Seit Jahren stehen viele Unternehmen vor der Herausforderung, die immer komplexeren Umgebungen der User, sowie verschiedensten Anforderungen an Security unter einen Hut zu bringen. Server, Clients, Smart Phones, Netzwerkgeräte, Arbeiten an unterschiedlichen Niederlassungen, Arbeiten von zu Hause, mal VPN, mal nicht… die einzige Konstante hier ist die Bedrohung durch Schadsoftware und Angreifer.

Mit OpenDNS steht seit längerer Zeit eine Lösung zur Verfügung, welche – ohne zusätzliche Komplexität ins Spiel zu bringen – scheinbar alle Anforderungen mit Security vereinen kann. DNS (das Domain Name System) ist zuständig, wenn es darum geht die IP-Adressen hinter Domainnamen herauszufinden. Jeder von uns, und so ziemlich alle unsere Geräte nutzen also DNS täglich und ohne DNS würden die meisten unserer Anwendungen gar nicht funktionieren. Oder kennen Sie die IP-Adresse von www.google.at?

Genau diese Universalität von DNS macht sich OpenDNS zu nutze und setzt hier den Security-Hebel an. Anstatt die DNS-Server des Providers, oder den bekannten Google DNS-Server 8.8.8.8 zu befragen, werden die Anfragen zu den Servern von OpenDNS geschickt. Diese fungieren als Recursive Name Server, gehen also für uns auf die Suche nach der IP z.B. hinter www.nts.eu . Sofern sich eine legitime Adresse dahinter verbirgt, wird die Antwort wie gewohnt zurückgeben und das zusätzlich mit sehr guten Antwortzeiten.

ENTERING UMBRELLA…

Versteckt sich hinter dem aufzulösenden Domain Namen jedoch beispielsweise eine Website, welche Malware serviert, oder ein Command & Control Server, liefern die OpenDNS-Server die Antwort nicht. Stattdessen wird dem anfragenden Client signalisiert, dass die Domain nicht existiert (NX). Versucht also ein Angreifer einen Mitarbeiter z.B. via Phishing-Mail auf eine von ihm kontrollierte Seite zu locken, kann dies mit Hilfe von OpenDNS Umbrella erkannt und geblockt werden.

 

ANALYTICS

Doch wie erkennt OpenDNS, dass es sich um eine schadhafte Domain handelt? Durch die mehr als 80 Milliarden DNS-Anfragen, welche OpenDNS täglich erhält, ergeben sich Möglichkeiten der Korrelation (Stichwort Big Data). Werden z.B. gewisse Domains immer gemeinsam in kurzer Zeit abgefragt, stehen diese offenbar in Verbindung zueinander. Sind manche dieser Domains bereits als schadhaft bekannt, können auch die anderen Domains mit einer gewissen Wahrscheinlichkeit mit einer schlechten Reputation versehen werden.

Ähnliches ist beim Zusammenspiel von IP-Adressbereichen möglich. Ist die IP-Adresse hinter einer angefragten Domain in einer eher dunklen Nachbarschaft des Internets beheimatet, ist es vielleicht keine gute Idee, eine Verbindung von einem Client dorthin zuzulassen. Auch anormales Verhalten kann darauf deuten, dass die Besitzer gewisser Domains nichts Gutes im Schilde führen. Ist eine Domain z.B. in Russland gehostet, es versuchen sich jedoch nur Clients aus Österreich und Deutschland darauf zu verbinden, kann dies ein Indiz dafür sein, dass es sich um keinen legitimen Webauftritt handelt.

ON- UND OFF-NETWORK SECURITY

Einer der großen Vorteile von OpenDNS ist, dass wir alle bereits DNS nutzen und das nicht nur zum Web-Surfen, sondern auch um Emails zu senden, Updates zu beziehen oder Zeitserver zu finden. Es reicht also seine Anfragen wie gewohnt an den Nameserver des Providers zu stellen und schon kann man die eingebaute Security der OpenDNS-Server nutzen. Da alle Geräte von mobilen Geräten bis hin zu den Servern DNS nutzen, ist demnach dieses Verfahren auch für all diese Geräte möglich.

Sind Mitarbeiter unterwegs, nutzen eventuell Cloud-Dienste und möchten nicht immer via VPN-Verbindung arbeiten, kann auch auf diesen Geräten ein Agent installiert werden, welcher gewährleistet, dass die DNS-Anfragen den Weg zur OpenDNS-Cloud finden. Seit Erscheinen der Version 4.3 des Cisco Anyconnect Secure Mobility Clients ist diese Funktion sogar schon in Form eines Moduls integriert.

Innerhalb des Firmennetzwerks bietet der Roaming Agent die Möglichkeit sein Verhalten anzupassen und die Anfragen an eine lokale virtuelle Appliance zu richten. Die Integration dieser in Active Directory ermöglicht den Zugriff auf Domains, basierend auf Gruppenmitgliedschaft, zu erlauben oder zu verbieten. Auch die Protokollierungsinformationen werden so mit Userinformationen angereichert.

Manchmal ist es nicht möglich auf Domain-Level eine Entscheidung zu treffen, ob der Zugriff erlaubt werden soll oder nicht. Cloud-Dienste werden auch von Angreifern genutzt. Diese jedoch deshalb komplett zu sperren, kann die Möglichkeiten der User zu stark einschränken und eventuell sogar bereits genutzte Services nicht mehr erreichbar machen. Wird eine derartige Domain von einem Client angefragt, kann von der OpenDNS Intelligent Proxy eingesetzt werden. Ist dieses Feature aktiviert, werden Requests auf diese Grey-Domains über einen Proxy umgeleitet. Da dieser die genaue Information erhält um welche URL es sich handelt, kann der Intelligent Proxy besser entscheiden, ob Zugriff gestattet werden soll.

NEED MORE? INVESTIGATE!

Über den Schutz von OpenDNS Umbrella hinaus, gibt es noch ein weiteres Produkt dieser Familie und zwar Investigate. Mit Investigate hat Security-Personal wie Analysten oder Incident Responder die Möglichkeit direkt Informationen zu Domains, IPs, ASNs usw. abzufragen. Entweder über eine Web-Konsole, oder über eine Integration in ein SIEM-System, wie Splunk, können mögliche Angriffe schnell erkannt und an einer Verteidigung gegen diese gearbeitet werden.

OpenDNS bietet also protokollunabhängigen Schutz auf DNS-Ebene und stellt die gesammelten Informationen zur Verfügung um Verteidigern eine Möglichkeit zu geben, schnell und aus einer Hand ein Bild über die aktuelle Sicherheitslage zu erhalten. Dabei kann jeder beliebige Standort und jeder beliebige Client in das Security-Konzept eingebunden werden und das mit minimalem Aufwand.

PS: Auch im privaten Bereich kann Ihnen OpenDNS eine Hilfe sein: Info.