um die DNS-Server im eigenen Unternehmen vor Attacken zu schützen. Leider gibt es keine Lösung vom Typ „Ein-Klick-schützt-Alles“, aber im Technet haben wir eine ausführliche Checkliste zusammengestellt. Die Liste behandelt zehn verschiedene Bereiche, die den DNS-Server im Active Directory Domain Service (AD DS) gegen Attacken absichern. Zu jedem einzelnen Punkt gibt es Verweise, die den entsprechenden Bereich weiter ausführen und Einzelheiten liefern.
Zusätzlich zur Checkliste haben wir ein weiteres Kapitel im Technet online gestellt, das sich mit dem Thema „DNS absichern“ beschäftigt. Der Beitrag geht nicht nur genauer auf die Server oder die Bereitstellung von DNS ein, sondern erklärt zusätzlich das Absichern von DNS-Zonen und DNS-Clients.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.