IT-Security in Krisensituationen: DNS effizient absichern
22. April 2020Wenn fast alle Kollegen im Home Office arbeiten, ist die Domain Name System-Infrastruktur (DNS) wichtiger denn je. Das wissen auch Hacker, die durch DDoS-Angriffe vermehrt den DNS-Service attackieren. Doch Unternehmen können sich mit geeigneten Methoden schützen, um Ausfälle zu vermeiden.
Aktuell müssen viele Unternehmen ihre gewohnten Prozesse schnell und großflächig umstellen, um weiterhin geschäftsfähig zu bleiben. Eine der häufigsten und erfolgreichsten Methoden ist dabei die massenhafte Verlagerung von Büro- zu Tele-Arbeitsplätzen. Befinden sich praktisch alle Mitarbeiter im Home Office, können sie ihre Arbeit weitgehend fortsetzen und den Geschäftsbetrieb aufrecht erhalten.
Im Zuge dieser Umstellung entstehen jedoch möglicherweise Probleme im Netzwerkverkehr. Dazu gehören etwa zu viele VPN-Nutzer, Software-Abstürze bei Webkonferenzen oder zu gering dimensionierte Lizenzen und Kapazitäten für Collaboration Software. Die Ursachen liegen häufig daran, dass „zu viel, zu schnell“ umgestellt werden musste. Doch oft lassen sich diese Probleme dank moderner Technik und hilfsbereiten Dienstleistern ebenso schnell beheben wie sie entstanden sind.
Größere Sicherheitsgefahren
Kurzfristige Lösungen bergen aber häufig die Gefahr, dass sie langfristig zu neuen Problemen führen. Dies gilt auch für die Umstellung auf Home Office. Wird hier nicht für eine ausreichende Sicherheit gesorgt, können Cyber-Kriminelle durch Aktivitäten wie Distributed-Denial-of-Service (DDoS)-Angriffe auf die DNS-Infrastruktur erheblichen Schaden anrichten.
Da sich fast alle Mitarbeiter von zu Hause aus digital in das Unternehmensnetz einwählen, hängen die Geschäftsprozesse direkt vom DNS ab. Daher müssen Unternehmen die entsprechenden Systeme ausreichend absichern. Dazu genügen bei geeigneter Konfiguration auch kostengünstige oder sogar kostenfreie DNS-Angebote.
Die wesentliche Rolle des DNS
Um den aktuellen Status der DNS-Infrastruktur einzuschätzen und die richtige Lösung zu finden, dienen folgende Fragen:
- Welcher Tagesdurchschnitt wird für den DNS-Verkehr erwartet? Welche Kapazität besitzt die bestehende Infrastruktur? Für wie lange lässt sich die maximale Kapazität aufrechterhalten und wie lässt sie sich skalieren?
- Ist das DNS im eigenen Rechenzentrum angesichts der veränderten Aktivitäten der Nutzer nicht mehr ausgelastet? Kommt für den Fall der Fälle eine Skalierung über Cloud-Angebote zum Einsatz?
- Woher stammt der Großteil des Datenverkehrs und gibt es eine ausreichende Vielfalt an Load-Balancing-Lösungen in diesen Regionen auf lokaler und globaler Ebene? Sind automatische Skalierungsfunktionen in die Infrastruktur eingebaut und welche Kosten entstehen durch die derzeitigen dynamischen Veränderungen?
- Wie ist der Sicherheitsstatus?
- Ist die DNS-Infrastruktur, die bereits durch die hohe Dynamik des Home-Office-Arbeitens belastet ist, vor Bedrohungen wie DDoS-Angriffen geschützt?
- Gibt es ein Backup, falls der primäre DNS ausfällt, sei es durch einen Angriff oder durch zu hohen legitimen Datenverkehr?
DNS und die Cloud
Die Technologiebranche bewirbt seit Jahren den Mehrwert von Cloud-Lösungen. Die vernetzten Infrastrukturen und Dienste laufen auch bei Ausfall eines Knotenpunktes stabil weiter. Dieses Modell hat sich bereits in kleinem Maßstab bewährt, indem es Redundanzen in Gebieten bereitstellt, die von Katastrophen und politischen Krisen betroffen sind. Dann können Menschen, Anwendungen und Dienste die Infrastruktur weiterhin nutzen.
Unternehmen müssen nun sicherstellen, dass sie dasselbe Modell zum Schutz der DNS-Infrastruktur verwenden. Dazu dienen folgende Tipps:
- Werden bestimmte Anwendungen weltweit stark nachgefragt, sind aber lokal bereitzustellen, wie VPN, sollten Unternehmen einen Cloud-basierten globalen Load Balancer zu ihrer DNS-Infrastruktur hinzufügen. Er kann zur Entlastung beitragen, indem er den Datenverkehr auf Basis des geografischen Ursprungs weiterleitet und gleichzeitig automatische Redundanzen bietet.
- Unternehmen können einen sekundären DNS-Provider unabhängig von ihrem primären DNS-Anbieter nutzen. Auf diese Weise erhalten sie eine Ausfallsicherung – ob bei einem Angriff, einer Kapazitätsüberlastung oder einer anderen Situation, die zu einem Ausfall des primären DNS führt.
- Ein Cloud-basiertes sekundäres DNS sollte automatisch nach oben oder unten skalieren, um sich an die aktuelle Belastung anzupassen. Schließlich weiß niemand, was in nächster Zukunft zu erwarten ist.
- Der Cloud-basierte DNS-Service sollte auch eine hochskalierte globale Abdeckung bieten – nicht nur ein paar lokale Präsenzen. Dann erhalten Kunden, Mitarbeiter und Partner in jeder Region der Welt eine geobasierte Performance und DNS-Lastverteilung.
- Eine Cloud-basierte sekundäre DNS-Lösung und DNS-Lastverteilung sollte weitere Funktionen wie automatisches Failover, integrierten DDoS-Schutz und TSIG (Transaction SIGnature)-Authentifizierung bieten. So können Unternehmen die Verfügbarkeit ihrer Anwendung gewährleisten – und erhalten alles Nötige aus einer Hand.
In Krisenzeiten müssen Unternehmen vernetzt bleiben, um Mitarbeiter, Kunden und Partner zu unterstützen. Dabei bildet die Stabilisierung des DNS und der globalen Load-Balancing-Infrastruktur eine entscheidende Komponente, damit der Internetverkehr weiterhin reibungslos fließt. Dies lässt sich mit kostengünstigen Lösungen in wenigen Schritten effizient erreichen.
Roman Borovits ist Senior Systems Engineer bei F5 Networks.