Unsichere DNS-Server bedrohen das Internet

Mehr als 75 Prozent der weltweit verteilten Domain Name Server (DNS) sind nicht ausreichend gesichert und machen es Hackern leicht, Pharming- und DoS-Bomben auf das Internet und die angeschlossenen Anwender abzuwerfen.

Laut einer Umfrage der Measurement Factory können sich dreiviertel der 1,3 Millionen gescannten DNS-Server nicht gegen eine Reihe von Angriffen wehren. Das wäre aber ziemlich nötig, denn die Server übernehmen eine der wichtigsten Aufgaben im Internet überhaupt. Sie übersetzen URLs wie silicon.de in eine IP-Adresse, denn das System kann nur Zahlen verarbeiten. Dann wird die Anfrage entsprechend weitergeleitet. Sollte das Telefonbuch des Webs nicht funktionieren, bleibt die Anfrage stecken und macht alle Funktionen diesbezüglich vorerst nicht abrufbar.

Eine identifizierte Lücke ist der wahllose Zugriff auf den so genannten Namensdienst. Normalerweise haben zwar alle Anwender Zugriff auf den Server, wenn sie eine Webseite ansteuern, aber nur ein kleiner ausgewählter Kreis (Ersatzserver oder bestimmte Hosts) hat Zugang zu dem darunter liegenden Namensdienst – um beispielsweise zu verhindern, dass den Zahlen zugewiesene URLs nicht verändert werden und Hacker den User umleiten könnten (Pharming). Eines der Sicherheitslecks erlaubt aber genau diesen Missbrauch.

Außerdem hat die Studie ermittelt, dass 40 Prozent der Server den so genannten Zonentransfer nicht ausreichend absichern. Wie beim Namensdienst sollen auch hier nur ausgesuchte Hosts den gesamten auf dem DNS-Server abgelegten Datensatz auf einen anderen DNS-Server kopieren können. Haben gekaperte Hosts Zugriff, können Hacker DoS-Attacken auf den Server niederprasseln lassen und ihn schließlich lahm legen.

Mit ein paar einfachen Regeln könne der DNS-Server sicherer gemacht werden, heißt es. So sollten beispielsweise externe DNS-Server in einen Name Server und einen ‘Forwarder’ gesplittet werden. Besser sei auch, dedizierte, speziell abgesicherte Server statt General purpose Server einzusetzen. Außerdem sollte immer die neueste DNS-Server-Software installiert sein und der Datenverkehr zu und von dem Server gefiltert werden.

Silicon-Redaktion

Recent Posts

Alle Prozesse im Blick: IT-Service Management bei der Haspa

Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…

15 Stunden ago

Wie generative KI das Geschäft rund um den Black Friday verändert

Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…

16 Stunden ago

Banken und Versicherer sind KI-Großabnehmer

Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…

2 Tagen ago

Siemens legt 10 Milliarden Dollar für Software-Spezialisten auf den Tisch

Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…

2 Tagen ago

Standortübergreifender KI-Einsatz im OP-Saal

Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.

2 Tagen ago

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

5 Tagen ago