Wie kann ich mir das vorstellen?

Wenn wir auf einem Gerät unserer Wahl eine Adresse wie zB. mattner-it.de oder google.de eingeben, kann unser Gerät fürs erste nicht viel damit anfangen. Für dein Endgerät ist das nur eine zufällige Aneinanderreihung von Zeichen, welche nur für den Menschen einen Sinn zu ergeben scheint. Also „fragt“ dein Gerät (meistens ein Browser) beim DNS-Anbieter seines Vertrauens. Dieser wird in der Regel von deinem Internetanbieter zur Verfügung gestellt. Der DNS-Anbieter prüft dann in seiner Datenbank, ob die eingegebene Menschenlesbare Adresse bekannt ist, und fragt im Fall der Fälle auch seine Kollegen (es gibt viele DNS-Anbieter). Existiert ein Eintrag, liefert der DNS-Anbieter die dazugehörige IP-Adresse zurück. Für google.de sieht diese zB. so aus: 142.251.36.163.

Jetzt kennt dein Gerät die Adresse, wo sich die gesuchte Seite befindet. Mit dieser Adresse kann nun im Internet eine Route zum Ziel gesucht werden und der gesuchte Dienst öffnet sich. Ähnlich wie bei der Navigation in deinem Auto. Nur viel schneller.

Gleich ausprobieren…

Tipp: das kannst du gleich ausprobieren. Gibt in die Adressziele deines Browsers anstelle von google.de mal „142.251.36.163“ ein und drück Enter. Es wird sich google öffnen.

Was bringt mir das?

Jetzt stellt sich doch die Frage, was bringt mir das? Kontrolle!

DNS-Server (so heißen die richtig), welche von Internetprovidern oder öffentlichen Diensten bereitgestellt werden, enthalten fast alle Adressen ungefiltert. Das heißt, wann immer jemand eine neue Adresse (Domain) im Internet registriert, erscheint die auch irgendwann in der Datenbank des DNS-Betreibers. Besitzt man jedoch einen eigenen DNS-Server, so hat man die Möglichkeit, diese Daten zu filtern. Dadurch werden bestimmte Abfragen geblockt und die Dienste funktionieren in der Regel nicht mehr.

Wie funktioniert das?

Wie im Abschnitt vorher angesprochen, werden eigene Filterlisten verwendet. Diese gibt es bereits fertig im Internet und enthalten Millionen von solchen Adressen. Die Listen werden auch aktiv von vielen Menschen gepflegt und sind öffentlich einsehbar. Man muss diese also nicht selbst abtippen oder sammeln. Einmal installiert und eingerichtet wird der DNS-Blocker im Netzwerk als eigener DNS-Server registriert. Nun ist dieser die erste Anlaufstelle für alle Geräte. Jede Anfrage wird ab jetzt an den DNS-Blocker gesendet und der prüft, ob die gesuchte Adresse zu den blockierten gehört. Falls ja, sendet der DNS-Blocker eine Antwort zurück und behauptet, dass die Adresse oder der Dienst nicht existiert. Falls nicht, fragt er -wie gewohnt- bei einem offiziellen DNS-Server im Internet die Adresse ab und gibt die Antwort weiter. Das alles geschieht innerhalb von wenigen Millisekunden. Man merkt also nicht, dass es auf einmal einen DNS-Server mehr gibt.

Phishing E-Mail Beispiel

Spielen wir mal das Beispiel anhand einer Phishing E-Mail durch.

Im Postfach landet eine Phishing E-Mail. Das Bankkonto ist kompromittiert und man solle auf den Link klicken, um sich anzumelden, und das natürlich so schnell wie möglich! In der Hektik des Alltags haben wir nicht bemerkt, dass die E-Mail gefälscht ist, und klicken den Link an. Nun öffnet sich ganz normal der Browser, der mit der gefälschten Adresse eine Anfrage an unseren DNS-Server stellt. Diesem ist diese Adresse glücklicherweise als böswillig bekannt und er meldet ein „EXISTIERT NICHT“ zurück. Der Webbrowser zeigt nun eine Hinweisseite an, dass die verwendete Adresse nicht gefunden werden konnte. Gefahr abgewendet. Der Angreifer konnte keine Daten abgreifen.

Natürlich gilt auch hier dasselbe Katz-und-Maus-Spiel wie bei Virenherstellern. Es wird eine Schadsoftware entwickelt, jemand muss sie finden und dann in den Datenbanken hinterlegen. Darauf wird eine neue Schadsoftware entwickelt. -Stark vereinfacht dargestellt

Wie sieht das bei uns aus?

Wir nutzen ebenfalls solche DNS-Blocker in all unseren Netzwerken. In unseren Netzwerken wird nicht nur nach Phishingseiten gefiltert, sondern auch nach Tracking-Diensten. Also jene, die das Benutzerverhalten versuchen zu überwachen, um die gesammelten Daten zu verkaufen. Auch Listen mit Fake-Shops und bestimmten Themen haben wir im Einsatz. Mittlerweile befinden sich auf einem unserer Server ~3,8 Millionen(!) Adressen. Auf dem Bild sieht man auch, wir nutzen dafür einen PI-Hole, welcher für unsere Zwecke vollkommen ausreichend ist. Es gibt aber auch andere Lösungen, welche teilweise mehr Leistung bieten und noch flexibler sind.

Vorteile

Die Absicherung eines eigenen Netzwerks mittels eines DNS-Blockers ist ein erster, einfacher und effektiver Schritt, um das Firmennetzwerk etwas besser gegen Gefahren zu schützen. Aber Achtung: Das ist KEIN Schutz gegen Viren, Würmer und Trojaner! Dafür wird weiterhin ein Virenschutz benötigt.

• Mehr Kontrolle über das eigene Netzwerk
• Schutz vor Phishing (Katz-und-Maus-Spiel beachten, kein 100 % Schutz)
• Auf Wunsch wird auch teilweise Werbung geblockt
• Tracking lässt sich großteils verhindern
• Nach-Hause-Telefonieren von manchen Herstellern kann geblockt werden

Nachteile

Wie jeder Schutz hat aber auch diese Variante seine Nachteile:

• Katz-und-Maus-Spiel: Eine schädliche Adresse muss auch erst gefunden und aufgenommen werden
• kein Schutz vor Schadsoftware wie Viren, Würmer und Trojaner
• schützt nur das Netzwerk, in welchem er installiert wurde
• im Home-Office gar nicht oder nur bedingt nutzbar
  • von vielen anderen Faktoren abhängig

Fazit

Ein DNS-Blocker ist ein gutes und einfaches Mittel, um dein Unternehmen gegen bestimmte Angriffe zu schützen. Solche Blocker sind auch oft in Firewalls und Enterprise Security-Lösungen enthalten. Jedoch ist nicht immer klar, wie umfangreich und gut diese Listen gepflegt werden. Ein eigener Blocker macht das transparent und einfach verwaltbar, da diese Listen nur einmalig eingepflegt werden müssen. Danach werden diese in regelmäßigen Abständen vollautomatisch aktualisiert.

Natürlich unterstützen wir dich gerne und installieren das auch in deinem Unternehmen. Schreib uns einfach an und wir vereinbaren einen Termin.