Drei DNS-Engines in einem Gerät
DoS-Angriffe verhindern: EfficientIP startet einen hybriden DNS-Dienst, um Onlineservices zu schützen
Bemerkenswerte Lösung befasst sich mit Schwächen von DNS-Servern
(11.03.14) - EfficientIP, Entwicklerin von DDI-Lösungen (DNS, DHCP Services, VLAN und IPAM), hat die Veröffentlichung eines hybriden DNS-Dienstes bekanntgegeben. Das Produkt ist eine Antwort auf die wachsende Zahl und Aggressivität der DNS-Cyberangriffe, beispielsweise Denial of Service (DoS) und Cache Poisoning.
Während auf den meisten DNS-Servern ein einzelner DNS-Engine läuft, etwa im Fall von ISCs BIND, kombiniert EfficientIPs "SolidServer Hybrid DNS-Engine" (HDE) drei DNS-Engines in einem Gerät. Dieser innovative Ansatz bietet großen Unternehmen und Providern mehr Schutz. Er eliminiert Schwachstellen (Single Point of Failure) und Sicherheitslücken, erzeugt einen komplexen Sicherheits-Footprint und ermöglicht das Wechseln von DNS-Engines, damit Patchs angewendet werden können, während der andere DNS-Engine die Verfügbarkeit sichert.
"Die Sicherheitslücken bei internationalen Unternehmen, die in den letzten Jahren für Schlagzeilen gesorgt haben, zeigen sehr gut, wie schädlich ein DNS-Angriff für den Ruf, den Umsatz und die Datensicherheit eines Unternehmen sein kann", so David Williamson, Geschäftsführer von EfficientIP.
"Da DNS-Bedrohungen sich weiterentwickeln, benötigen wir neue Strategien zur Verteidigung. Traditionelle Taktiken genügen nicht mehr, um die aktuellen Risiken zu entschärfen. Die Nutzung eines aktiven DNS-Engine, mit mindestens einem zusätzlichen und jederzeit bereitstehenden Ersatz, reduziert das Risiko für Angriffe deutlich. Zudem wird das Management für die Administratoren vereinfacht. Es ist eine intelligente Möglichkeit, Hacker auszutricksen, die sich so nie sicher sein können, welcher Namensserver gerade läuft. Diesen zu kompromittieren, wird dann zu einer hoffnungslos komplexen und geradezu unmöglichen Aufgabe.
DNS-Server spielen eine zentrale Rolle beim Zugriff der Anwender auf Internetseiten, E-Mail und andere Internetanwendungen. Sie verbinden IP-Adressen mit den entsprechenden Domainnamen. Allerdings können Hacker das DNS missbrauchen und manipulieren, um so einen massiven Netzwerkstau oder fehlgeleiteten Traffic zu verursachen – beides kann zu einer Unterbrechung oder einem Ausfall des Internet-Services führen.
Weil bestimmte Namensserver sehr populär sind und bekannte Schwächen in ihrem Code haben, ist es bewährte Praxis, dass Netzwerkbesitzer mindestens zwei unterschiedliche Namens-Server-Programme benutzen und jederzeit zwischen beiden wechseln können. EfficientIPs hybrider DNS-Dienst macht genau das, indem er das DNS-Programm BIND und zwei andere DNS-Dienste beinhaltet: Unbound und NSD von NLnet Labs. Unbound ist ein validierender, rekursiver und Cache-nutzender Resolver, der für hohe Leistung erstellt wurde. NSD ist ein autoritativer Hochleistungs-Namensserver, der eine robuste Umgebung bietet, um DoS-Angriffe abzuwehren. Die Trennung der autoritativen und rekursiven Elemente des Namensserver-Dienstes reduziert das Korruptionsrisiko deutlich.
Großangelegte Angriffe auf DNS-Server haben im letzten Jahr stark zugenommen, wobei der Umfang und die Intensität der Bedrohungen gestiegen sind. Mit neuen Techniken, wie DNS Amplification und Reflection, hat sich der Traffic, der gezielt Systeme attackiert, massiv erhöht. Ein hybrider Ansatz zur DNS-Sicherheit ermöglicht es Unternehmen, die schwächsten Elemente in ihrer Internet-Infrastruktur zu stärken. (EfficientIP: ra)
EfficientIP: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.