Zum Inhalt springen Weiter zur Suche
Testversion
Lösungsbeschreibung

DNS-Anwendungs-Firewall

Thunder CFW und ADC schützen die DNS-Infrastruktur vor Angriffen und optimieren die DNS-Leistung

Übersicht

Nahezu jeder Aspekt der Internetkommunikation - vom Surfen auf Websites über das Senden von E-Mails bis hin zur Übertragung von Dateien - hängt von der Auflösung von Domänennamen durch DNS-Server ab. Wenn ein Angreifer den Zugang zu den DNS-Servern eines Dienstanbieters unterbricht, kann der Angreifer die Abonnenten des Dienstanbieters im Wesentlichen daran hindern, auf das Internet zuzugreifen oder Voice-over-IP-Anrufe zu tätigen. Ähnlich verhält es sich, wenn die DNS-Infrastruktur eines Unternehmens ausfällt: Internetnutzer können dann nicht mehr auf das Web, die E-Mail und andere wichtige Dienste des Unternehmens zugreifen.

Neben der Abschaltung von Nutzern haben Cyberkriminelle und Hacktivisten auch andere schändliche Verwendungsmöglichkeiten für DNS-Server entdeckt. Sie können den Cache von DNS-Servern vergiften, um legitime Nutzer auf bösartige Websites umzuleiten. Und sie können DNS-Server ausnutzen, um die Größe von DDoS-Angriffen (Distributed Denial of Service) zu verstärken. DNS-Verstärkungsangriffe können die Größe von DDoS-Angriffen um Größenordnungen erhöhen und bieten Angreifern eine einfache Möglichkeit, groß angelegte DDoS-Angriffe durchzuführen. Viele der größten DDoS-Angriffe der letzten Jahre waren Amplifikationsangriffe.

Der A10 Networks® Thunder® Firewall (CFW) und der Application Delivery Controller (ADC) bieten eine umfassende und leistungsstarke Verteidigung gegen eine Vielzahl von DNS-Bedrohungen1. Thunder ADC und CFW sind für prozessintensive Netzwerkaufgaben ausgelegt. Mit Advanced Core Operating System (ACOS®) nutzen die Lösungen eine Shared-Memory-Architektur und die Flexible Traffic Accelerator (FTA)-Technologie für außergewöhnlich hohe Leistung.

Die Herausforderung

Zunehmende DNS-Sicherheitsbedrohungen

DNS-Server haben aus zwei Gründen die zweifelhafte Ehre, ein Top-Angriffsziel zu werden. Erstens ist das Ausschalten von DNS-Servern für Angreifer eine einfache Möglichkeit, Tausende oder Millionen von Internet-Abonnenten vom Zugang zum Internet abzuhalten. Wenn Angreifer die DNS-Server eines Dienstanbieters außer Gefecht setzen, können sie verhindern, dass die Abonnenten des Dienstanbieters Domänennamen auflösen, Websites besuchen, E-Mails versenden und andere wichtige Internetdienste nutzen. DNS-Angriffe haben die DNS-Dienste von Dienstanbietern stunden- oder sogar tagelang lahmgelegt und in extremen Fällen zu Sammelklagen von Abonnenten geführt. Sowohl Unternehmen als auch Dienstanbieter können Umsatzeinbußen und Markenschäden erleiden, wenn ein Angreifer den Zugang zur DNS-Infrastruktur unterbricht und die Nutzer am Zugriff auf wichtige Dienste hindert.

Außerdem können Angreifer DNS-Server ausnutzen, um DDoS-Angriffe zu verstärken. Bei DNS-Reflection-Angriffen fälschen die Angreifer die IP-Adresse ihres eigentlichen Angriffsziels oder geben sich als solche aus. Sie senden Abfragen, die den DNS-Server anweisen, viele DNS-Server rekursiv abzufragen oder umfangreiche Antworten an das Opfer zu senden. Infolgedessen überschwemmen leistungsstarke DNS-Server das Netz des Opfers mit DNS-Verkehr.

Selbst wenn DNS-Server nicht das eigentliche Ziel des Angriffs sind, kann es infolge eines DNS-Reflection-Angriffs zu Ausfallzeiten und Störungen kommen. Unternehmen, die DNS-Server hosten, müssen ihre DNS-Infrastruktur schützen.

Abbildung 1: Reaktiver Einsatz zur bedarfsgerechten Schadensbegrenzung in großen Netzen

Abbildung 1. Mit einer integrierten DNS Application Firewall kann Thunder CFW oder ADC Angriffe, Nicht-DNS-Verkehr und DNS-Anfragen von bekannten bösartigen Clients erkennen

Die A10 Networks Thunder Lösung

DNS-Server stehen unter Beschuss, sei es als direktes Angriffsziel, als Kanal für verstärkende Angriffe oder als versehentlicher Empfänger missgestalteter Anfragen. Nur wenige Unternehmen haben Sicherheitsmaßnahmen auf dem Niveau implementiert, das für die Überwachung oder den Schutz von DNS-Servern vor den raffiniertesten Angriffen von heute erforderlich ist, so dass die DNS-Infrastruktur für Angriffe weit offen ist.

Zum Schutz von DNS-Servern müssen Unternehmen eine DNS Application Firewall (DAF) einsetzen, die eine Vielzahl von Bedrohungsvektoren abwehren kann und dennoch eine unübertroffene Anwendungsleistung bietet. A10 Thunder ADC und CFW bieten genau das: Sie nutzen eine Shared-Memory-Architektur und 64-Bit-Skalierbarkeit, um einen zuverlässigen Schutz bei hoher Geschwindigkeit zu bieten.

Als Teil von Thunder CFW und ADC bietet A10 Networks eine integrierte und leistungsstarke DNS Application Firewall. Sie stoppt Pufferüberläufe, fehlerhafte Anfragen und Denial-of-Service (DoS)-Angriffe und schützt DNS-Server vor Angriffen. Da Thunder ADC mehrere DNS-Server ausbalancieren und DNS-Antworten zwischenspeichern kann, bietet es außerdem Skalierbarkeit und ermöglicht es DNS-Servern, große Lasten und massive Angriffe zu bewältigen.

Merkmale und Vorteile

Mit Thunder DNS Application Firewall können Unternehmen:

  • Schützen Sie kritische DNS-Server vor direkten Angriffen und Exploits - Die DNS Application Firewall blockiert fehlerhafte DNS-Anfragen und schützt so die DNS-Infrastruktur vor Pufferüberläufen und DoS. Darüber hinaus werden DDoS-Angriffe durch IP-basierte Verbindungsratenbegrenzung und gleichzeitige Verbindungskontrollen eingedämmt. Mit richtlinienbasiertem Server Load Balancing (PBSLB) kann A10 Anfragen von bekannten bösartigen Quellen blockieren; Kunden können Listen mit bis zu 8 Millionen IP-Adressen importieren, um Benutzer auf eine schwarze Liste zu setzen oder den Zugriff nur bekannten vertrauenswürdigen Quellen zu gewähren.
  • Verhindern Sie die Kommunikation mit C&C-Zentren mit DNS RPZ - Mit Malware infizierte Hosts kontaktieren in der Regel Command & Control Server (C&C). Thunder CFW unterstützt DNS RPZ, um die Kommunikation mit bekannten bösartigen Domänennamen, wie z. B. C&C-Zentren, zu blockieren, indem DNS-Antworten für solche Domänen umgeschrieben werden. DNS RPZ kann zum Beispiel verwendet werden, um eine Antwort für eine Domain in NXDOMAIN umzuschreiben und so den Zugriff auf diese Domain effektiv zu blockieren.
  • Vermeiden Sie unerwünschte Publicity und Reputationsschäden, indem Sie DNS-Verstärkungsangriffe stoppen - Da Angreifer DNS-Server ausnutzen, um DDoS-Angriffe zu verstärken, müssen Unternehmen sicherstellen, dass ihre Server nicht zu Einfallstoren für Angriffe auf andere Unternehmen werden. Die DNS Application Firewall von A10 bietet nicht nur eine Begrenzung der Verbindungsrate, sondern kann auch eine Drosselung auf Basis der Quell-IP-Adresse vornehmen. DNS-Konfigurationsfehler mit fortschrittlichem Skripting "virtuell flicken" - A10 Networks aFleX® Deep Packet Inspection (DPI) Skripting-Technologie-Richtlinien können DNS-Anfragen und -Antworten umwandeln, um bestimmte Arten von Angriffen wie DNS-Rekursion zu verhindern. Darüber hinaus können aFleX-Regeln so geschrieben werden, dass bestimmte Arten von DNS-Anfragen auf TCP umgestellt werden, um IP-Spoofing-Angriffe auf den traditionell verbindungslosen UDP-Datenverkehr zu verhindern.
  • DNS-Angriffe durch Skalierung der DNS-Infrastruktur abwehren - Mit fortschrittlichem Server-Lastausgleich können Kunden mehrere DNS-Server einsetzen, um die Verfügbarkeit zu maximieren und die Kapazität zu erhöhen, um groß angelegte Angriffe abzuwehren. Die leistungsstarke ACOS-Plattform und die High-Speed-Shared-Memory-Architektur von A10 bieten eine außergewöhnlich hohe Leistung.
  • Reduzieren Sie die Last auf DNS-Servern um bis zu 70 % mit Caching und Protokollvalidierung - DNS-Server werden oft von Nicht-DNS-Datenverkehr bombardiert. Mithilfe von Protokollprüfung und -durchsetzung identifiziert Thunder ADC den DNS-Datenverkehr korrekt und leitet ihn weiter, sodass andere Arten von Datenverkehr die DNS-Infrastruktur gar nicht erst erreichen. Neben dem Schutz der DNS-Server vor Angriffen reduziert das Caching auch die Anzahl der DNS-Server, die bereitgestellt werden müssen, und senkt so die Investitionskosten.
  • DNSSEC - Definiert als eine Reihe von Sicherheitserweiterungen für das ursprüngliche DNS-Protokoll, das DNS durch Signieren von DNS-Antwortdaten schützt. Dies ist nützlich, um Angriffe wie DNS-Cache-Poisoning und DNS-Hijacking zu verhindern. Beim Einsatz als autoritativer GSLB-Nameserver (Global Server Load Balancing) kann Thunder ADC DNS-Datensätze signieren, so dass der Client oder der lokale DNS-Resolver überprüfen kann, ob die Datensätze von einer authentischen Quelle stammen und nicht verändert wurden.
  • Lineare Skalierung der Leistung zur Maximierung der Kapazität - Da die Thunder DNS Application Firewall über eine Shared-Memory-Architektur verfügt, kann sie die Vorteile von Multi-Core-Prozessoren voll ausschöpfen. Dies erhöht nicht nur die Leistung, sondern verbessert auch die Genauigkeit der Ratenbegrenzung, da die Prozessorkerne vollen Einblick in alle Verbindungszahlen in Echtzeit haben.
  • Sicherer IPv4- und IPv6-DNS-Verkehr - Thunder DNS Application Firewall bietet das gleiche Maß an Schutz für IPv4- und IPv6-Kommunikationsprotokolle. Da Thunder ADC und CFW IPv6-Übergangstechnologien unterstützen, können Unternehmen DNS-Anfragen problemlos bedienen, unabhängig davon, welche IP-Version verwendet wird.

Mit der integrierten DNS Application Firewall bietet Thunder ADC und CFW einen erstklassigen und umfassenden Schutz vor DNS-Bedrohungen und erhöht gleichzeitig die Leistung von DNS-Anwendungen.

Spezifikationen der DNS-Anwendungsfirewall

Abwehr von DNS-DDoS-Angriffen und DNS-Server-Offloading

  • Begrenzung der Verbindungsgeschwindigkeit
  • Quell-IP-basierte Verbindungsratenbegrenzung
  • Policy-Based Server Load Balancing (PBSLB) mit schwarzen und weißen Listen, Millionen von IP-Adressen und Tausenden von Subnetzen
  • DNS-Authentifizierung
  • DNS RPZ
  • aFleX-Richtlinien zur Verhinderung der Ausnutzung von Sicherheitslücken
  • Drosselung auf der Grundlage des Domänennamens für bestimmte Namen
  • Schutz der maximalen Abfragelänge
  • DNS-Caching
  • DNS-Verkehrslastausgleich

DNS-DDoS-Angriffe durch Thunder ADC abgeschwächt

  • DNS ANY-Angriff
  • Deformierte DNS-Abfrage
  • DNS-Amplifikationsangriffe
  • Volumetrische Layer-3-DDoS-Angriffe - SYN-Flood, ICMP-Flood, UDP-Flood, Ping of Death, Smurf-Angriff, LAND-Angriff, fragmentierte Pakete

Zusammenfassung - Schützen Sie Ihre DNS-Infrastruktur mit einer DNS Application Firewall von A10

Angesichts der zunehmenden Sicherheitsbedrohungen für Rechenzentren benötigen Unternehmen eine Lösung, die ihre DNS-Infrastruktur vor Angriffen schützen kann. Da sich die Angriffe weiterentwickeln, müssen sich die Sicherheitslösungen anpassen und die nötige Leistung bieten, um das hohe Datenaufkommen zu bewältigen und einen reibungslosen Geschäftsbetrieb zu gewährleisten.

Unternehmen können sich beim Schutz ihrer DNS-Server auf A10 verlassen. Thunder Die DNS Application Firewall bietet eine leistungsstarke Verteidigung gegen DDoS-Angriffe, DNS-Cache-Poisoning und benutzerdefinierte Exploits. Mit integriertem Lastausgleich, Protokollvalidierung und DNS-Caching können Thunder ADC und CFW die Gesamtkapazität der DNS-Infrastruktur erhöhen. A10 genießt das Vertrauen von Tausenden von Unternehmen auf der ganzen Welt und sorgt dafür, dass DNS-Server hochverfügbar, beschleunigt und sicher sind.

Nächste Schritte

Um mehr über A10 Networks Thunder Application Delivery Controller (ADC) und Thunder Firewall (CFW) zu erfahren, wenden Sie sich bitte an Ihren A10 Networks Ansprechpartner.

Über A10 Networks

A10 Networks (NYSE: ATEN) bietet secure application services für lokale, multi-cloud und Edge-Cloud-Umgebungen in Hyperscale. Unser Ziel ist es, Dienstanbieter und Unternehmen in die Lage zu versetzen, geschäftskritische Anwendungen bereitzustellen, die sicher, verfügbar und effizient für multi-cloud Transformation und 5G-Bereitschaft sind. Wir liefern bessere Geschäftsergebnisse, die den Investitionsschutz und neue Geschäftsmodelle unterstützen und helfen, Infrastrukturen zukunftssicher zu machen, damit unsere Kunden das sicherste und verfügbarste digitale Erlebnis bieten können. Das 2004 gegründete Unternehmen A10 Networks hat seinen Sitz in San Jose, Kalifornien, und bedient Kunden auf der ganzen Welt.

Herausforderung

Angreifer haben es auf die DNS-Infrastruktur abgesehen, um Dienste zu stören und DNS-Server in Waffen zu verwandeln, um mächtige DDoS-Angriffe zu entfesseln.

Lösung

A10 Thunder ADC und CFW schützen die DNS-Infrastruktur mit der leistungsstarken und umfassenden DNS Application Firewall vor Angriffen.

Vorteile
  • Entschärfung von DDoS-Angriffen auf DNS-Server
  • Verringerung der Belastung von DNS-Servern um bis zu 70 %, indem ungültiger Datenverkehr verworfen und DNS-Antworten zwischengespeichert werden
  • Maximierung der Betriebszeit durch Lastausgleich und hohe Verfügbarkeit
  • Skalierbar für Millionen von DNS-Anfragen pro Sekunde