Secure DNS: Ihr performanter Uptime-Garant

Als abgesicherte DNS-Infrastruktur (Secure DNS) werden Server-Instanzen zur Namensauflösung bezeichnet, die durch umfangreiche Sicherheitsmaßnahmen vor externen Angriffen geschützt sind. Ferner unterstützen DNS-Anbieter für Secure DNS zumeist Konfigurationen mit DNS-Erweiterungen wie DNSSEC, die eine schädliche Manipulation der Namensauflösung verhindern.

Durch den Einsatz von DNS Security können Unternehmen die Namensauflösung ihrer Domains vor Angriffen von außen schützen. Tatsächlich sind Nameserver oftmals das Ziel von DDoS-Attacken. Cyberkriminelle schwenken ihre Attacken von Firmen-Webseiten auf DNS-Server um, wenn die erste Angriffswelle nicht zum gewünschten Erfolg führt. Geht der für die Namensauflösung verantwortliche Nameserver in die Knie, bleibt auch die dahinterliegende Webressource nicht erreichbar. Vor solchen Angriffen kann eine abgesicherte Secure-DNS-Infrastruktur schützen. Neben dedizierten DDoS-Schutzfunktionen bieten Secure DNS Server auch eine Anycast-Adressierung, die in Verbindung mit einem mehrfach (geo-)redundanten Server-Netzwerk hohe Sicherheit vor Überlastungsangriffen liefert. Einzelne Server-Instanzen können bei Anycast nicht gezielt von Angreifern angegangen werden, die Last verteilt sich auf dem gesamten Netzwerk.

In der Regel beziehen Unternehmen Secure-DNS-Lösungen von einem spezialisierten Sicherheitsdienstleister, der die dafür erforderliche Hardware betreibt und die Namensauflösung als Service bereitstellt – für die Implementierung ist in diesem Fall keine zusätzliche Software oder Hardware erforderlich. Ist darüber hinaus Unterstützung für eine Hidden-Primary-Konfiguration gegeben, lässt sich der Umzug der Namensauflösung zu abgesicherten Secure DNS Servern samt zugehöriger Konfiguration schnell und einfach erledigen. Soll hingegen eine abgesicherte DNS-Infrastruktur im Inhouse-Betrieb aufgebaut werden, ist das mit erheblichen Kosten für Software, Hardware und Personal verbunden. Insbesondere Konstellationen mit performanten DNS-Servernetzwerken im Anycast-Betrieb sind Inhouse weitestgehend ausgeschlossen. Aufwand und Nutzen stehen hier in keinem Verhältnis. Für eine dedizierte Absicherung von DNS-Servern ist das Outsourcing an einen DNS Provider daher die beste Wahl. Der eigene Betrieb eines Secure DNS Servers ist nur noch in Ausnahmefällen sinnvoll (Intranet und dergleichen), weil die dort hinterlegten Daten ohnehin öffentlich zur Verfügung gestellt werden.

Wenn Cyberkriminelle mit ihren DDoS-Angriffen auf die Webserver einer Organisation keinen Erfolg haben, verlagern sie ihre Angriffe häufig auf die Namensauflösung. Erreichen die Cyberkriminellen dort ihr Ziel, ist die Verfügbarkeit der betroffenen Domains stark eingeschränkt, obwohl die Origin-Server nicht durch schädlichen Traffic belastet werden. Aus diesem Grund ist die Absicherung der Namensauflösung durch DNS Security ein zentrales Element für den Schutz von kritischen Webprozessen.