Seit dem DDoS-Angriff (Distributed Denial of Service) im Jahr 2016 mit dem Botnet Mirai hat der DynDNS-Service eine Reihe einschneidender Ver\u00e4nderungen durchlaufen. Noch im selben Jahr wurde Dyn von Oracle \u00fcbernommen, wodurch sich die Landschaft der Anbieter von Domain Name Systems (DNS) f\u00fcr Unternehmen erheblich ver\u00e4ndert hat. Seit der \u00dcbernahme hat Dyn drei End-of-Life-Benachrichtigungen herausgegeben und angek\u00fcndigt. Ab dem 31. Mai 2023 werden wichtige DNS-Serviceleistungen nicht mehr unterst\u00fctzt, darunter:<\/p>\n\n\n\n
Das bedeutet, dass Unternehmen einige Ma\u00dfnahmen ergreifen m\u00fcssen. Zuerst sollten sie sich f\u00fcr einen neuen DNS-Anbieter entscheiden und anschlie\u00dfend auf dessen Infrastruktur migrieren. Um zu verstehen, welche Risiken und Folgen mit einer \u00c4nderung der DNS-Serviceleistungen verbunden sind, m\u00fcssen Unternehmen zun\u00e4chst erkennen, welche Bedrohungen es auf der Ebene des autoritativen DNS-Hostings gibt.<\/p>\n\n\n
<\/p>\n\n\n
F\u00fcr das heutige DNS sind DDoS-Angriffe die vielleicht am weitesten verbreitete und mit den massivsten St\u00f6rungen verbundene Bedrohung. DDoS-Angriffe zielen auf Websites und Server ab, indem sie Netzwerkdienste unterbrechen und versuchen, die Ressourcen einer Anwendung zu \u00fcberlasten. Die Verursacher dieser Angriffe \u00fcberschwemmen eine Website mit falschem Datenverkehr und schr\u00e4nken so deren Funktionalit\u00e4t ein\u00a0\u2013 oder legen sie komplett lahm. Da sich das ungesicherte \u201eInternet der Dinge\u201c (Internet of Things, IoT) immer weiter verbreitet, k\u00f6nnen b\u00f6swillige Akteure eine ganze Armee von Botnets f\u00fcr ihre Offensive aufstellen.<\/p>\n
\n\n\n\n<\/p>\n
Die Motive f\u00fcr solche DDoS-Angriffe k\u00f6nnen vielf\u00e4ltig sein und reichen von Erpressung, der Verschleierung von Einbruchsversuchen oder staatlich unterst\u00fctzten Angriffen \u00fcber wettbewerbswidrige Gesch\u00e4ftspraktiken und Hacktivisten, die gegen die Aktivit\u00e4ten eines Unternehmens protestieren m\u00f6chten, bis hin zu gelegentlich selbst verursachten Angriffen durch versehentliche Fehlkonfigurationen. Wo und wann sie auftreten, l\u00e4sst sich nicht vorhersagen. Um ihre Erfolgschancen zu erh\u00f6hen, zielen DDoS-Angriffe oft gleichzeitig auf Datenbanken, Anwendungen und Infrastruktur ab.<\/p>\n
\n\n\n\n<\/p>\n
\n\n\n\n<\/p>\n
Beim \u201eVergiften des DNS-Zwischenspeichers\u201c, auch bekannt als DNS Cache Poisoning oder DNS Spoofing, werden Fehlinformationen in einen DNS-Zwischenspeicher eingegeben, sodass DNS-Anfragen eine fehlerhafte Antwort zur\u00fcckgeben und Nutzer auf falsche Websites geleitet werden. DNS-Resolver werden oft auch als Telefonbuch des Internets bezeichnet. Wenn Resolver richtig funktionieren, l\u00f6sen sie Klarschrift in IP-Adressen auf und hinterlegen diese in einem lokalisierten Speicher, um die H\u00e4ufigkeit von DNS-Anfragen zu reduzieren.<\/p>\n
\n\n\n\n<\/p>\n
Zu den Motiven f\u00fcr DNS-Poisoning geh\u00f6ren Phishing, sch\u00e4dliche Inhalte\u00a0\u2013 wie Computerw\u00fcrmer oder Viren\u00a0\u2013 und das Sammeln von personenbezogenen Daten wie Anmeldedaten oder Bankkartendetails. Sichern Sie das DNS mit DNSSEC\u00a0\u2013 das kryptografische digitale Signaturen verwendet, die mit einem vertrauensw\u00fcrdigen Public-Key-Zertifikat unterzeichnet sind, und die Authentizit\u00e4t von Daten feststellen und Cache-Poisoning-Angriffe abwehren kann.<\/p>\n
\n\n\n<\/p>
<\/p>\n\n\n
Um DNS-Sicherheitsbedrohungen zu mindern, sollte ein vielschichtiger Ansatz gew\u00e4hlt werden. Das bedeutet, dass mehrere aufeinander abgestimmte Schutzstrategien zum Einsatz kommen sollten. Eine robuste DNS-Infrastruktur sollte in der Lage sein, DDoS-Angriffen von enormem Ausma\u00df standzuhalten, ohne dass die Verbindung f\u00fcr Kunden unterbrochen wird. Wenn Sie die Bandbreite-Aufnahmerate Ihres DNS-Anbieters kennen, k\u00f6nnen Sie die Widerstandsf\u00e4higkeit erh\u00f6hen und die mit Netzwerkereignissen verbundenen Risiken verringern. Auch eine geografische Verteilung von Knoten kann hilfreich sein, da sich auf diese Weise Vorteile wie eine h\u00f6here Georedundanz und eine kontinuierliche Daten\u00fcbermittlung ergeben.<\/p>\n\n\n\n
Mithilfe einer erstklassigen SOC-Infrastruktur wird anormaler Datenverkehr an 365 Tagen im Jahr rund um die Uhr \u00fcberwacht und bereinigt, was meist auf lokaler Ebene erfolgen kann. Sobald mithilfe fortschrittlicher Datenanalysetechniken wie Telemetrie anormaler Datenverkehr entdeckt wurde, sollte er automatisch isoliert und mithilfe von Gegenma\u00dfnahmen von den Zielservern weggeleitet werden, wobei am h\u00e4ufigsten die BGP-Umleitung (BGP: Border Gateway Protocol) genutzt wird. Wenn sich abzeichnet, dass der Angriffsverkehr die lokale Entsch\u00e4rfungskapazit\u00e4t \u00fcbersteigt, sollte(n) das\/die Zielsegment(e) auf globale Knoten verlagert werden. Mit einer separaten und erstklassigen DDoS-Infrastruktur k\u00f6nnen Kunden daf\u00fcr sorgen, dass ihre gesch\u00e4ftskritische Infrastruktur online bleibt, w\u00e4hrend SOC-Spezialisten daran arbeiten, die DNS-Serviceleistugen m\u00f6glichst unterbrechungsfrei wieder zu normalisieren. Diese Netzwerke sollten unabh\u00e4ngig gepr\u00fcft werden und Kunden sollten \u00f6ffentliche Bekanntmachungen zum Nachweis einer separaten Infrastruktur erhalten, die den vom American Institute of Certified Public Accountants in SSAE Nr. 18 festgelegten Bescheinigungsstandards entsprechen.<\/p>\n\n\n\n
Analog zu einer separaten DNS-Infrastruktur erm\u00f6glicht ein sekund\u00e4res DNS einem oder mehreren DNS-Anbietern oftmals, autoritative DNS-Aufl\u00f6sungsdienste bereitzustellen und DDoS-Bedrohungen besser abzuschw\u00e4chen. Die Aufrechterhaltung einer erweiterten autoritativen DNS-Funktion \u00fcber verschiedene Anbieter hinweg hat sich f\u00fcr Unternehmenskunden bislang als schwierig erwiesen. Ultimate DNS wurde daher von CSC entwickelt, um die wachsenden Anforderungen von Unternehmen zu erf\u00fcllen. Es vereint alle Funktionen, die ein Unternehmen f\u00fcr die DNS-Verwaltung ben\u00f6tigt, und erm\u00f6glicht die nahtlose Integration seines DNS und Domain-Portfolios, CNAME-Flattening (ALIAS-Eintr\u00e4ge) und Optionen f\u00fcr DNSSEC, Geo-Location, gewichtete Lastverteilung und Failover. Ultimate DNS verf\u00fcgt zudem \u00fcber die zus\u00e4tzliche Redundanz eines zweiten globalen DNS-Anycast-Netzwerks \u00fcber eine Benutzeroberfl\u00e4che in Aktiv\/Aktiv-Konfiguration auf einer erstklassigen Infrastruktur mit der branchenweit besten Verf\u00fcgbarkeit.<\/p>\n\n\n\n
Allzu oft kommt es vor, dass Cloud-Anbieter lediglich Self-Service-Tools zur Verf\u00fcgung stellen und die M\u00f6glichkeit einer separaten sekund\u00e4ren DNS-Infrastruktur einschr\u00e4nken, wodurch Kunden entsprechenden Risiken und Bedrohungen ausgesetzt sind. In Anbetracht der vorstehenden Erkl\u00e4rungen zu Bedrohungen und Methoden zu deren Abschw\u00e4chung sollten Unternehmen einen DNS-Infrastrukturanbieter der Unternehmensklasse beauftragen, der:<\/p>\n\n\n\n