Wie DNSSEC Ihre Domain vor DNS-Schwachstellen schützt

Von 28. März 2019Domains

Das Domain Name System des Internets ist mit großen Angriffen konfrontiert. ICANN, die für die DNS-Infrastruktur zuständige Organisation, fordert nun alle Domain-Namen-Besitzer auf, auf DNSSEC umzusteigen, um „laufende und erhebliche“ Risiken zu vermeiden. Glücklicherweise unterstützen wir nicht nur DNSSEC, sondern bieten auch andere Sicherheitslösungen an, die es ergänzen.

Domain-Namen-Besitzer aufgefordert, auf DNSSEC umzusteigen

Die ICANN hat gerade vor „anhaltenden und erheblichen Risiken für wichtige Teile der DNS-Infrastruktur“ gewarnt. Ein Bericht über DNS-Angriffe, der auf der ICANN-Website erscheint, zeigt, dass bösartige Aktivitäten, die auf DNS abzielen, weitreichend sind. Sie gefährden Regierungs-, Telekommunikations- und Internetinfrastrukturen in den Vereinigten Staaten, den Niederlanden und dem Nahen Osten.

Die Mitteilung der ICANN macht deutlich, dass die Bedrohungen für die DNS-Infrastruktur anhaltend sind. Diese Bedrohungen sind jedoch nicht neu. Hier eine kurze Beschreibung wie sie typischerweise funktionieren:

  • Benutzer sind kriminellen Einflüssen ausgesetzt, wenn eine Domain nicht gesichert ist.
  • DNS-Schwachstellen ermöglichen es Cyberkriminellen, den Prozess der Suche nach IP-Adressen zu missbrauchen.
  • Hacker übernehmen die Kontrolle über ein Lookup und leiten Benutzer auf eine irreführende Website weiter.
  • Von hier aus greifen Hacker auf die persönlichen Daten der Benutzer zu: Passwörter, E-Mail, VPN-Anmeldeinformationen, Bankkontonummern usw.
  • Und darin liegt das Problem mit DNS, einem System, das ohne viel Bedacht auf Sicherheit entwickelt wurde.

Um kriminelle Beeinträchtigungen durch DNS-Schwachstellen zu vermeiden, mahnt die ICANN die Inhaber von Domainnamen, sofort auf DNSSEC umzusteigen. DNSSEC, oder Domain Name System Security Extensions, bietet eine wesentlich verbesserte DNS-Sicherheit. Wie die ICANN in ihrer Warnmeldung ausführt:

„Obwohl DNSSEC nicht alle Formen von Angriffen auf das DNS lösen kann, können bei dessen Verwendung unbefugte Änderungen an DNS-Informationen erkannt werden, und Benutzer werden daran gehindert, falsch weitergeleitet zu werden“.

Wie DNSSEC funktioniert

DNSSEC validiert die verschiedenen Verzeichnisdienste, die an einer Suche beteiligt sind: die Root (die oberste Ebene des Internetverzeichnisses), die TLD (.COM,.NET, etc.) und den Domain-Namen (Beispiel.COM, Beispiel.NET, etc.). Dieser Prozess der Validierung erzeugt eine Authentifizierungskette.

Jeder dieser Verzeichnisdienste wird von einer anderen Einheit verwaltet. So wird beispielsweise die Root von der ICANN verwaltet, während .COM von der Registry Versign verwaltet wird. Der DNSSEC-Validierungsprozess stellt sicher, dass Ihr Look-Up an die richtige Entität weitergeleitet wird (im Gegensatz zu einem Betrüger) und liefert so das Ergebnis, nach dem Sie tatsächlich suchen. Dieser Validierungsprozess wird DNSSEC Signed genannt.

Sobald ein Domainname von DNSSEC signiert wurde, kann er nicht mehr von einem Cyberkriminellen gekapert werden. Eine Verbindung kann nicht mehr abgefangen und auf eine gefälschte Seite umgeleitet werden. Folglich besteht für einen Nutzer nicht mehr die Gefahr, dass er einem Hacker seine persönlichen Daten zur Verfügung stellt.

DNS-Sicherheit hat bei EBRAND Services oberste Priorität

EBRAND Services unterstützt natürlich DNSSEC. Aber wir bieten auch zusätzliche Sicherheitstools und -dienstleistungen an und befolgen strenge Industriestandards, um sicherzustellen, dass jeder bei uns registrierte Domainname sicher bleibt. Im Folgenden finden Sie eine Liste der routinemäßigen Vorsichtsmaßnahmen, die wir bei allen unseren Domains ergreifen:

  • Sicherstellung, dass alle Systemsicherheitspatches überprüft und angewendet wurden.
  • Überprüfung der Protokolldateien auf unbefugten Zugriff auf Systeme, insbesondere auf Administratorzugriff.
  • Überprüfung der internen Kontrollen für den Administratorzugriff („root“).
  • Überprüfung der Rechtmäßigkeit jedes DNS-Eintrags und der Änderungshistorie dieser Datensätze.

Unsere DNS-Plattform ist sehr zuverlässig und bietet folgende Vorteile:

  • Verteilte DNS-Server, die Anycast verwenden, eine der zuverlässigsten DNS-Optionen auf dem Markt.
  • Große Cloud-basierte Infrastruktur, die vor DDoS-Angriffen schützt.
  • DNSSEC-Schutz vor DNS-Spoofing, den Sie direkt von Ihrer Domainverwaltungsseite aus aktivieren können.
  • Proprietäre Nicht-Open-Source-Plattform, die weniger anfällig für Online-Bedrohungen ist.

Andere zu berücksichtigende Sicherheitsvorkehrungen für die Domains

Wir sehen es als unsere Verantwortung an, Ihren Domainnamen vor Missbrauch zu schützen. Aber es gibt noch einige Vorsichtsmaßnahmen, die Sie selbst treffen sollten, um einen maximalen Schutz zu gewährleisten. Im Folgenden finden Sie eine Liste der grundlegenden Sicherheitsmaßnahmen, die wir allen unseren Kunden empfehlen:

  • Befolgen Sie die Best Practices für das Passwortmanagement in Bezug auf Komplexität, Länge, die Notwendigkeit, sie regelmäßig zu ändern, mit wem Sie sie teilen, und speichern oder übertragen Sie sie niemals im Klartext.
  • Stellen Sie sicher, dass DNS-Zonenaufzeichnungen DNSSEC signiert sind und Ihre DNS-Resolver die DNSSEC-Validierung durchführen.
  • Stellen Sie den Schutz der Endbenutzer/Domainkommunikation mit einem SSL-Zertifikat sicher.
  • Aktivieren Sie die zweistufige Verifizierung Ihres EuroDNS-Kontos, insbesondere für den Administratorzugriff.
  • Stellen Sie sicher, dass Ihre E-Mail-Domain über eine DMARC-Policy mit SPF und/oder DKIM verfügt und dass Sie die Policies anderer Domains auf Ihrem E-Mail-System durchsetzen.

Der Artikel erschien zuerst auf dem Blog unserer Muttergesellschaft EuroDNS.

Lutz Berneke
Group CEO bei EBRAND Services S.A.
Lutz Berneke ist Group CEO der EBRAND Services Unternehmensgruppe, mit Hauptsitz in Luxemburg.