Wieder einmal sieht man, wie wichtig es ist, auf Sicherheit sensibler Daten zu achten. Oft haben Hacker leichtes Spiel, in Systeme und Server einzudringen und auf wichtige Daten zuzugreifen. So hat es eine Hackergruppe im letzten Monat geschafft, die Webpräsenzen von verschiedenen bekannten Marken, über Stunden lahm zu legen. Ist es möglich, seine Daten auf Onlineportalen sicher gegen Fremdzugriff zu schützen? In den Fällen von Acer, National Geographic, Vodafone, Betfair und dem Telegraph, herrscht die Eindeutige Meinung, dass die Vorfälle im letzten Monat, mit einfachen Mitteln abwendbar gewesen wären.
Ohne inhärente Sicherheit können ungeschützte DNS-Server leicht kompromittiert werden, wobei die Marken und Anwender dem Risiko von Sicherheitsbedrohungen wie dem Vergiften von Caches, Man-in-the-middle-Angriffen, DoS-Angriffen, Umleiten von Kundenanrufen oder E-Mails und vielen mehr ausgesetzt sind.
Eine Public Key Infrastructure (PKI) ist sinnvoll, um besseren Schutz für sensible Daten zu schaffen. Verantwortliche Organisationen müssen an ihren DNS-Servern eine zusätzliche Schutzebene anbringen, wenn sie gewährleisten wollen, dass ihre IT-Sicherheitskette keine Schwachstellen hat. Sehr oft ist es nicht ausreichend, das Seiten-Scripting und den Server zu sichern, um Sicherheitsvorfälle zu verhindern, wie das Beispiel deutlich zeigt.
Bewährte Verschlüsselungstechnologien sind wichtig, sollten jedoch mit einer weiteren Sicherheitsebene verknüpft werden. Das bedeutet, dass der verschlüsselte Zugang zu den DNS-Servern sichergestellt sein muss und dass die Verschlüsselungsschlüssel sicher außerhalb der virtuellen Umgebung gespeichert sind. Die hardwareseitige Speicherung von Verschlüsselungsschlüsseln stellt die nächstbeste Sicherheitsebene dar, da digitale Schlüssel nur entwendet werden können, wenn der Hacker physischen Zugang zum Büro oder dem Rechenzentrum hat.
Außerdem können Organisationen durch das Speichern von kryptografischen Schlüsseln in einem zentralisierten Hardwaregerät, zum Beispiel einem Hardware-Sicherheitsmodul (HSM), Risiken auschließen, die durch das Speichern der digitalen Schlüssel auf verschiedenen ungenügend geschützten Plattformen entstehen. Diese Zentralisierung optimiert in hohem Maße die Sicherheitsadministration und bietet eine zusätzliche Sicherheitsebene.
Ein weiterer Vorteil von HSMs ist die Unterstützung des vollständigen Lebenszyklus der Schlüsselverwaltung – von der Schlüsselerstellung, zur kryptografischen Entwicklung, Schlüsselspeicherung, der Schlüsselbeendigung und Archivierung. HSMs stehen im Mittelpunkt eines wirksamen Schutzes der digitalen Schlüssel und gewährleisten, dass die Vertrauenskette in der DNS-Hierarchie erhalten bleibt.
Alternative Methoden:
Ein DNS-Weiterleiter ist ein DNS-Server, der DNS-Abfragen im Auftrag von einem anderen DNS-Server ausführt. Die wichtigsten Gründe für die Verwendung eines DNS-Weiterleiters sind zum einen das Abladen von Verarbeitungsaufgaben vom DNS-Server, der die Abfrage weiterleitet, auf den DNS-Weiterleiter. Zum anderen verfügt der DNS-Weiterleiter über einen potenziell größeren DNS-Cache.
Ein weiterer Vorteil der Verwendung eines DNS-Weiterleiters besteht darin, dass er die DNS-Server daran hindert, Anforderungen aus der Interaktion mit Internet-DNS-Servern weiterzuleiten. Dies ist insbesondere dann wichtig, wenn Ihr DNS-Server als Host für die internen DNS-Ressourceneinträge Ihrer Domäne verwendet wird. Anstatt, dass Ihre internen DNS-Server selbständig die Rekursion und den Kontakt mit anderen DNS-Servern aufnehmen, können Sie den internen DNS-Server derart konfigurieren, dass er einen Weiterleiter für diejenigen Domänen verwendet, für die der Server nicht autoritativ ist.
Ein reiner DNS-Cacheserver ist für alle DNS-Domänen nicht autoritativ. Er ist zur Rekursion oder für die Verwendung eines Weiterleiters konfiguriert. Wenn der reine DNS-Cacheserver eine Antwort empfängt, speichert er das Ergebnis zwischen und gibt die Antwort an das System zurück, das die DNS-Abfrage an den reinen DNS-Cacheserver absendet. Mit der Zeit kann der reine DNS-Cacheserver einen großen Cache von DNS-Antworten ansammeln, womit die Antwortzeiten für DNS-Clients von diesem reinen DNS-Cacheserver erheblich verbessert werden können.