Victoria - Fotolia

Software-defined Networking: DNS-Sicherheit in SDN-Umgebungen

Neue Technologien wie SDN bringen auch Risiken, die bisherige Sicherheitslösungen nicht bewältigen können. Neue Strategien sind erforderlich.

Das Domain Name System (DNS) ist einer der empfindlichsten Knotenpunkte im gesamten Netzwerk, sein Ausfall ist ein Albtraum für die IT. Eine der schlimmsten Angriffsarten ist nach wie vor die klassische DDoS-Attacke auf DNS-Basis. Netzwerkressourcen schmelzen unter der Anfragenflut dahin, das DNS kommt mit der Beantwortung nicht mehr hinterher. Das Netzwerk ist lahmgelegt, keine legitimen Anfragen kommen mehr durch.

Andere Angriffsarten vertauschen die gespeicherten validen IP-Adressen mit solchen, die den anfragenden Nutzer auf bösartige Websites weiterleiten oder nutzen Tunneling, um einzelne virtuelle Maschinen (VMs) anzugreifen, Informationen zu verschlüsseln und durch Kanäle abzugreifen, die von traditionellen Sicherheitslösungen nicht analysiert werden.

Was lässt sich gegen diese Bedrohungen unternehmen? DNS-Sicherheit lautet das Stichwort und einige Unternehmen setzen bereits auf zuverlässige Lösungen. Bisher jedenfalls – denn die weitgehende Umstellung auf Software-defined Networking (SDN) bricht mit den vorherigen Strukturen und die DNS-Sicherheit droht dabei in Vergessenheit zu geraten. Dabei wirft gerade der Umzug des Domain Name System in eine virtualisierte Umgebung Fragen auf, die sich Unternehmen von Anfang an stellen sollten – etwa, was die Sicherheit angeht, denn herkömmliche Firewalls und Intrusion-Detection-Systeme sind nicht dafür ausgelegt, DNS abzusichern, schon gar nicht in einer virtualisierten Umgebung.

Die Virtualisierung der Unternehmensinfrastruktur ist indes nicht aufzuhalten – Software-defined Storage (SDS) und Networking sind nur zwei Vertreter eines um sich greifenden Wandels. Der Wechsel von teurer, wartungsintensiver und unflexibler Hardware im Serverschrank hin zu virtuellen Maschinen bietet Unternehmen viele Vorteile. Schließlich werden so nicht nur Kosten gespart. Die Zentralisierung aller Funktionen auf einem Server – etwa durch die Virtualisierung von Netzwerkfunktionen wie Routing, DNS oder Firewall – bietet eine bessere Kontrolle der eigenen Infrastruktur. On Demand lassen sich Funktionen hinzufügen oder umkonfigurieren.

SDN bringt nicht nur Vorteile

Die Flexibilität von Software erlaubt zwar einen hohen Grad an Freiheit, doch zugleich schafft sie mehr Möglichkeiten zur Fehlkonfiguration der Netzwerkfunktionen. Dies öffnet neue Tore für Angreifer, auch wenn andere Eigenschaften von virtualisierten Netzwerkfunktionen an sich für mehr Schutz sorgen, etwa die zentralisierte Übersicht und die Sicherheit der virtuellen Maschinen. Selbst wenn es keinen Angriff im eigentlichen Sinne gibt, so können Konfigurationsfehler eine Kaskade auslösen, die das Netzwerk als solches in seiner Funktion empfindlich einschränken können. Ein Phantomangriff mit dem Anschein eines Sicherheitsproblems.

Virtuelle Maschinen ermöglichen ein Netzwerk mit zentraler Ressourcen-Kontrolle und schnellem Deployment. Doch ebendiese zentralisierte Natur kann auch ein Nachteil sein: Ein Controller steuert viele Netzwerkkomponenten. Diese führen nur noch Befehle aus und verlieren laut dem Fraunhofer-Institut gegenüber Hardwarelösungen an eigener Intelligenz und eigenständigen Sicherheitsfunktionen. Hier gilt es daher, bereits bei der Umsetzung der Virtualisierung auf die notwendigen Sicherheitsfunktionen für DNS-Dienste zu achten. Denn genau wie physische Hardware sind auch VMs anfällig für Malware. Wenn eine von Malware infizierte Maschine nicht umgehend in der Quarantäne landet, kann sich die Infektion rasend schnell auf andere Geräte im Netzwerk übertragen und dessen Funktionalität von innen stören. Doch für die Überwachung einer virtualisierten Umgebung reichen traditionelle Sicherheits-Tools nicht aus.

Angriffe schnell und skalierbar abwehren

Was können IT-Teams tun, wenn es zu einer Attacke kommt? Hier zählen zwei Dinge: Schnelligkeit und Skalierung. Das virtualisierte Netzwerk muss in der Lage sein, selbstständig VMs aufzusetzen. So können die Auswirkungen eines Angriffs minimiert und Gegenmaßnahmen rasch eingeleitet werden. Ist das Netzwerk etwa in der Lage, gleichzeitig und automatisch Kapazitäten zu erhöhen, während die Angriffsabwehr läuft, lässt sich eine Unterbrechung vermeiden. Dies wiederum minimiert Umsatzverluste und hält die Produktivität stabil.

Im besten Falle sollten virtualisierte Netzwerkfunktionen direkt in das zugrundeliegende System greifen (Hook), etwa per Integration mit OpenStack. Ein solches DNS-System kann im Falle eines Angriffs direkt mit der OpenStack-Plattform kommunizieren, die wiederum den Befehl zur sofortigen Skalierung gibt. Automatisiert werden nun virtuelle Maschinen aufgesetzt, die vom DNS/DDI-System mit IP-Adressen versorgt werden und die erhöhte Last abfangen können.

„Was können IT-Teams tun, wenn es zu einer Attacke kommt? Hier zählen zwei Dinge: Schnelligkeit und Skalierung.“

Rainer Singer, Infoblox

xxxx

Sicherheitsansätze für virtuelle Umgebungen sollten zudem in der Lage sein, unbekannte Gefahren und Zero-Day-Angriffe zu entdecken, indem das Netzwerk ständig auf ungewöhnliche Verhaltensweisen hin überwacht wird; bereits bekannte Gefahren lassen sich durch herkömmliche Toolkits abwehren, die jeweils auf spezifische Angriffstypen ausgelegt sind.

Übersicht ist Pflicht

Eine moderne DNS-Sicherheitsstrategie sollte interne und externe Analysen sowie Ressourcen-Tracking umfassen. Im besten Falle sollte die virtualisierte Infrastruktur in der Lage sein, alle provisionierten VMs auf dem Schirm zu haben, ihre IP-Adressen zu analysieren und jeglichen Traffic zu überwachen, um verdächtiges Verhalten von virtuellen Maschinen in Echtzeit zu entdecken. Zusätzlich sollte die Möglichkeit vorhanden sein, infizierte VMs sofort unter Quarantäne zu stellen, um die Infektion des Netzwerks zu unterbinden. Da Konfigurationsfehler zu Sicherheits- und Leistungsproblemen führen, muss eine virtualisierte Sicherheitsstrategie Network Discovery sowie Automatisierung umfassen, um die Netzwerkfunktionen zu überprüfen und potenzielle Probleme frühestmöglich zu entdecken.

Jede neue technische Generation stellt Netzwerkarchitekten vor dieselbe Herausforderung: die Risiken müssen minimiert werden, ohne die Vorteile der neuen Technologie zunichte zu machen. Virtualisierte Netzwerkfunktionen sind der nächste logische Schritt hin zu hochdynamischen, automatisierten Netzwerken. Wenn Service-Provider die Sicherheitsfragen bereits während der Implementierung angehen und nicht erst im Nachhinein, so können sie ein flexibles, transparentes Netzwerk schaffen, das den Ansprüchen von heute und in der Zukunft gerecht wird.

Über den Autor:
Rainer Singer ist Systems Engineering Manager Central Europe bei Infoblox, einem Anbieter von kritischen Netzwerkdiensten. Diese Dienste sichern die DNS-Infrastruktur ab, automatisieren Cloud Deployments und verringern Risiken sowie Komplexität des Netzwerkbetriebs. Infoblox ist nach eigenen Angaben Marktführer im Bereich DDI (DNS, DHCP, IP Address Management).

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Was Sie über das Domain Name System (DNS) wissen müssen

Die Bedeutung der gängigen DNS-Eintragstypen.

Intelligente DNS-Infrastrukturen als Eckpfeiler der IT-Sicherheit.

So kann Passive DNS aktiv zu einer höheren Netzwerksicherheit beitragen.

Artikel wurde zuletzt im Juni 2016 aktualisiert

Erfahren Sie mehr über Software Defined Networking (SDN)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close