Technic Blog

Technik BlogDNS Security Extensions - Teil III

28. April 2017 Maximilian Fruth

Bewertung von DNSSEC im Risikomanagement

Im dritten TechBlog zum Thema DNSSEC geht es darum, diese Technik im Rahmen einer Risikoanalyse zu bewerten, ob DNSSEC ein wirksames Security Control zur Reduzierung von Schwachstellen des DNS darstellt. Bietet DNSSEC einen zusätzlichen Schutz für die vom DNS abhängigen technischen Assets und lassen sich damit Geschäftsrisiken reduzieren?

Im ersten Teil haben wir unterschiedliche Szenarien beschrieben, wie ein potentieller Angreifer Falschinformationen in das DNS System einschleusen kann. Dadurch ist es beispielsweise möglich, den Aufruf einer Website für kriminelle Zwecke umzulenken. Auch viele internetbasierte Anwendungen und Dienste (z.B. E-Mail) sind bedroht, wenn zusätzliche Sicherheitsverfahren wie eine End-zu-End Verschlüsselung fehlen, bzw. nicht anwendbar sind.

Bedrohung der IT-Assets durch DNS Angriffe
Viele Unternehmens-Assets sind auf eine vertrauenswürdige Internet-Kommunikation angewiesen. Fehlgeleitete Informationen bedrohen Reputation und Intellectual Properties eines Unternehmens. Eingeschleuster Schadcode kann komplette Geschäftsprozesse lahmlegen.
Bedrohung durch DNS Cache Poisoning
Bedrohung - DNS ist einer der wichtigsten Dienste im Internet und Ziel unterschiedlicher Angriffe. Beim DNS Cache Poisoning kann die Zuordnung zwischen einem Domainnamen und der zugehörigen IP-Adresse gefälscht werden. Damit lässt sich der Datenverkehr unbemerkt zu einem anderen Computer zu lenken.
Schwachstelle unverschlüsseltes DNS Protokoll
Eine Schwachstelle des DNS liegt darin, dass die Daten unverschlüsselt und über einfache UDP Datagramme ausgetauscht werden. Diese Schwachstelle ist systemimmanent, d.h. die Erfinder und Entwickler des DNS Protokolls haben primär auf Performanz, Skalierbarkeit und Ausfallsicherheit der Systeme Wert gelegt.

IT Asset Management

Autoritativer Name Server und rekursive Resolver sind wichtige technische Assets, da fast alle Internet Dienste und somit essentielle Geschäftsprozesse auf Verfügbarkeit und Integrität der Daten von DNS Systemen abhängig sind. Unabhängig davon, ob der Betrieb dieser Systeme an Provider ausgelagert ist, oder selbst administriert werden, sind DNS Systeme als IT Asset zu inventarisieren. Bei der Erfassung der DNS Assets ist der Schutzbedarf festzulegen, wobei insbesondere für Verfügbarkeit und Integrität eine hohe Einstufung erfolgen sollte.

Ein breites Spektrum an Bedrohungen sind mit den DNS Assets verknüpft. Diese reichen von Fehlern in Administration und Konfiguration bis hin zu mutwilligen Angriffen wie Denial of Service und der unbeabsichtigten Manipulation von Daten, wie beim DNS Cache Poisoning. Die zentrale Aufgabe des Risikomanagements ist es, neue Security Controls dahingehend zu bewerten, ob damit Schwachstellen behoben bzw. Wahrscheinlichkeiten der Ausnutzung minimiert werden können.

Eine anschließende Analyse bezieht sich auf das Bedrohungsrisiko. Hier werden Schwachstellenbewertungen aggregiert, um zu ermitteln, ob mit der Einführung eines Security Controls das Bedrohungspotential tatsächlich reduziert werden kann und nicht erhöhte Risiken wie z.B. Ausfälle durch unsachgemäße Administration entstehen.

Schwachstellenanalyse

Neuere Studien zeigen, dass die Anzahl von Angriffen auf das DNS System seit 2011 um 600% zugenommen haben. Primär werden DNS Angriffe meist als DDoS Attacken klassifiziert und publiziert. Ein Beispiel hierfür ist der Angriff auf DynDNS im Oktober 2016, der zum Totalausfall von Facebook, Github, Twitter und andere populären Websites und Diensten geführt hat. Inwiefern das eigentliche Ziel eine DNS Injection war und ob dies auch erfolgreich durchgeführt werden konnte, ist in der Regel unbekannt und bleibt spekulativ. Statistiken von Organisationen für IT-Sicherheit wie SANS ISC bezüglich der sehr spezifischen DNS Cache Poisoning Attacken sind nicht verfügbar. Dadurch ist eine Aussage zur Eintrittswahrscheinlichkeit fast ausschließlich unter Berücksichtigung technischer Aspekte zu treffen.

Wie erwähnt werden im DNS System alle Daten unverschlüsselt übertragen, was die eigentliche Schwachstelle darstellt. Im Teil I unserer DNSSEC Reihe haben wir aufgezeigt, dass Cache Poisoning Angriffe nur dann erfolgreich sind, wenn weitere Bedingungen erfüllt sind. Beim DNS Cache Poisoning mit DNS Injection ist dies die Ermittlung einer validen Query-ID, im Fall der Attacker's Domain muss eine Schwachstelle der Resolver Software vorliegen. Beide Szenarien sind real und diverse Exploits sind in Sicherheitsforen dokumentiert. Das sog. inhärente Risiko durch das Fehlen von Verschlüsselungsverfahren ist somit vorhanden, wobei im Eintrittsfall alle drei Schutzkriterien stark gefährdet sind. Bei einer einfachen Klassifizierung könnte man von einer mittleren Eintrittswahrscheinlichkeit ausgehen.

Bei der Bewertung der verbleibenden Wahrscheinlichkeit nach Einführung von DNSSEC gilt es zu berücksichtigen, dass nur ein Bruchteil der Domains (0.5% der .de Domains) validierbar sind. Zu berücksichtigen ist auch, dass Domains populärer Websites und insbesondere Sites mit CDN nicht signiert sind. Beim Domain Resolving von Websites ist DNSSEC also zurzeit kein ausreichender Schutz.

Ein anderer Sachverhalt liegt beim Schutz eigener Server Dienste wie z.B. Mail in Verbindung mit DANE vor. Falls die eigenen Domains mit DNSSEC signiert werden, besteht zumindest ein Schutz für alle jene Kunden und User, die ebenfalls diese Technologie verwenden. Autoritive Name Server sollten DNSSEC unterstützen und Domains sollten signiert werden. Hier hat man es selbst in der Hand ein wirksames Schutzniveau anzubieten.

Bedrohungsanalyse

Aufgrund der geringen Verbreitung von DNSSEC bietet dieses Security Control aktuell nur einen geringen Schutz beim Domain Resolving. Im Folgenden sollen die Risiken bei Einführung von DNSSEC beschrieben und bewertet werden.

Entstehen mit Einführung von DNSSEC neue Risiken und wie können diese vermieden werden?

Zunächst ist hier die Auswirkung auf die DNS Systeme durch die höheren Lastanforderungen zu beachten. Eine aussagekräftige Untersuchung APNIC Labs liegt hierzu vor. Externer Link Measuring DNSSEC Performance Ergebnis dieser Studie ist, dass das DNS Abfrage Volumen mit DNSSEC 10mal höher ist und das Datenvolumen der Antworten um den Faktor 100 zunimmt. Falls eigene Domains signiert werden ist damit zu rechnen, dass die autoritativen Name Server mit einer 4fach höheren Last an Anfragen und einem 15mal höheren Datenvolumen rechnen müssen.

Eine Antwort auf die Frage nach der Lastfähigkeit der aktuell eingesetzten DNS Systeme im Unternehmen kann mit Hilfe des System Monitorings erfolgen. Der Anstieg des Datenvolumens ist im Normalfall kein Problem. Der Faktor 10 bei den DNS Abfragen, verbunden mit einer höheren CPU Auslastung kann bei größeren Unternehmen durchaus zu einer unerwünschten Verzögerung bei der Namensauflösung führen. Die Bereitstellung zusätzlicher Resolver ist somit einzuplanen.

Risiken aufgrund der Komplexität in Administration und Konfiguration

Diese Bewertung ist vor allem für jene Unternehmen wichtig, die Domains selbst auf Name Servern administrieren. Das Verfahren zur DNSSEC Signierung von Domains haben wir im Teil II dieser Reihe beschrieben. Insbesondere das Thema KSK Rollover ist aufgrund der unterschiedlichen und nicht standardisierten Schnittstellen zu den TLD Registries problematisch. Ein auf Kosten der Sicherheit gehender Kompromiss würde darin liegen, für den sog. Key Signing Key eine unbegrenzte Gültigkeit und die größtmögliche Key Size zu definieren.

Wichtig ist zudem, dass die Administratoren gute Kenntnisse bei der Analyse von DNS Problemen besitzen, um im Problemfall schnell Lösungen zu finden. Denn

Zonen die aufgrund fehlerhafter Konfiguration nicht validiert werden können, gelten für alle User mit DNSSEC als nicht verfügbar!

Risikobewertung

Die Bewertung von DNSSEC als Security Control zur Abwehr von Risiken des DNS Systems ist unter den IT-Security Experten umstritten. Einerseits wird vor neuen Gefahren durch Denial of Service Attacken aufgrund des erhöhten Ressourcenverbrauchs von DNSSEC gewarnt. Außerdem wird auf die erhöhte Fehlerwahrscheinlichkeit in der Konfiguration hingewiesen.

Auf der anderen Seite wird DNSSEC als etabliertes Verfahren dargestellt, dass ohne hohen Aufwand in eine bestehende Infrastruktur integriert werden kann. Einzig die schleppende Umsetzung bei vielen Providern und Unternehmen ist die Ursache dafür, dass nach wie vor Angriffe wie DNS Cache Poisoning viele Internet User gefährden.

Aktuell ist DNSSEC beim Domain Resolving aufgrund der geringen Verbreitung nur bedingt wirksam. Zudem findet die Validierung der DNS Antworten nicht auf den Client Systemen statt, wodurch die Kommunikation zwischen Applikation und prüfenden Resolver anfällig für DNS Attacken wird (Beispiel öffentliche Netze). Dagegen bildet die DNSSEC Technologie in Kombination mit anderen Sicherheitsverfahren bereits interessante Möglichkeiten. Z.B. in Verbindung mit DANE wird die Echtheitsprüfung von Zertifikaten bei TLS-Verbindungen verbessert.

Die durchgeführte Risikoanalyse liefert die Erkenntnis, dass DNSSEC zurzeit nicht die Schwachstellen des DNS behebt und somit keine Reduzierung von Risiken erreicht werden kann. Dies liegt nur teilweise an der Technologie, vielmehr ist die geringe Verbreitung von DNSSEC maßgebend.

Für uns als Internet Service Provider war es aber wichtig, diese Technik frühzeitig in unserem Unternehmen einzuführen, um Erfahrungen zu sammeln. Wenn sich große Website Betreiber endlich für DNSSEC entscheiden würden, wäre das sicher eine starke Argumentationshilfe für DNSSEC bei unseren Kundendomains.