Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 18 Nächste Version anzeigen »


Das Domain Name System (DNS) ist eines der fundamentalen Dienste des Internets, und daher lassen Unternehmen das DNS-Protokoll in der Regel bidirektional durch ihre Firewall passieren. Dies ist nötig, damit z.B. Mitarbeiter externe Webseiten aufrufen können und Kunden bzw. Interessenten in der Lage sind, die Webseiten des Unternehmens zu finden.

Dies bietet den gewohnten Komfort bei der Nutzung des Internets, eröffnet aber potentiellen Angreifern auch Möglichkeiten, ein Netzwerk zu infiltrieren.

Eine Möglichkeit, ein Netzwerk über DNS anzugreifen ist die Methode des DNS-Tunneling. Hierbei werden DNS-Anfragen zur Umsetzung eines Befehls- und Kontrollkanals für Schadprogramme verwendet. Der eingehende DNS-Traffic überträgt die Befehle an die Schadsoftware und ausgehender DNS-Traffic übermittelt sensible Daten und Informationen an den Angreifer. DNS-Tunneling kann zudem verwendet werden, um Regularien in Netzwerken z.B. durch Aushebeln von Hotspot-Anmeldungen oder gesperrten Diensten zu umgehen.

Aufgrund der Tatsache, dass das DNS-Protokoll sehr anpassungsfähig ist, sind solche Aktionen in der Regel erfolgreich. Die Anfragen sind so konzipiert, dass sie an DNS-Server gesendet werden, welche von den Angreifern kontrolliert werden. Damit sind die DNS-Server in der Lage, die Anfragen zu empfangen und Daten in entsprechenden DNS-Antworten zu übermitteln.

Da zahlreiche DNS-Tunneling-Tools im Internet zum Download angeboten werden, können DNS-Tunneling-Angriffe recht einfach durchgeführt werden. Selbst unerfahrene Angreifer sind somit in der Lage, Daten an den Sicherheitseinrichtungen eines Netzwerks vorbei zu leiten oder z.B. die Anmeldung an einem (kostenpflichtigen) WLAN-Hotspot zu umgehen, ohne das der anfragende WLAN-Client authentifiziert werden muss.

Ab LCOS 10.50 RC3 werden daher alle DNS-Anfragen, die den LANCOM DNS-Forwarder durchlaufen, einer Sicherheitsprüfung unterzogen. Hiermit wird verhindert, dass Datentunnel über DNS-Nachrichten transportiert werden.

Die Prüfung ist standardmäßig aktiviert, kann aber bei Bedarf in der Konfiguration im Menü DNS → Filter/Aliase → DNS-Tunnel-Filter deaktiviert werden. Wir empfehlen jedoch, die Prüfung nicht zu deaktivieren.

Mögliches Fehlerbild, welches bei aktivierter Prüfung auftreten kann:

In seltenen Fällen kann es im normalen DNS-Betrieb zu sogenannten False-Positives kommen, d.h. bestimmte DNS-Pakete werden fälschlicherweise als DNS-Datentunnel erkannt.

Das Fehlerbild kann mit einem DNS-Trace auf dem LANCOM-Router analysiert werden (siehe folgende Abbildung):

Im Syslog des LANCOM-Routers werden in diesem Fall zusätzlich folgende Einträge geschrieben:

  • Keine Stichwörter