Hybrider Nameserverdienst soll Onlineservices vor aggressiven Angriffen schützen

NetzwerkeSicherheitSicherheitsmanagement
Hybrid-DNS

Hierfür werden mehrere DNS-Engines auf einem Server betrieben. Das soll “Single Points of Failure” verhindern und Auswirkungen von Denial-of-Service-Angriffe oder Cache-Poisoning minimieren.

Der Anbieter EfficientIP startet mit SOLIDServer einen hybriden DNS-Dienst, der Schutz vor Angriffen von Cyberkriminellen bieten soll. Der Domain Name Server, der Internet-Namen auf die passenden IP-Nummern umleitet, konnte in DNS-Diensten wie BIND missbraucht werden. Das schon Ende der 60er-Jahre entwickelte Internet-Netzwerksystem bietet hierfür große Angriffsflächen.

Hybrid-DNS-Struktur
So wechselt der SOLIDServer zwischen den Nameserver-Diensten. (Bild: EfficientIP)
Das neue Hybrid-DNS SOLIDServer kombiniert drei DNS-Engines in einem Gerät. Es ermöglicht das Wechseln von DNS-Produkten, damit Patches angewendet werden können, während eine andere DNS-Engine die Verfügbarkeit sichert. Der Server erzeugt zudem einen Sicherheits-Footprint, der Angriffsstrukturen aufzeichnet und diese fortan leichter abwehren kann.

DNS-Bedrohungen entwickeln sich weiter, doch EfficientIP meint, dass sich die grundlegende Nameserver-Struktur nicht so schnell mitentwickelt hat wie die Gefahren. Und daher, so der Anbieter, muss mehr Schutz geliefert werden als dies eine Angriffserkennung per Firewall kann.

Die Nutzung einer aktiven DNS-Engine mit mindestens einem zusätzlichen und jederzeit bereitstehenden Ersatz reduziere das Risiko für Angriffe deutlich, erklärt das Unternehmen in einer Mitteilung. Durch den DNS-Wechsel könnte man Hacker und ihre Automatismen leichter austricksen, denn die Cyberkriminellen wüssten dann nicht mehr, welcher Nameserver gerade läuft. Diesen zu kompromittieren, werde dann zu einer “hoffnungslos komplexen und geradezu unmöglichen Aufgabe”. Das mache auch Manipulationen, die etwa bestehende Domainnamen per DNS-Injection auf schädliche IP-Adressen umleiten (die meistgenutzte Phishing-Methode), nahezu unmöglich.

Der Service von EfficientIP verwendet die drei DNS-Dienste Unbound, NSD von NLnet Labs und Bind – und gleicht sie automatisiert über die “SmartArchitecture” des Unternehmens ab. Für Techniker erklärt: Unbound ist ein validierender, rekursiver und cache-nutzender Resolver, der für hohe Leistung erstellt wurde. NSD ist ein autoritativer Hochleistungs-Namensserver, der eine robuste Umgebung bietet, um DoS-Angriffe abzuwehren. Die Trennung der autoritativen und rekursiven Elemente des Namensserver-Dienstes reduziert das Korruptionsrisiko deutlich.

Mit seinem Ansatz liefert EfficientIP auch Lösungen für das Management von IP-Adressen sowie DHCP-Diensten – um so den Cybergangstern möglichst wenig fixe Angriffspunkte zu lassen.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen