Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

Version 1 Nächste Version anzeigen »


DNS ist eines der grundlegenden Protokolle des Internets. Ohne die Nachschlagedienste, die es bereitstellt, wäre es fast unmöglich, irgendetwas im Internet zu finden. Um eine Website zu besuchen, müssten Sie die genaue IP-Adresse des Servers kennen, der sie hostet, was unmöglich ist. Aus diesem Grund gehört DNS-Verkehr zu den vertrauenswürdigsten Daten im Internet.

Unternehmen lassen ihn durch ihre Firewall passieren (sowohl eingehend als auch ausgehend), weil es für ihre internen Mitarbeiter notwendig ist, externe Sites zu besuchen und für externe Benutzer, ihre Websites zu finden.

DNS-Tunneling macht sich diese Tatsache zunutze, indem DNS-Anfragen zur Implementierung eines Befehls- und Kontrollkanals für Malware verwendet werden. Eingehender DNS-Verkehr kann Befehle an die Malware übertragen, während ausgehender Verkehr sensible Daten exfiltrieren oder Antworten auf die Anfragen des Malware-Betreibers liefern kann.

Dies funktioniert, weil DNS ein sehr flexibles Protokoll ist. Es gibt nur sehr wenige Einschränkungen für die Daten, die eine DNS-Anfrage enthält, da es für die Suche nach Domain-Namen von Websites konzipiert ist. Da fast alles ein Domain-Name sein kann, können diese Felder verwendet werden, um sensible Informationen zu übertragen. Diese Anfragen sind so konzipiert, dass sie an von Angreifern kontrollierte DNS-Server gehen, damit diese die Anfragen empfangen und in den entsprechenden DNS-Antworten antworten können.

DNS-Tunneling-Angriffe sind einfach durchzuführen, und es gibt zahlreiche DNS-Tunneling-Toolkits. Dadurch ist es selbst für unbedarfte Angreifer möglich, mit dieser Technik Daten an den Netzwerksicherheitslösungen (z.B. Firewall) eines Unternehmens vorbeizuschleusen oder z.B. Hotspots zu umgehen, ohne das ein Client authentifiziert werden muss.

Ab LCOS 10.50 RC3 werden daher alle DNS-Anfragen, die den LANCOM DNS-Forwarder durchlaufen, einer Sicherheitsprüfung unterzogen. Hiermit wird verhindert, dass Datentunnel über DNS-Nachrichten transportiert werden.

Die Prüfung ist standardmäßig aktiviert, kann aber bei Bedarf in der Konfiguration im Menü DNS → Filter/Aliase → DNS-Tunnel-Filter deaktiviert werden:

Auswirkungen:

In seltenen Fällen kann es im normalen DNS-Betrieb zu sogenannten False-Positives kommen, d.h. bestimmte DNS-Pakete werden fälschlicherweise als DNS-Datentunnel erkannt.

Beipieltrace:

Im Syslog des Gerätes werden in diesem Fall folgende Einträge geschrieben:

  • Keine Stichwörter

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH