|
|
Nominum bringt umfassendes Sicherheitspaket für DNS-Schwachstelle Mehrschichtige Lösung gegen "DNS Cache Poisoning" (
Anzeige
Mit einem so genannten "Tiefenschutzverfahren" geht die Lösung von Nominum nach Hersteller-aussage "deutlich weiter als der kürzlich eingeführte Branchenstandard 'UDP Source Port Randomization' (UDP SPR)". Dieser legt die zufällige Auswahl eines oder mehrerer UDP-Quell-Ports für jede einzelne Anfrage fest. Die neuen Schutzmechanismen von Vantio dagegen machen nun auch die Vorteile zunichte, die mögliche Angreifer durch die jüngste DNS-Sicherheitslücke gewonnen haben. "Buchstäblich am Tag nachdem die Details des Cache-Poisoning-Angriffs von Kaminsky bekannt wurden, haben Sicherheitsexperten die UDP Source Port Randomization unter Anwendung eines 'Brute Force-Angriffs' mit gefälschten Antworten geknackt. Dafür benötigten sie ganze zehn Stunden", verdeutlicht Dr. Paul Mockapetris, Chairman und Chief Scientist bei Nominum sowie Erfinder des Domain Name System (DNS). "Der mehrschichtige Lösungsansatz von Nominum schaltet nun allerdings das Risiko eines erfolgreichen Angriffs aus." Die DNS-Sicherheitsfunktionen des neuen Vantio Releases im Überblick: · Widersteht und unterbindet alle Arten von Cache Poisoning-Angriffen · Schützt automatisch vor Frage-Antwort-Manipulationen und isoliert Angreifer · Verhindert so genannte 'Pharming-Angriffe', d.h. das Kidnappen von Nutzerdaten · Identifiziert Täter und zeichnet Angriffsversuche auf · Schützt Unternehmens- und Service Provider-Netzwerke, die mit Network-Address Translation (NAT)-Geräten wie z.B. Server Load Balancers und Firewalls ausgestattet sind. Diese können UDP SPR aushebeln. · Eliminiert die Gefahr verfälschter Antworten für wichtige Domains wie z.B. mybank.com. · Schutz weit über den Branchenstandard hinaus "UDP Source Port Randomization" ist aber nur als erste Reaktion auf die neue Schwachstelle zu sehen. Netzwerkbetreiber benötigen darüber hinaus zusätzliche zielgerichtete Schutzeinrichtungen, um wichtigen Exploits zu begegnen. Cache Poisoning-Angriffe nutzen verschiedene Techniken. Antworten zu verfälschen ist nur eine davon. UDP Source Port Randomization wurde gezielt dazu geschaffen, das Risiko von Manipulationen zu verringen. Bei einem entschlossenen Angreifer oder anderen Angriffsformen ist es jedoch unwirksam. Darüber hinaus kann es leicht untergraben werden, wenn der Angreifer zusätzliche Netzwerkressourcen zur Verfügung hat, über die er sehr viele gefälschte Antworten senden kann. Die neuen Schutzmechanismen von Nominum sorgen jetzt jedoch dafür, dass Angriffe dieser Art erfolglos bleiben. "Mehrschichtige Schutzmechanismen im DNS-System sind eine effektive Waffe gegen ernste Angriffsszenarien, die nicht von UDP Source Port Randomization allein abgefangen werden können", kommentiert der Sicherheitsexperte Dan Kaminsky, der die jüngste DNS-Schwachstelle entdeckt hat. "Wenn neue DNS-Angriffsmöglichkeiten gefunden werden, kann ein mehrschichtiger Ansatz wie der von Nominum dabei helfen, die Sicherheit im Internet fortlaufend zu gewährleisten." Vantio von Nominum deckt vier Schutzebenen mit unterschiedlichen Sicherheitsfunktionen ab: · Abschreckungsebene: Beinhaltet die Umsetzung von UDP Source Port Randomization, die von der Branche empfohlene Antwort auf die Kaminsky-Bedrohung · Verteidigungsebene: Bindet die 'Detect and Defend'-Technologie von Nominum ein. Sie deckt Manipulierungsversuche auf und wechselt im Fall eines Angriffsversuchs automatisch zu einer sicheren Verbindung für die Namensauflösung. · Widerstandsebene: Nutzt 'Query Response Screening' mit einer Reihe von intelligenten Funktionen, welche die DNS-Antworten prüfen und dadurch sicherstellen, dass darin enthaltene bösartige Daten nicht als Antwort auf Enduseranfragen weitergegeben werden. · Korrekturebene: Sendet Warnungen, wenn ein Angriff festgestellt wurde und besitzt eine zusätzliche Funktion, die den Angriff aufzeichnet. So lässt sich der Angreifer identifizieren und der Netzwerkbetreiber kann sofort entsprechende Schutzmaßnahmen ergreifen. (Nominum: ra) |
||
|
