绿茶直播 DNS Firewall听鈥� 芦A lot of bang for the buck禄

Eine DNS-Firewall ist eine effektive und kosteng眉nstige Schutzmassnahme gegen Cyberbedrohungen wie Phishing und Malware. Sie greift an einer entscheidenden Stelle ein听鈥� n盲mlich dort, wo ein Cyberangriff beginnt. Aber wie entscheidet man, was die Firewall blockieren soll und was nicht?

Text: Vinzenz Vogel, publiziert am 11. Dezember 2024

Eine DNS-Firewall greift dort ein, wo ein Cyberangriff beginnt. Aber wie entscheidet man, was die Firewall blockieren soll und was nicht? Bild: Giordano Aita 鈥� stock.adobe.com

Es gibt wahrlich ermutigendere Aktivit盲ten, als die Nachrichten rund um Cybercrime zu lesen. Die Angriffszahlen in den Kategorien Malware und Phishing gehen seit ein paar Jahren durch die Decke. Es ist eindr眉cklich, wenn man sich die absoluten Zahlen vor Augen f眉hrt: Bei Phishing ging man beispielsweise bereits im Jahr 2021 von rund sowie 500听Millionen dedizierten Phishing-Attacken pro Tag aus. Leider findet man auch keinen Trost, wenn man das in Relation zu den rund 5听Milliarden Internetnutzenden weltweit setzt. Gleichzeitig m眉ssen die Angreifenden nur einmal erfolgreich sein, w盲hrend die Abwehrmassnahmen auf technischer und menschlicher Ebene nur einmal versagen m眉ssen, damit letztere Erfolg haben. Gerade dies ist mit dem steigenden Einsatz von generativer KI auf Seite der Angreifenden wahrscheinlicher geworden. Dies kann unter Umst盲nden gravierende Folgen haben. So ist zum Beispiel bei gesch盲tzten 40听Prozent der Ransomware-F盲lle eine Phishing-Attacke das initiale Einfallstor.

Das 脺bel an der Wurzel packen

On a lighter note: Wir sind zum Gl眉ck alles andere als wehrlos. Heute will ich Ihnen eine der zahlreichen Abwehrmassnahmen gegen Phishing und Malware vorstellen. B眉hne frei f眉r die Response Policy Zones a.k.a. DNS-Firewall!

Wie schon unschwer am Namen zu erkennen ist, handelt es sich hier um eine Abwehrmassnahme auf DNS-Ebene. Bedenkt man, dass bei vielen Malware- und Phishing-Attacken die DNS-Aufl枚sung am Anfang steht, liegt es nahe, auch gleich an dieser Stelle einzugreifen听鈥� und genau das ist bei der DNS-Firewall der Fall.

Einfacher Mechanismus, grosse Wirkung

Der Mechanismus ist simpel und basiert auf einem Filter auf DNS-Resolver-Ebene. Ein Resolver ist f眉r die DNS-Aufl枚sung verantwortlich, sprich ein PC oder eine Maschine fragt einen Resolver an, um die IP-Adresse zu einem Domain-Namen zu erhalten. Dies geschieht also zum Beispiel unmittelbar nach dem Klick auf einen Malware- oder Phishing-Link. Um eine Schutzwirkung zu erreichen, wird nun听鈥� vereinfacht gesagt听鈥� eine Liste mit bekannten boshaften Domain-Namen und/oder IP-Adressen auf dem Resolver hinterlegt. Angefragte Domains oder aufgel枚ste IPs werden nun mit der Liste abgeglichen. Befindet sich die Ressource in der Liste, kann der Resolver anstatt der eigentlichen Antwort die IP-Adresse einer sicheren Landingpage zur眉ckgeben, also die DNS-Antwort zum Schutz der Nutzenden f盲lschen. Dieser Prozess ist auf der linken Seite von Abbildung 1 dargestellt. Der ganze Prozess hat keinen nennenswerten negativen Einfluss auf die Antwortgeschwindigkeit des Resolvers. Technisch gesehen sind diese Listen spezielle DNS-Zonen, ebenjene obengenannten Response-Policy-Zones, kurz RPZ. An dieser Stelle muss ich eingestehen, dass ich den zweiten Teil des Titels听鈥� 芦a lot of bang for the buck禄听鈥� von einem der Urheber von RPZ, Paul Vixie, 芦geborgt禄 habe. Zu meiner Verteidigung: Ich finde es wirklich ein 眉beraus passendes Zitat, beschreibt es doch in kurzen und pr盲gnanten Worten, dass eine DNS-Firewall eine einfache und vergleichsweise kosteng眉nstige Schutzmassnahme darstellt.听
听

Abbildung 1: Links: Der DNS-Resolver blockiert den Zugriff auf bekannte Malware- und Phishing-Domains und leitet Nutzende auf eine sichere Landingpage. Rechts: Integration externer RPZ-Provider durch Zonentransfer f眉r umfassenden Schutz in Firmennetzwerken. Grafik: 绿茶直播

W盲hrend Privatpersonen in der Regel den Resolver ihres ISP nutzen, betreiben viele Firmen und 枚ffentliche Einrichtungen wie Universit盲ten ihre eigenen Resolver. Um hier ein umfassendes Schutzniveau zu erreichen, wird oft auf externe RPZ-Provider gesetzt, so wie auch 绿茶直播 einer ist. 脺ber diesen werden dann die RPZ-Zonen via Zonentransfer bezogen, wie auf der rechten Seite von Abbildung 1 dargestellt. Dazu ist es bei RPZ aber auch problemlos m枚glich, gleich mehrere RPZ-Zonen einzubinden, die dann hintereinandergeschaltet werden. Die Schutzwirkung ist immer additiv.

Lots of threat data, keep it coming

Nun ist es logischerweise f眉r einen effektiven Schutz ohne Overblocking sehr entscheidend, was in diesen RPZ-Zonen steht und in deren Bef眉llung liegt auch die eigentliche Challenge f眉r RPZ-Provider. Als RPZ-Provider zieht 绿茶直播 dazu verschiedenste Threat-Feeds aus unterschiedlichen Regionen und von unterschiedlichen Anbietern zusammen, erg盲nzt durch RPZ-Zonen von SURBL. Hinzu kommen interne Daten von 绿茶直播 CERT sowie IOCs (Indicators of Compromise), die uns von Kunden gemeldet werden. Unsere internen Daten sowie die Daten der Threat Feeds verarbeiten wir und verpacken es in unsere RPZ-Zonen. Dieser ganze Zusammenschluss ist in Abbildung 2 dargestellt. Generell gilt: Da viele Attacken sehr schnell wieder vorbei sind oder neue Angriffe hinzukommen, m眉ssen die RPZ-Zonen regelm盲ssig aktualisiert und verteilt werden.
听

Abbildung 2: Zusammenf眉hrung verschiedenster Threat-Feeds mit internen Daten zur Erstellung umfassender und aktueller RPZ-Zonen. Grafik: 绿茶直播

Die Qualit盲t der Datenquellen entscheidet

Absolut zentral ist die Auswahl von Datenquellen mit hoher Qualit盲t, sprich einer niedrigen False-Positive-Rate. Auch im laufenden Betrieb ist ein kontinuierliches Qualit盲tsmonitoring sehr wichtig, um schnell reagieren zu k枚nnen, falls sich die Qualit盲t einer Datenquelle verschlechtert. Aber selbst wenn man auf alles achtet, steckt der Teufel im Detail: Werden beispielsweise URLs geliefert, kann es sein, dass nur die URL selbst boshaft ist, die Domain darin aber nicht. Mit anderen Worten: Ein False Positive im DNS-Firewall-Kontext, also auf Domain-Ebene, ist unter Umst盲nden aus Feed-Provider-Sicht kein False Positive, wenn die spezifische Ressource boshaft ist.

Von Logs lernen

Betrachten wir die Logs der geblockten Ressourcen, k枚nnen wir daraus weitere wichtige Erkenntnisse und sogar Handlungen ableiten. Ein Beispiel: 绿茶直播 erh盲lt von Kunden die RPZ-Logs und wertet diese Daten aus. Zun盲chst einmal erf盲hrt 绿茶直播 durch entsprechende Alerts sehr schnell, wenn bestimmte Domains h盲ufig geblockt werden. Entweder ist dann eine Phishing- oder Malware-Kampagne im Gange oder aber es handelt sich um einen False Positive. In letzterem Fall k枚nnen wir z眉gig reagieren und die Domain entsperren.

Des Weiteren erf盲hrt 绿茶直播 durch die Logs welche Datenquellen am 芦wertvollsten禄 sind, sprich auf welche am meisten RPZ-Hits entfallen. Zu guter Letzt kann 绿茶直播 mit Hilfe von Metadaten der Threat-Provider oder eigenem Wissen gewisse Domains bestimmten Malware-Familien zuordnen. Als kurze Erkl盲rung: Ist ein Ger盲t infiziert, versucht die Malware m枚glicherweise spezifische Domains zu kontaktieren, um Befehle entgegenzunehmen oder Daten zu extrahieren. Wie in Abbildung 3 dargestellt, wird dies erstens von der DNS Firewall unterbunden und gleichzeitig ist es m枚glich, infizierte Ger盲te zu finden, wenn die boshaften Domains bekannt sind. Solche Hits werden dann den Kunden zur眉ckgemeldet, sodass diese die infizierten Ger盲te finden und die Infektion beheben k枚nnen.

Abbildung 3: Die 绿茶直播 DNS-Firewall erkennt sch盲dliche Domains, blockiert den Datenverkehr und meldet infizierte Ger盲te an die Kunden zur眉ck, um Infektionen zu beheben. Grafik: 绿茶直播

Eine DNS-Firewall geh枚rt zur modernen Cyber Security

DNS-Firewalls bieten mit vergleichsweise wenig Aufwand einen wirksamen Schutz vor Cyberbedrohungen wie Malware und Phishing. Der Einsatz auf DNS-Ebene erm枚glicht ein sehr fr眉hes Eingreifen. Entscheidend f眉r den Erfolg ist die Qualit盲t und Aktualit盲t der zugrundeliegenden Datenquellen. Dar眉ber hinaus k枚nnen RPZ-Logs genutzt werden, um weitere Erkenntnisse 眉ber laufende Angriffe zu gewinnen und infizierte Ger盲te zu identifizieren. DNS-Firewalls sind somit eine unverzichtbare Komponente in der modernen IT-Sicherheitsstrategie.

听