{"id":22791,"date":"2025-09-03T11:30:45","date_gmt":"2025-09-03T09:30:45","guid":{"rendered":"https:\/\/blog.rwth-aachen.de\/itc\/?p=22791"},"modified":"2025-09-02T09:00:08","modified_gmt":"2025-09-02T07:00:08","slug":"dns-teil-2","status":"publish","type":"post","link":"https:\/\/blog.rwth-aachen.de\/itc\/2025\/09\/03\/dns-teil-2\/","title":{"rendered":"DNS an der RWTH Aachen Teil 2: Sicherheit im DNS \u2013 Schutz vor Missbrauch"},"content":{"rendered":"<div class=\"twoclick_social_bookmarks_post_22791 social_share_privacy clearfix 1.6.4 locale-de_DE sprite-de_DE\"><\/div><div class=\"twoclick-js\"><script type=\"text\/javascript\">\/* <![CDATA[ *\/\njQuery(document).ready(function($){if($('.twoclick_social_bookmarks_post_22791')){$('.twoclick_social_bookmarks_post_22791').socialSharePrivacy({\"txt_help\":\"Wenn Sie diese Felder durch einen Klick aktivieren, werden Informationen an Facebook, Twitter, Flattr, Xing, t3n, LinkedIn, Pinterest oder Google eventuell ins Ausland \\u00fcbertragen und unter Umst\\u00e4nden auch dort gespeichert. N\\u00e4heres erfahren Sie durch einen Klick auf das <em>i<\\\/em>.\",\"settings_perma\":\"Dauerhaft aktivieren und Daten\\u00fcber-tragung zustimmen:\",\"info_link\":\"http:\\\/\\\/www.heise.de\\\/ct\\\/artikel\\\/2-Klicks-fuer-mehr-Datenschutz-1333879.html\",\"uri\":\"https:\\\/\\\/blog.rwth-aachen.de\\\/itc\\\/2025\\\/09\\\/03\\\/dns-teil-2\\\/\",\"post_id\":22791,\"post_title_referrer_track\":\"DNS+an+der+RWTH+Aachen+Teil+2%3A+Sicherheit+im+DNS+%E2%80%93+Schutz+vor+Missbrauch\",\"display_infobox\":\"on\"});}});\n\/* ]]> *\/<\/script><\/div><p><div id=\"attachment_22804\" style=\"width: 310px\" class=\"wp-caption alignright\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-22804\" class=\"size-medium wp-image-22804\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2025\/09\/DNS_20250723_BAU_Blog-300x200.jpg\" alt=\"\" width=\"300\" height=\"200\" srcset=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2025\/09\/DNS_20250723_BAU_Blog-300x200.jpg 300w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2025\/09\/DNS_20250723_BAU_Blog-1024x683.jpg 1024w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2025\/09\/DNS_20250723_BAU_Blog-768x512.jpg 768w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2025\/09\/DNS_20250723_BAU_Blog.jpg 1500w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><p id=\"caption-attachment-22804\" class=\"wp-caption-text\">Quelle: Eigene Darstellung<\/p><\/div><\/p>\n<p>Im <a href=\"https:\/\/blog.rwth-aachen.de\/itc\/2025\/05\/05\/dns-an-der-rwth-aachen-teil-1\/\">ersten Teil<\/a> dieser Blogreihe \u00fcber das Domain Name System (DNS) haben wir verschiedene technische Details erkl\u00e4rt. Schon allein dadurch, dass f\u00fcr Umwandlung von Rechnernamen in IP-Adressen DNS-Server befragt werden, kommt dem System eine sehr zentrale Rolle f\u00fcr das Funktionieren des Internets zu.<\/p>\n<p><!--more--><\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"color: #00549f;\">DNS im Fokus von Angreifer*innen<\/span><\/h3>\n<p>Durch die zentrale und vitale Rolle des DNS richtete sich auch bald der Fokus von Angreifer*innen auf dieses System. Neben Angriffen auf die eigentliche Implementierung des Dienstes (klassisches Denial of Service, Exploit von Schwachstellen) bzw. dessen Funktionalit\u00e4t (z.B. Cache Poisoning oder Hijacking) werden vermehrt auch die gespeicherten Inhalte, also DNS-Eintr\u00e4ge, f\u00fcr Angriffe missbraucht.<\/p>\n<p>Hierbei macht man sich zu Nutze, dass das DNS sehr dezentral organisiert ist. Das bedeutet, dass nicht nur die Server mit den Datenbest\u00e4nden weltweit verteilt sind, sondern dass auch keine zentrale Instanz existiert, die dar\u00fcber bestimmen k\u00f6nnte, welche Domainnamen im DNS eingetragen werden d\u00fcrfen und welche nicht. M\u00f6chte ein*e Angreifer*in bspw. eine seri\u00f6se Webseite vort\u00e4uschen, so werden sich irgendwo auf der Welt DNS-Anbieter finden, die wenig Sorgfalt walten lassen und die Eintragung ganz \u00e4hnlich lautender Domainnamen erlauben.<\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"color: #00549f;\">DNS als Kommunikationskanal f\u00fcr Schadsoftware<\/span><\/h3>\n<p>Ein anderer unseri\u00f6ser Gebrauch des DNS besteht darin, dass man \u00fcber DNS-Eintr\u00e4ge bestimmter Schadsoftware erlauben kann, die Kommunikation mit der Au\u00dfenwelt aufzubauen und z.B. Kommandos zu empfangen (Command and Control Server). Sogar die Schadsoftware an sich k\u00f6nnte man in DNS-Records unterbringen. Ein weiterer Gesichtspunkt ist, dass man durch die Verwendung des DNS nicht nur Informationen abrufen kann, sondern mittels Anfragen auch Informationen an die Au\u00dfenwelt \u00fcbertragen kann. Angreifer*innen benutzen deshalb DNS auch f\u00fcr die Exfiltration interner Informationen oder allgemeiner f\u00fcr den Transport sch\u00e4dlicher Informationen. DNS wird auch deshalb f\u00fcr solche unerw\u00fcnschten Zwecke genutzt, da er ein fundamentaler Dienst ist, den man z.B. nicht abschalten kann und m\u00f6chte.<\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"color: #00549f;\">Die DNS-Firewall an der RWTH<\/span><\/h3>\n<p>Um Schadsoftware, die h\u00e4ufig solche Mechanismen verwendet, abzuwehren, hat das <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/it-center\/it-center\/aktuelle-meldungen\/aktuelle-meldungen\/~bnaqrk\/rufbereitschaft-des-security-operation-c\/\">Security Operation Center<\/a> (SOC) der RWTH als neue Schutzma\u00dfnahme eine DNS-Firewall eingef\u00fchrt, welche auf dem Konzept der Response Policy Zones (RPZ) basiert. Diese Technik ist bereits in dem Softwareprodukt integriert, das die RWTH auf ihren DNS-Servern verwendet. Hierdurch wird es m\u00f6glich, die Antworten auf dubiose DNS-Anfragen gezielt zu blockieren oder umzuleiten \u2013 noch bevor der eigentliche Kontakt zu einem potenziell gef\u00e4hrlichen Zielsystem entsteht. Hat man Listen von solchen unseri\u00f6sen Domainnamen, so kann man auf ihrer Grundlage entweder die Anfrage gar nicht beantworten oder modifizierte Antworten zur\u00fcckliefern.<\/p>\n<p>In Teil 1 haben wir bereits erw\u00e4hnt, dass anfragende Clients mit lokal konfigurierten Caching DNS-Servern kommunizieren, um Informationen aus dem DNS zu beziehen. Entsprechend ist unsere DNS-Firewall dort implementiert. Versucht ein Client, der mit Schadsoftware infiziert ist, aus dem DNS Informationen \u00fcber einen sch\u00e4dlichen Server zu erhalten, um diesen zu kontaktierten, greift an dieser Stelle die DNS-Firewall und pr\u00fcft zun\u00e4chst, ob der angefragte Name auf einer der erw\u00e4hnten Listen steht. Falls ja, antwortet er so, als g\u00e4be es die Domain gar nicht.<\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"color: #00549f;\">Steuerung durch Response Policy Zones (RPZ)<\/span><\/h3>\n<p>Bei dem von uns verwendeten DNS-Serverprodukt werden Listen von besonders zu behandelnden DNS-Eintr\u00e4gen \u00fcber einen Mechanismus namens Response Policy Zones (RPZ) implementiert, bei dem diese Eintr\u00e4ge in sogenannten Zonen-Dateien abgelegt werden. Die Eintr\u00e4ge darin basieren auf DNS-Namen, auch mit der M\u00f6glichkeit von Wildcard-Schreibweisen. Ein solche Orientierung an Namen anstelle von IP-Adressen bietet den Vorteil deutlich besserer Granularit\u00e4t und Flexibilit\u00e4t. So kann bspw. bei Webhostern, bei denen eine gro\u00dfe Zahl von Domainnamen auf dieselbe IP-Adresse verweist, gezielt das sch\u00e4dliche Web-Angebot blockiert werden, ohne alle anderen Webseiten an dieser Adresse unzug\u00e4nglich zu machen. Auch gegen die erw\u00e4hnten Command and Control Server ist dieser Mechanismus deswegen sehr wirksam.<\/p>\n<p>Um den rasch wechselnden Bedrohungen zu begegnen, erfolgt die Aktualisierung des Datenbestandes der DNS-Firewall automatisch. Wir beziehen entsprechend gepflegter Listen negativ aufgefallener Domainnamen unter anderem vom deutschen DFN-Verein, vom schweizerischen Forschungs- und Bildungs-Netz SWITCH sowie vom Anbieter abuse.ch (\u201eThreatFox&#8220;). Zus\u00e4tzlich wird auch eine RWTH-eigene Liste gepflegt, die Vorrang vor den von Dritten bezogenen Daten hat. Diese dient einerseits dazu, die Reaktionszeit zwischen eigener Erkennung und dem Neutralisieren problematischer Anfragen m\u00f6glichst kurz zu halten. Andererseits k\u00f6nnen wir sie verwenden, um das Verhalten der DNS-Firewall an lokale Anforderungen anzupassen.<\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"color: #00549f;\">Unterst\u00fctzung bei Problemen mit blockierten Domains<\/span><\/h3>\n<p>Anfragen aus der Hochschule an die DNS-Server der RWTH werden also vor der Weiterleitung gepr\u00fcft, und wenn die Domain aus Sicht der DNS-Firewall unbedenklich ist, gelangt die Antwort wie gewohnt zum anfragenden Ger\u00e4t. Die normale Netznutzung soll auf diese Weise also nicht negativ beeinflusst werden, w\u00e4hrend zugleich Sicherheitsbedrohungen, die das DNS ausnutzen, begegnet wird.<\/p>\n<p>Sollten einzelne DNS-Anfragen wider Erwarten nicht wie gewohnt funktionieren, k\u00f6nnt ihr euch \u00fcber das <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/it-center\/services\/support-moeglichkeiten\/~smkoi\/it-servicedesk\/\">IT-ServiceDesk<\/a> an uns wenden. Der \u00c4nderungswunsch wird dann an die Fachabteilung weitergegeben.<\/p>\n<p>Damit endet der zweite Teil unserer Blogreihe \u00fcber das DNS. Freut euch auf weitere technische Beitr\u00e4ge aus dem Bereich der Datennetze.<\/p>\n<p>&nbsp;<\/p>\n<hr \/>\n<p>Verantwortlich f\u00fcr den Inhalt dieses Artikels sind\u00a0<a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/it-center\/it-center\/profil\/team\/~epvp\/mitarbeiter-campus-\/?gguid=PER-JLYS4CA&amp;allou=1\">Bernd Kohler<\/a>\u00a0und\u00a0<a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/it-center\/it-center\/profil\/team\/~epvp\/mitarbeiter-campus-\/?gguid=PER-6AYL3GF&amp;allou=1\">Christoph Viethen<\/a>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Im ersten Teil dieser Blogreihe \u00fcber das Domain Name System (DNS) haben wir verschiedene technische Details erkl\u00e4rt. Schon allein dadurch, dass f\u00fcr Umwandlung von Rechnernamen in IP-Adressen DNS-Server befragt werden, [&hellip;]<\/p>\n","protected":false},"author":5003,"featured_media":22804,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"c2c_always_allow_admin_comments":false,"footnotes":""},"categories":[306,314,315],"tags":[485,481,1520,624,1519,290],"class_list":["post-22791","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ankuendigungen","category-it-sicherheit","category-services-support","tag-dns","tag-dns-admin","tag-domain","tag-firewall","tag-rpz","tag-software"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/22791","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/users\/5003"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/comments?post=22791"}],"version-history":[{"count":7,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/22791\/revisions"}],"predecessor-version":[{"id":22817,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/22791\/revisions\/22817"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/media\/22804"}],"wp:attachment":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/media?parent=22791"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/categories?post=22791"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/tags?post=22791"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}