Unsichere DNS-Server bedrohen das Internet

Mehr als 75 Prozent der weltweit verteilten Domain Name Server (DNS) sind nicht ausreichend gesichert und machen es Hackern leicht, Pharming- und DoS-Bomben auf das Internet und die angeschlossenen Anwender abzuwerfen.

Laut einer Umfrage der Measurement Factory können sich dreiviertel der 1,3 Millionen gescannten DNS-Server nicht gegen eine Reihe von Angriffen wehren. Das wäre aber ziemlich nötig, denn die Server übernehmen eine der wichtigsten Aufgaben im Internet überhaupt. Sie übersetzen URLs wie silicon.de in eine IP-Adresse, denn das System kann nur Zahlen verarbeiten. Dann wird die Anfrage entsprechend weitergeleitet. Sollte das Telefonbuch des Webs nicht funktionieren, bleibt die Anfrage stecken und macht alle Funktionen diesbezüglich vorerst nicht abrufbar.

Eine identifizierte Lücke ist der wahllose Zugriff auf den so genannten Namensdienst. Normalerweise haben zwar alle Anwender Zugriff auf den Server, wenn sie eine Webseite ansteuern, aber nur ein kleiner ausgewählter Kreis (Ersatzserver oder bestimmte Hosts) hat Zugang zu dem darunter liegenden Namensdienst – um beispielsweise zu verhindern, dass den Zahlen zugewiesene URLs nicht verändert werden und Hacker den User umleiten könnten (Pharming). Eines der Sicherheitslecks erlaubt aber genau diesen Missbrauch.

Außerdem hat die Studie ermittelt, dass 40 Prozent der Server den so genannten Zonentransfer nicht ausreichend absichern. Wie beim Namensdienst sollen auch hier nur ausgesuchte Hosts den gesamten auf dem DNS-Server abgelegten Datensatz auf einen anderen DNS-Server kopieren können. Haben gekaperte Hosts Zugriff, können Hacker DoS-Attacken auf den Server niederprasseln lassen und ihn schließlich lahm legen.

Mit ein paar einfachen Regeln könne der DNS-Server sicherer gemacht werden, heißt es. So sollten beispielsweise externe DNS-Server in einen Name Server und einen ‘Forwarder’ gesplittet werden. Besser sei auch, dedizierte, speziell abgesicherte Server statt General purpose Server einzusetzen. Außerdem sollte immer die neueste DNS-Server-Software installiert sein und der Datenverkehr zu und von dem Server gefiltert werden.

Silicon-Redaktion

Recent Posts

Bitkom mit frischen Zahlen zum Online-Handel

Black Friday hin, Santa-Sales her - Online-Shopping gehört auch ohne Sonderverkäufe zum Alltag fast aller…

7 Stunden ago

Zwischen Safety und Security: Balanceakt der Industriesicherheit

Die Vernetzung in der Industrie optimiert mit KI Prozesse und reduziert mit Predictive Maintenance ungeplante…

2 Tagen ago

KI-Reifegrad-Studie: Viele Unternehmen stehen noch am Anfang

Enterprise AI Maturity Index von ServiceNow: Im Durchschnitt erreichen Unternehmen nur einen KI-Reifegrad von 44…

2 Tagen ago

Das Wiederaufleben USB-basierter Angriffe

Wer auf Wechselmedien – wie USB-Laufwerke – angewiesen ist, muss wachsam bleiben, da diese Geräte…

2 Tagen ago

KI in Unternehmen – Die Zukunft der Digitalisierung

Das Thema künstliche Intelligenz wird immer relevanter. Diese Technologie hat Einfluss auf Arbeitsweisen, Politik und…

2 Tagen ago

S/4HANA-Migration: Verzögerung vorprogrammiert?

SAP S/4HANA-Transformationen sind äußerst komplex und verlaufen oft nicht wie geplant – oder scheitern sogar…

3 Tagen ago