DNS Firewall und Threat Intelligence Feed
Die Grundlage des DNS-Schutzes liefert eine eigene DNS Firewall. Sie funktioniert nach dem gleichen Prinzip, das man von Spamfiltern her kennt: Sie kombiniert Blacklists mit einem Reputationsfilter für bekannte malicious Domains. Nimmt ein Endgerät mit einer gelisteten oder verdächtigen Domain Kontakt auf, kann die DNS Firewall den Datenverkehr stoppen und das Security-Team oder SIEM-System informieren. DNS Firewalls können mittels Reputationsfilter auch den verschlüsselten Datenverkehr von TOR Exit Nodes filtern. Besser ist es noch, wenn mit Machine Learning die Anwesenheit von Daten in DNS-Anfragen erkannt wird - und dafür gibt es einige Muster wie Entropie, lexikalischer Analyse oder die Menge verschlüsselter Daten. Anwender sollten auch darauf achten, dass der DNS-Firewall-Hersteller über einen leistungsfähigen Mechanismus zur Aktualisierung der Bedrohungsinformationen (Threat Intelligence Feed) verfügt und auch externe Feeds einbinden kann. Denn neue Domänen sind im Handumdrehen eingerichtet.
Über die DNS-Firewall hinaus braucht man eine laufende Überwachung des DNS-Datenverkehrs. Sie kann bei DNS-Anfragen Alarm schlagen, die - wie das Beispiel oben - auffällig lange Subdomains oder Domainnamen beinhalten. Da echte Anfragen nach unbekannten Domains meist durch die Endanwender selbst initiiert sind, helfen auch Alerts bei neuen DNS-Anfragen, die zu ungewöhnlichen Zeiten - etwa außerhalb der Geschäftszeiten - stattfinden.
DNS Tunnel werden nicht nur von Angreifern genutzt
Leider erschweren einige Faktoren das DNS Monitoring. So gibt es zum Beispiel zahlreiche legitime Lösungen, die über DNS Tunnel kommunizieren: Manch ein WLAN-Router oder Kabelmodem, manch eine Antiviren- oder Host-IDS-Lösung bezieht ihre eigenen Threat Intelligence-Informationen oder Updates über einen DNS Tunnel. Auch aus anderen Gründen ist es in den letzten Jahren immer schwieriger geworden, normale DNS-Anfragen von bösartigen zu unterscheiden. Denn mit der Einführung von IPv6, DNSsec (DNS Security Extensions), DKIM (DomainKeys Identified Mail) und anderen DNS-Erweiterungen hat inzwischen auch der legitime DNS-Verkehr an Volumen und Komplexität zugenommen. "Lange, kryptische Zahlenkombination" heißt längst nicht immer "Malware"; zudem fließen DNS-Daten heute nicht mehr nur über UDP, sondern auch über TCP (früher ein Indiz für einen Tunneling-Versuch). Angreifern fällt es dadurch leichter, ihren Datenklau zwischen dem alltäglichem DNS-Datenverkehr zu verstecken.
Mehr Schutz ist gefragt
Vor diesem Hintergrund hat sich eine neue Generation von Lösungen zur Abwehr von DNS-basierten Angriffen herausgebildet. Diese DNS Infrastructur Protection Lösungen vereinen DNS-Firewalling und DNS-Monitoring mit ausgefeilten Analysemechanismen wie DNS Deep Packet Inspection und mit automatisierten Maßnahmen, um DNS-Missbrauch möglichst schnell und effektiv zu unterbinden. Die Analysealgorithmen moderner DNS-Schutzlösungen suchen im Verkehr auf Port 53 zum Beispiel nach auffällig langen Subdomain-Namen mit hoher Entropie (Informationsdichte), was auf verschlüsselte Inhalte hindeutet. Den daraus errechneten Indexwert korrelieren sie mit zeit- oder verhaltensbasierten Hinweisen auf auffällige DNS-Nutzung, also zum Beispiel Anfragen nach nicht im Cache befindlichen Hostnamen zu statistisch auffälligen Zeiten. Sie adaptieren damit die aus dem HTTP-Umfeld bekannten Mechanismen einer intelligenten Verhaltensanalyse für den DNS-Datenverkehr - ergänzt um globale Threat Intelligence Feeds über die laufenden Veränderungen auf Angreiferseite.
So lange der geheime Weg in das Netzwerk nicht geschlossen und kontrolliert wird, sind weitere Leaks auf der Tagesordnung. Security-Verantwortliche sollten unbedingt umdenken und nicht nur ihre Haustür mit allen verfügbaren Mitteln schützen, verstärken und bewachen, sondern auch die Hintertür, das DNS - welches bisher oft nicht einmal verriegelt war.