Wie sichere ich meinen DNS? – Drei praxisnahe Tipps für die perfekte Namensauflösung

1. DNS-Visibilität erhöhen

Namensauflösung kann der erste Indikator einer Kompromittierung sein. DNS ist in den meisten Netzwerken immer noch unverschlüsselt. Das ist unschön, aber wir Administratoren können dadurch einen schnellen Einblick in das Surfverhalten der Clients bekommen.

Beispiel:
Client A ruft malware.example.com auf.

Da dieser Name wahrscheinlich nicht in der jeweiligen hosts-Datei des Betriebssystems zu finden ist, wird die Anfrage in den meisten Fällen an den konfigurierten DNS-Server weitergeleitet.

In vielen SMB-Netzwerken, die ich gesehen habe, wird diese Anfrage direkt an einen Domaincontroller gesendet. Dieser hält jedoch nur die Zone der internen Domains und kennt die externe Zone nicht, weshalb er die Anfrage an den nächsten DNS-Server weiterleitet. Dieses Spiel geht weiter, bis der Server gefunden wird, der die Zonendatei für malware.example.com hält.

Verwenden wir jedoch einen DNS-Filter, z. B. auf unserer Firewall, können wir diese schädliche Anfrage identifizieren und blockieren. Außerdem können wir als Administratoren eine Benachrichtigung erhalten, um den betroffenen Rechner zu untersuchen.

Wichtiger Hinweis:
Falls wir DNS nur nach außen filtern, also nur von intern ins Internet, wird Folgendes passieren:

Die schädliche Anfrage an malware.example.com wird vom Domaincontroller gestellt. Die Frage lautet also: Wurde mein Domaincontroller gehackt, oder ist es ein Rechner, der den Domaincontroller als DNS-Server benutzt?

Aus Erfahrung kann ich sagen, dass diese Frage nicht so leicht zu beantworten ist, denn: Der Windows Domaincontroller protokolliert standardmäßig keine DNS-Anfragen. Somit haben wir keinen Einblick, welcher Rechner ursprünglich die Anfrage gestellt hat.

Merke:
Immer DNS-Filter dort aktivieren, wo es sinnvoll ist. Löse Namen gezielt auf – nicht jedes Gerät muss alles über den Domaincontroller auflösen. Arbeite mit DNS-Forwarding und nutze vorhandene Systeme wie eine Firewall, die bei Bedarf an den Domaincontroller weiterleiten kann.

2. DNS immer verfügbar halten

Ich kann das schnellste Netzwerk, die größten Server und die besten Mitarbeiter haben – wenn die Namensauflösung nicht funktioniert, ist der Aufschrei groß.

Mein Tipp:
Anstatt bei jedem System reale IP-Adressen zu hinterlegen, versucht es mit virtuellen IPs. Im Idealfall steht dahinter ein Load Balancer, der die Verfügbarkeit der realen Server prüft und einen passenden auswählt. Dieses Feature bieten mittlerweile die meisten Firewalls.

Vorteile:

• Keine „Turnschuh-IT“ mehr, wenn sich die IP des Domaincontrollers ändert.
• Flexible Anpassungen, wenn ein Domaincontroller hinzugefügt wird.
• Lastverteilung auf den vorhandenen DNS-Servern.

3. DNS richtig verschlüsseln

Es gibt Gründe, warum DNS oft unverschlüsselt bleibt.

DNSSEC wurde nie weit verbreitet adaptiert, und aus Sicherheitsgründen muss man sich gut überlegen, wie und wo man DNS verschlüsselt und wo man es wieder aufbricht.

Zum Schluss ein Tipp:
Viele Provider stellen öffentliche DoT-/DoH-Server (DNS over TLS / DNS over HTTPS) zur Verfügung. Damit können wir unsere DNS-Abfragen, die unsere administrative Domain verlassen und ins unsichere Internet gehen, vor Lauschangriffen schützen. Prüfen Sie am besten die DNS-Server Ihres Internetproviders. Alternativ bieten viele Netzwerksicherheitsanbieter solche DNS-Server an, z. B. Fortinet.

---

Fazit

Mit diesen praxisnahen Tipps zur Sicherung eures DNS-Systems seid ihr bestens gerüstet, um potenzielle Sicherheitsrisiken zu minimieren und eure Netzwerke effizienter zu gestalten. Denkt daran, dass eine solide DNS-Konfiguration nicht nur die Sicherheit erhöht, sondern auch die Performance eurer Infrastruktur verbessert.

Bleibt dran für weitere technische Einblicke und zögert nicht, eure Fragen oder Anregungen in den Kommentaren zu hinterlassen. Bis zum nächsten Mal und viel Erfolg beim Umsetzen!

---

Kontakt:

https://www.linkedin.com/in/kevin-dylla-5638b721b

---

Filed under: Administration - @ Februar 19, 2024 8:30 p.m.