DNS Client Query FilteringVerbesserung der Zugangskontrolle vom Client zur Applikation

Netzwerksegmentierung bis zum einzelnen Benutzer

Das Filtern auf DNS-Ebene mit einer DNS Firewall Lösung wird hauptsächlich eingesetzt, um einen ersten Verteidigungsring für alle Arten von Benutzern, Geräten und Anwendungen zu bilden. Diese Lösung basiert auf einer manuell oder dynamisch verwalteten Liste der Ziel-Domänen, um den Zugang entweder zu erlauben oder zu blockieren, und liefert eine schnelle und einfache Möglichkeit, die Client-Software zu schützen, wenn eine Verbindung zu Applikationen oder Dienstes aufgebaut wird, die auf ihrem Namen oder der IP-Adresse basiert.

Es ist aber erforderlich, dass das DNS Filtern spezifischer ist. Die Anwendung des gleichen Filters auf alle Geräte oder Benutzer im Netzwerk tendiert dazu, den Sicherheitslevel auf die gebräuchlichsten Regeln zu reduzieren, die angewendet werden. Tatsächlich aber benötigen bestimmte Benutzergruppen einen höheren Sicherheitslevel während andere Benutzergruppen einen geringeren Sicherheitslevel benötigen, um ihre Tätigkeiten effektiv durchzuführen. Zusätzlich dazu profitieren IoT-Vorrichtungen davon, dass sie nur zu autorisierten Applikationen und Ressourcen Zugang haben, die auf einer Allow-List (Whitelist) stehen. Für die meisten anderen Geräte gelten im Allgemeinen einige Einschränkungen, die auf der Deny-List (Blacklist) basieren. Aber wie kann man so ein DNS Filtern durchführen, ohne die Möglichkeit, den wichtigsten Teil der Übertragung zu unterscheiden, den Client selbst?

Es gibt bereits Optionen in den DNS Engines, wie Ansichten, die dabei helfen können, den Client anhand seiner IP-Adresse zu unterscheiden, aber ist das genug? Reicht das aus? Sind Sie sicher, dass Sie diesen Ansatz auch weiterhin für Geräte verwenden können, die zig Webseiten besuchen, mit all den neuen Geräten, die jeden Tag im Netzwerk installiert werden, eventuell sogar direkt von den Geschäftseinheiten?

Idealer Weise ist ein höherer Feinheitsgrad und eine bessere Möglichkeit zur Klassifizierung der Clients erforderlich, um den geeigneten Filterlevel anzuwenden und dadurch den Sicherheitslevel anzupassen. Das ist der Weg, der zum Filtern der Applikation führt, zur Segmentierung, die für den Zero Trust Ansatz erforderlich ist, zu Jugendschutz-Filter für die Telcos und auch zum Filtern anhand von Bestimmungen und Regeln.

Vorteile

1

Feineres Filtern

Verbesserte Netzwerksegmentierung bis zum einzelnen Client

2

Bessere Zugangskontrolle der Applikationen

Ermöglicht die DNS-basierte
Zugangskontrolle vom Client zu unternehmensrelevanten Applikationen und Infrastrukturen

3

Frühe Sicherheitsbarriere

Erkennt Störungen zum frühesten Zeitpunkt im Datenstrom, um das Expositionsrisiko zu verringern

4

Neue Geschäftsmöglichkeiten

Ermöglicht neue B2B2C Angebote (z.B. Jugendschutz-Filter für Telcos)

5

Stärkeres Sicherheitsökosystem

Erlaubt direkte Änderungen über API und Standard DNS Zonen Manipulationen

TDer Filterprozess im Client Query Filtering (CQF)

CQF bereichert das DNS Filtern mit neuen Facetten und einer Sicherheit, die auf den Daten des Source Client basiert, der für die angefragte Domäne gemappt ist, statt auf dem reinen Filtern nach Domäne. Bestimmte Filterregeln können so nur auf bestimmte Clients angewendet werden, die Zugang zu bestimmten Applikationen anfragen. Das erhöht den Level der DNS Sicherheit durch die Kombination der Client- und Zieldaten mit den Allow- und Deny-Listen und ermöglicht so eine Verbesserung der Sicherheit der Applikation.

Die Hauptkomponenten, die das CQF für das Durchführen eines umfassenden DNS Filterns benötigt, sind: 1) eine Liste der Client-Identifikatoren; 2) eine Liste der Domains, die analysiert werden sollen, und 3) der Vorgang, um Gegenmaßnahmen zu erlauben, abzulehnen oder anzuwenden.

Jede DNS Anfrage wird mit dem Inhalt der Liste der Applikationen und Domains verglichen, um die maßgeblichen Bestimmungen anzuwenden. Diese Listen sind entweder lokal für jeden Guardian DNS Server und werden manuell verwaltet, was zu Testzwecken sinnvoll ist, oder zentralisiert mit globaler Verwaltung, was ideal für die Stärkung der Sicherheitsrichtlinien ist. Die Domain-Liste ist eine Standard-RPZ-Zone, die im SOLIDserver mit GUI Aktionen und API Aufrufen gepflegt werden kann, die aber auch von einem Threat Intelligence Provider (TIP) abonniert werden kann.

DNS Client Query Filtering principles

Das Verteilen der einzelnen Listen an alle Guardian DNS Server erfolgt mit skalierbaren Standard-Replikationsmechanismen in Echtzeit und erlaubt Automatisierungsszenarien mit dem Sicherheitsökosystem und den OSS/BSS Lösungen.

Der Filterprozess ist das Herzstück der CQF Funktion und bietet umfassende Sicherheitsanwendungen. Durch die Möglichkeit, große Datenmengen in den Listen zu verwenden und zu manipulieren, bietet er einen echten Vorteil, wenn Sicherheit auf multiple Client-Gruppen angewendet werden muss, deren Identifizierung ein komplexer Vorgang ist. Diese Verwaltung ist durch die hohen Leistungen der Guardian DNS Engine und ihre Integrierung in das komplette DDI Ökosystem vom SOLIDserver möglich.

Umfassende Client Identifizierung im CQF

DNS Clients werden in der Regen anhand ihrer IP-Adresse identifiziert, aber in einigen komplexeren Szenarien kann ein anderes Feld oder eine Kombination von Feldern, die aus jeder Anfrage extrahiert werden, für diese Identifizierung verwendet werden. Es kann zum Beispiel das Feld DNS Client Subnet verwendet werden, um zu identifizieren, ob die Client-Gruppen im gleichen Subnet lokalisiert sind oder alle in einem eigenen, wenn eine volle Subnet-Maske verwendet wird. Es kann auch eine Kombination aus der Identifizierung des CPE (Customer Premise Equipment) im Telco-Netzwerk mit der Mac Adresse des Geräts im Verbrauchernetzwerk als eindeutiger Identifizierungsschlüssel verwendet werden. Diese Vielfalt an Identifizierungsverfahren ermöglicht die Verwendung des CQF in Verbindung mit kaskadierten DNS Servern, mit DNS über HTTPS externe Engines oder mit ISP DNS Relay, das in das CPE eingebettet ist. Das CQF Filtern kann deshalb von Unternehmen mit einem lokalen Netzwerk verwendet werden, aber auch von komplexen Telekommunikationsnetzwerken oder Dienstleistern.

CQF und Zugangskontrolle zur Applikation

Die Zugangskontrolle zu Applikationen kann auf multiplen Leveln erfolgen, je nach Sicherheitsbestimmungen, die innerhalb des Unternehmens Gültigkeit haben. Der Hauptlevel, der in der Regel heute umgesetzt wird, ist die Authentifizierung und Autorisierung auf Applikationsebene mithilfe von Zugangsdaten. Das bedeutet, dass Applikationen normalerweise ohne Benutzer-Screening zugänglich sind.

Aber reicht das wirklich aus? Kann ein Benutzer, der keinen Zugang zu einer Applikation hat, sich Zugang zur Login-Seite verschaffen? Wenn eine Selbstregistrierung für die Applikation keine Option ist, was in Unternehmen meistens der Fall ist, warum sollte man dann den Zugang zu den Infrastrukturen aus dem Netzwerk offenlegen?

Es gibt einige sehr wichtige Applikationen, die einen spezifischen Zugang erforderlich machen und in einer eigenen Infrastruktur ohne Teilen der Hauptkomponenten laufen. Filtern auf Netzwerkebene ist eine Option, die man in Erwägung ziehen sollte, wobei Routing-Zugangslisten und Firewall-Regeln eine implizierte Lösung darstellen. In jedem Fall aber kann man durch das Hinzufügen vom Filtern auf DNS-Level den Sicherheitslevel noch weiter anheben. Dadurch gibt es keine Möglichkeit mehr, die technischen IP Adressen der Applikation aufzulösen, es gibt keine Netzwerkebene und keine Zugangsdaten, weshalb es sich um einen deutlich besseren Ansatz für die Sicherheit in Zero Trust Umgebungen handelt.

EfficientIP bietet mit seiner DNS Client Query Filtering (CQF) Funktion eine Funktion zur feinen Netzwerksegmentierung. Durch die Möglichkeit, die CQF Listen dynamisch sowohl mit Applikationseinträgen als auch mit Client-Einträgen zu aktualisieren, wird die Sicherheit automatisch auf einen geeigneten Level angehoben, da sie die Offenlegung und Datensichtbarkeit gegenüber unbekannten oder unbefugten Benutzern einschränkt.

Einfache und skalierbare CQF Listenverwaltung

Das Filtern auf DNS Ebene ist nur dann machbar, wenn sich die Listen der Domänen und Client Identifikatoren einfach verwalten und praktisch grenzenlos skalieren lassen. Die DNS Firewall Lösung verwendet eine Standard RPZ Zonenübertragung für die Listenverwaltung. Das erlaubt das Laden großer Mengen an gefilterten Domains mit Hilfe der DNS Zonenübertragung, was wirklich effizient ist. Dieser Ansatz wurde auf die Verwendung des Client Query Filtering ausgeweitet, das bedeutet, dass sowohl die Domain-Liste als auch die Liste der Client-Identifikatoren sowohl lokal als auch unter Nutzung des Mechanismus der DNS Zonenübertragung verwaltet werden können.

Der Inhalt beider Listen kann deshalb in einem DNS Server verwaltet werden für eine zentralisierte und automatische Aktualisierung des Inhalts in den Guardian Engines. Das bietet eine effiziente Möglichkeit, Sicherheitsmaßnahmen an globale Bestimmungen anzupassen. Durch die Verwendung des SOLIDserver DNS Dienstes als Backend für die Verwaltung des Listeninhalts können alle verfügbaren und gut bekannten vorgeschlagenen Lösungen wirksam einsetzen werden, einschließlich Web-GUI und umfassendes API-Set. Das gesamte Ökosystem der Sicherheit und Automatisierung kann dann Datensätze in die DNS Sicherheitszonen einfügen und aus diesen entfernen, die zu den Guardian Engines gepusht und direkt auf den eingehenden Traffic angewendet werden. Damit wird die Sicherheit aller hilfreichen Lösungen im Sicherheits- und IT-Ökosystem gestärkt.

Ähnliche Artikel

 

Produktbroschüre DNS Guardian

Der DNS Guardian bietet eine patentierte DNS Transaction Inspection, erweiterte Analysefunktionen für das Erkennen von verhaltensbasierten Bedrohungen in Echtzeit und adaptive Gegenmaßnahmen, um Benutzer, Applikationen und Daten zu schützen.

 

IDC 2021 GLOBAL DNS THREAT REPORT

Ergebnisse einer Umfrage, die mit 1114 Fachleuten aus den Bereichen IT & Netzwerk durchgeführt wurde und die Kosten und Schäden von DNS Angriffen, die Auswirkungen auf die Geschäftstätigkeit und die Abwehr erläutert und wesentliche Richtlinien für den Schutz von Infrastrukturen enthält.

 

SOLIDserver DDI für Zero Trust Sicherheit

Die fein aufgeschlüsselte Visibilität des DNS über den Internetverkehr bietet wertvolle kontextuelle Daten für das Erkennen von verhaltensbasierten Bedrohungen. Die Kombination mit erweiterten DNS Sicherheitsfunktionen und intelligentem DNS unterstützt die Umsetzung der Zero-Trust-Politik.