Mit DNS-Filtering wird eine Sicherheitsmaßnahme beschrieben, die darauf abzielt den Zugriff auf bösartige Domains und Webseiten zu verhindern. Um dies zu erreichen, verwenden DNS-Resolver sogenannte Blockierungslisten, auf denen bekannte schädliche, betrügerische oder auch bösartige IP-Adressen gelistet sind. Bevor also eine Anfrage an einen Webserver gestellt wird, prüft der DNS-Resolver, ob diese an einen gelisteten Server geleitet werden soll und unterbindet diese gegebenenfalls. Durch diese Zugriffskontrolle können Organisationen aber auch Privatpersonen die eigenen Daten schützen und kontrollieren, auf was ein User im eigenen Netzwerk zugreifen darf.
Inhaltsverzeichnis
Was ist DNS?
Die Abkürzung "DNS" steht für das Domain Name System. Mit Hilfe dieses Systems werden Domain-Namen, wie z.B. www.webwide.de, bestimmten IP-Adressen, z.B. 45.60.26.128, zugeordnet. Sie können sich das wie eine Art Telefonbuch vorstellen, bei dem der Namen einer bestimmten Person einer bestimmten Rufnummer zugeordnet ist. Durch das DNS können Benutzer einfach eine Webseite aufrufen, ohne sich die komplizierte und verwirrenden Zahlenfolge merken zu müssen.
Bei der Ermittlung einer IP-Adresse erfolgen die folgenden Schritte:
- Ein Benutzer gibt den Namen einer Domain in die Adresszeile seines Browsers ein.
- Auf dem Gerät wird eine DNS-Abfrage erzeugt und an einen speziellen Server, dem "DNS-Resolver" geschickt.
- Der DNS-Resolver ermittelt nun anhand des Domain-Namens die passende IP-Adresse des Webservers, auf dem die Webseite gespeichert ist. Hierzu sucht er zunächst in seinem Cache (=Zwischenspeicher) nach der Adresse. Sollte er nicht fündig werden oder der Eintrag nicht mehr gültig sein, frägt er bei weiteren DNS-Servern nach.
- Ist die richtige IP-Adresse ermittelt, sendet der DNS-Resolver eine Antwort an das Gerät des Benutzers. Dieser Vorgang wird auch "Namensauflösung" genannt.
- Das Gerät des Benutzers verbindet sich nun mit der erhaltenen IP-Adresse und beginnt die Inhalte der Webseite abzurufen.
Ohne DNS wäre eine Namensauflösung fast unmöglich, weswegen es für den Zugriff auf Webinhalte unentbehrlich ist. Diese können erst geladen werden, wenn der DNS-Vorgang abgeschlossen ist, weswegen die DNS-Filterung eine wirksame Methode zur Zugriffskontrolle ist.
Wie funktioniert DNS-Filtering?
Sämtliche DNS-Abfragen, die ein Benutzer stellt, werden an einen DNS-Resolver gesendet. Ein DNS-Resolver lässt sich wie ein spezieller Filter konfigurieren, der nur Abfragen bei Domains durchführt, die z.B. nicht auf einer Blockierungsliste enthalten sind. Ist eine Domain auf der Blockierungsliste eingetragen, dann kann diese von einem Benutzer nicht aufgerufen werden. Alternativ können beim DNS-Filtering auch Genehmigungslisten statt Blockierungslisten erstellt werden.
Beispiel
Sie erhalten eine Phishing-E-Mail und sollen darin verleitet werden auf einen Link zu klicken, der Sie unbemerkterweise auf eine bösartige Webseite führt. Nach dem Klick auf diesen Link versucht Ihr Computer diese Webseite aufzurufen. Hierzu sendet Ihr Computer eine Anfrage an den DNS-Resolver, über den ein DNS-Filter aktiv ist. Sollte der Domain-Namen nun auf der Blockierungsliste eingetragen sein, dann blockiert der DNS-Resolver Ihre Anfrage, wodurch verhindert wird, dass Inhalte von der bösartigen Webseite geladen werden. Der Phishing-Angriff wird dadurch verhindert.
Das DNS-Filtering kann sowohl über den Namen einer Domain oder auch über die IP-Adresse erfolgen:
- Domain-Namen
Ist der Namen einer Domain auf der Blockierungsliste eingetragen, dann weigert sich der Resolver den Domain-Namen aufzulösen. - IP-Adresse
Der Resolver löst den Namen aller Domain auf und blockiert Anfragen, bei denen die IP-Adresse auf der Blockierungsliste eingetragen ist.
Was ist eine Blockierungsliste?
Unter einer Blockierungsliste versteht man, im Bezug auf das DNS-Filtering, eine Liste mit bekannten schädlicher Domains oder IP-Adressen. Die Anbieter von DNS-Filtering-Diensten greifen hierzu auf eigens erstellte DNS-Listen zurück und/oder pflegen diese Listen gemeinsam mit Mitgliedern der Cybersicherheits-Community. Viele Anbieter prüfen auch selber Webseiten und fügen diese automatisch zur Blockierungsliste hinzu, sollte die Prüfung eine Webseite als schädlich, betrügerisch oder bösartig einstufen.
Des Weiteren ermöglicht es die DNS-Filterung auch Domains von Webseiten auf die Blockierungsliste zu setzen, die eigentlich nicht unbedingt mit Malware- oder Phishing-Attacken zu tun haben, aber auf denen verbotene oder unangemessene Inhalte gefunden werden können. So wäre es für Unternehmen z.B. möglich, Webseiten mit nicht jugendfreien Inhalten auf die Blockierungsliste zu setzen oder bestimmte Apps oder Anwendungen zu blockieren.
Alternativ zu einer Blockierungsliste können auch Genehmigungslisten verwendet werden. Eine Genehmigungsliste ist eine Positivliste über alle Domains und IP-Adressen, deren Abfrage ein DNS-Resolver erlauben soll. Nur wenn Domains oder IP-Adressen auf dieser Liste enthalten sind, können diese aufgerufen werden. Alle anderen werden vom DNS-Resolver blockiert.
Welche Vorteile bietet DNS-Filtering?
DNS-Filtering bietet vor allem Unternehmen eine wichtige Schutzfunktion für das eigene Netzwerk. Aber auch für Privatpersonen können durch diese Sicherheitsmaßnahme profitieren. Folgende Vorteile bringt das DNS-Filtering:
- 1. Vorteil: Abwehr von Schadsoftware
Durch den Einsatz eines DNS-Filters, der bereits bekannte schädliche Domains blockiert oder die Inhalte bereits vor dem Aufruf scannt, können Sicherheitslücken effizient geschlossen werden. Auf diese Weise können Privatpersonen und Unternehmen verhindern, dass Malware in das eigene Netzwerk gelangt und dort Schaden anrichten kann. Es ist bereits ausreichend, wenn ein Benutzer im Unternehmensnetzwerk den Link in einer täuschend echten E-Mail anklickt, um das gesamte System mit Malware zu infizieren. Mit einem DNS-Filter kann die Domain im Link blockiert und so das Netzwerk vor Ransomware, Spyware und Scareware sowie möglichen Cyberattacken geschützt werden. - 2. Vorteil: Verhinderung von Phishing
Das Ziel von Phishing ist das Erbeuten von sensiblen Informationen wie Login-Daten oder Zahlungsinformationen eines Benutzers. Dies erfolgt meist über täuschend echt aussehende Webseiten, deren Gestaltung den Webseiten von seriösen Anbietern entspricht. In der Regel erhält ein Benutzer zunächst eine Phishing-E-Mail mit einem Link, der ihn auf die betrügerische Webseite führt. Auf der Webseite wird der Benutzer dann aufgefordert seine Login-Daten einzugeben, aber anstatt angemeldet zu werden, erfolgt ein Datendiebstahl. Durch den DNS-Filter kann der Aufruf solcher betrügerischen Webseiten unterbunden werden, auch wenn die Betrüger die Domain regelmäßig und in kurzen Zeiträumen wechseln. Ist eine betrügerische Webseite bereits bekannt und dessen Domain oder IP-Adresse auf der Blockierungsliste eingetragen, dann wird die Phishing-Seite erst gar nicht aufgerufen. 3. Vorteil: Ausschluss von DNS-Spoofing
Eine weitere bei Angreifern beliebte Angriffsart ist das DNS-Spoofing. Hinter der besonders hinterhältigen Angriffsmethode steckt die Manipulation der DNS-Namensauflösung. Hierbei fälschen Angreifer die mit einer Domain verknüpften IP-Adresse, wodurch ein Benutzer beim Zugriff auf eine Domain an den falschen Server weitergeleitet wird, obwohl sein Browser die korrekte Domain anzeigt. DNS-Spoofing bildet meist die Basis für Phishing- oder Pharming-Attacken, bei denen versucht wird sensible Informationen eines Benutzers zu erbeuten. Die Verwendung eines DNS-Filtering-Dienstes kann dabei helfen zu verhindern, dass Sie oder Ihr Unternehmen Opfer von DNS-Spoofing werden.
- 4. Vorteil: Eigenes Netzwerk schützen
Die Nutzer von DNS-Filtering können sich auf einen relativ sicheren DNS-Server verlassen, weswegen dieser Dienst einen wichtigen Baustein zum Schutz von privaten oder geschäftlichen Netzwerken darstellt. Diese Sicherheitsmaßnahme alleine ist aber nicht ausreichend, sondern sollte als Ergänzung zu anderen Sicherheitsmaßnahmen wie Anti-Viren-Schutz, Firewall, Passwortschutz, Datensicherungen etc. betrachtet werden!
Es ist jedoch zu erwähnen, dass ein DNS-Filter kein vollständiger Ersatz für ein verantwortungsbewusstes und misstrauisches Nutzerverhalten sein kann. Wir raten Ihnen sich und Ihre Mitarbeiter regelmäßig über Phishing-E-Mails bzw. verdächtige Dateianhänge zu informieren und zu schulen!
Was ist ein sicherer DNS-Server?
Unter einem sicheren DNS-Server versteht man einen DNS-Resolver mit DNS-Filterung, der die Verbindung zu bösartigen oder verbotenen Webseiten unterbindet. Viele sichere DNS-Server bieten aber nicht nur die Blockierung solcher Webseiten an, sondern schützen auch die Daten der Benutzer. Cloudflare löscht bei seinem DNS-Auflösungsdienst beispielsweise alle DNS-Abfrageprotokolle nach 24 Stunden automatisch.
Um den DNS-Prozess noch sicherer zu machen, gibt es zusätzlich zur DNS-Filterung auch noch die Möglichkeit DNSSEC oder DNS über TLS (DoT) bzw. DNS über HTTPS (DoH) zu verwenden. Mit Hilfe des DNSSEC-Protokolls kann ausgeschlossen werden, dass die von DNS-Resolver gelieferten Daten korrekt sind und bei der Übertragung nicht von einem Angreifer manipuliert wurden. Mit DoT und DoH wird die Kommunikation mit dem DNS-Resolver verschlüsselt, wodurch sichergestellt wird, dass ein Angreifer die Abfrage durch einen Benutzer nicht mitlesen und somit die besuchten Webseiten nachverfolgen kann.
Worin liegt der Unterschied zwischen DNS- und Webfiltering?
Mit einem Webfilter werden unterschiedliche Methoden zur Überwachung und Kontrolle des Webtraffics eines Netzwerks zusammengefasst. Ein Teil von der Webfilterung ist die DNS-Filterung. Weitere Methoden sind z.B. URL-Filtering, Schlüsselwortfilterung und Content-Filtering.
