Seit dem DDoS-Angriff (Distributed Denial of Service) im Jahr 2016 mit dem Botnet Mirai hat der DynDNS-Service eine Reihe einschneidender Veränderungen durchlaufen. Noch im selben Jahr wurde Dyn von Oracle übernommen, wodurch sich die Landschaft der Anbieter von Domain Name Systems (DNS) für Unternehmen erheblich verändert hat. Seit der Übernahme hat Dyn drei End-of-Life-Benachrichtigungen herausgegeben und angekündigt. Ab dem 31. Mai 2023 werden wichtige DNS-Serviceleistungen nicht mehr unterstützt, darunter:
- DNS Security Extensions (DNSSEC)
- Externe Nameserver
- Sekundäre DNS-Statusbenachrichtigungen
- Zone-Publish-Benachrichtigungen
- Benachrichtigung über erweiterte Serviceleistungen zur Überwachung von Agentenänderungen
Was bedeutet das?
Das bedeutet, dass Unternehmen einige Maßnahmen ergreifen müssen. Zuerst sollten sie sich für einen neuen DNS-Anbieter entscheiden und anschließend auf dessen Infrastruktur migrieren. Um zu verstehen, welche Risiken und Folgen mit einer Änderung der DNS-Serviceleistungen verbunden sind, müssen Unternehmen zunächst erkennen, welche Bedrohungen es auf der Ebene des autoritativen DNS-Hostings gibt.
DDoS
Für das heutige DNS sind DDoS-Angriffe die vielleicht am weitesten verbreitete und mit den massivsten Störungen verbundene Bedrohung. DDoS-Angriffe zielen auf Websites und Server ab, indem sie Netzwerkdienste unterbrechen und versuchen, die Ressourcen einer Anwendung zu überlasten. Die Verursacher dieser Angriffe überschwemmen eine Website mit falschem Datenverkehr und schränken so deren Funktionalität ein – oder legen sie komplett lahm. Da sich das ungesicherte „Internet der Dinge“ (Internet of Things, IoT) immer weiter verbreitet, können böswillige Akteure eine ganze Armee von Botnets für ihre Offensive aufstellen.
Die Motive für solche DDoS-Angriffe können vielfältig sein und reichen von Erpressung, der Verschleierung von Einbruchsversuchen oder staatlich unterstützten Angriffen über wettbewerbswidrige Geschäftspraktiken und Hacktivisten, die gegen die Aktivitäten eines Unternehmens protestieren möchten, bis hin zu gelegentlich selbst verursachten Angriffen durch versehentliche Fehlkonfigurationen. Wo und wann sie auftreten, lässt sich nicht vorhersagen. Um ihre Erfolgschancen zu erhöhen, zielen DDoS-Angriffe oft gleichzeitig auf Datenbanken, Anwendungen und Infrastruktur ab.
DNS Cache Poisoning
Beim „Vergiften des DNS-Zwischenspeichers“, auch bekannt als DNS Cache Poisoning oder DNS Spoofing, werden Fehlinformationen in einen DNS-Zwischenspeicher eingegeben, sodass DNS-Anfragen eine fehlerhafte Antwort zurückgeben und Nutzer auf falsche Websites geleitet werden. DNS-Resolver werden oft auch als Telefonbuch des Internets bezeichnet. Wenn Resolver richtig funktionieren, lösen sie Klarschrift in IP-Adressen auf und hinterlegen diese in einem lokalisierten Speicher, um die Häufigkeit von DNS-Anfragen zu reduzieren.
Zu den Motiven für DNS-Poisoning gehören Phishing, schädliche Inhalte – wie Computerwürmer oder Viren – und das Sammeln von personenbezogenen Daten wie Anmeldedaten oder Bankkartendetails. Sichern Sie das DNS mit DNSSEC – das kryptografische digitale Signaturen verwendet, die mit einem vertrauenswürdigen Public-Key-Zertifikat unterzeichnet sind, und die Authentizität von Daten feststellen und Cache-Poisoning-Angriffe abwehren kann.
Wie Unternehmen vor DNS-Bedrohungen geschützt werden können
Um DNS-Sicherheitsbedrohungen zu mindern, sollte ein vielschichtiger Ansatz gewählt werden. Das bedeutet, dass mehrere aufeinander abgestimmte Schutzstrategien zum Einsatz kommen sollten. Eine robuste DNS-Infrastruktur sollte in der Lage sein, DDoS-Angriffen von enormem Ausmaß standzuhalten, ohne dass die Verbindung für Kunden unterbrochen wird. Wenn Sie die Bandbreite-Aufnahmerate Ihres DNS-Anbieters kennen, können Sie die Widerstandsfähigkeit erhöhen und die mit Netzwerkereignissen verbundenen Risiken verringern. Auch eine geografische Verteilung von Knoten kann hilfreich sein, da sich auf diese Weise Vorteile wie eine höhere Georedundanz und eine kontinuierliche Datenübermittlung ergeben.
Mithilfe einer erstklassigen SOC-Infrastruktur wird anormaler Datenverkehr an 365 Tagen im Jahr rund um die Uhr überwacht und bereinigt, was meist auf lokaler Ebene erfolgen kann. Sobald mithilfe fortschrittlicher Datenanalysetechniken wie Telemetrie anormaler Datenverkehr entdeckt wurde, sollte er automatisch isoliert und mithilfe von Gegenmaßnahmen von den Zielservern weggeleitet werden, wobei am häufigsten die BGP-Umleitung (BGP: Border Gateway Protocol) genutzt wird. Wenn sich abzeichnet, dass der Angriffsverkehr die lokale Entschärfungskapazität übersteigt, sollte(n) das/die Zielsegment(e) auf globale Knoten verlagert werden. Mit einer separaten und erstklassigen DDoS-Infrastruktur können Kunden dafür sorgen, dass ihre geschäftskritische Infrastruktur online bleibt, während SOC-Spezialisten daran arbeiten, die DNS-Serviceleistugen möglichst unterbrechungsfrei wieder zu normalisieren. Diese Netzwerke sollten unabhängig geprüft werden und Kunden sollten öffentliche Bekanntmachungen zum Nachweis einer separaten Infrastruktur erhalten, die den vom American Institute of Certified Public Accountants in SSAE Nr. 18 festgelegten Bescheinigungsstandards entsprechen.
Analog zu einer separaten DNS-Infrastruktur ermöglicht ein sekundäres DNS einem oder mehreren DNS-Anbietern oftmals, autoritative DNS-Auflösungsdienste bereitzustellen und DDoS-Bedrohungen besser abzuschwächen. Die Aufrechterhaltung einer erweiterten autoritativen DNS-Funktion über verschiedene Anbieter hinweg hat sich für Unternehmenskunden bislang als schwierig erwiesen. Ultimate DNS wurde daher von CSC entwickelt, um die wachsenden Anforderungen von Unternehmen zu erfüllen. Es vereint alle Funktionen, die ein Unternehmen für die DNS-Verwaltung benötigt, und ermöglicht die nahtlose Integration seines DNS und Domain-Portfolios, CNAME-Flattening (ALIAS-Einträge) und Optionen für DNSSEC, Geo-Location, gewichtete Lastverteilung und Failover. Ultimate DNS verfügt zudem über die zusätzliche Redundanz eines zweiten globalen DNS-Anycast-Netzwerks über eine Benutzeroberfläche in Aktiv/Aktiv-Konfiguration auf einer erstklassigen Infrastruktur mit der branchenweit besten Verfügbarkeit.
Worauf sollten Sie bei der Auswahl eines DNS-Anbieters achten?
Allzu oft kommt es vor, dass Cloud-Anbieter lediglich Self-Service-Tools zur Verfügung stellen und die Möglichkeit einer separaten sekundären DNS-Infrastruktur einschränken, wodurch Kunden entsprechenden Risiken und Bedrohungen ausgesetzt sind. In Anbetracht der vorstehenden Erklärungen zu Bedrohungen und Methoden zu deren Abschwächung sollten Unternehmen einen DNS-Infrastrukturanbieter der Unternehmensklasse beauftragen, der:
- nachweislich eine Verfügbarkeit von 100 Prozent bieten kann
- in der Lage ist, die wachsende Bedrohung durch DDoS zu entschärfen
- neben der primären auch eine sekundäre Infrastruktur für Unternehmen anbietet
- sowohl in der primären als auch in der sekundären Infrastruktur erweiterte Funktionen bietet
- bei der Migration von DNS auf eine Erfolgsbilanz für die größten Marken der Welt verweisen kann
Wie die Migration oder der Übergang zwischen DNS-Anbietern sicher erfolgen kann
Eine erfolgreiche Migration bedeutet, dass für Ihr Unternehmen keine Unterbrechung entsteht. Mit einem gut definierten Projektplan und einem vorbereiteten Team wird das Risiko von Unterbrechungen oder damit verbundenen Ausfällen auf der DNS-Ebene deutlich reduziert.
Daher ist es wichtig, das richtige interne Team zusammenzustellen und einen DNS-Partner auszuwählen, der Ihre Migration unterstützen kann.
Warten Sie nicht bis zur letzten Minute. Je näher das End-of-Life von DynDNS am 31. Mai 2023 rückt, desto stärker werden die Ressourcen, die Anbieter zur Unterstützung von Unternehmen bereitstellen können, eingebunden sein. Auch wenn es verschiedene DNS-Anbieter gibt, zu denen Unternehmen migrieren könnten, erfüllen nur wenige davon die oben genannten Kriterien, die für Unternehmen von entscheidender Bedeutung sind. Begeben Sie sich daher bereits jetzt auf die Suche.
