Was ist DNS-Filtering? Funktion und Vorteile erklärt

Bei DNS-Filtering, auch als DNS-Blocking bekannt, handelt es sich um eine Si­cher­heits­maß­nah­me, die den Zugriff auf bösartige Domains ver­hin­dert. Dabei nutzen DNS-Resolver Blo­ckier­lis­ten mit bekannten schad­haf­ten und un­se­riö­sen IPs, um Anfragen von Anfang an zu un­ter­bin­den. Der Vorteil: Vor allem Un­ter­neh­men schließen emp­find­li­che Si­cher­heits­lü­cken durch eine strenge Zu­griffs­kon­trol­le.

DNS-Filtering steht für eine proaktive Si­cher­heits­maß­nah­me, die den Zugriff auf schäd­li­che, be­trü­ge­ri­sche oder bösartige Domains blockiert. Für die Filterung bekannter Schad­sei­ten kommt das Domain Name System (DNS) in Ver­bin­dung mit DNS-Blo­ckier­lis­ten auf einem DNS-Server zum Einsatz. Die Blo­ckier­lis­ten funk­tio­nie­ren in Ver­bin­dung mit dem DNS-Resolver, der den Zugriff auf gelistete Seiten ver­wei­gert. Versuchen Personen in einem Netzwerk un­wis­sent­lich oder wis­sent­lich auf ge­fähr­li­che oder verbotene Domains zu­zu­grei­fen, weist der DNS-Filter jede Anfrage ab. Das gilt zumindest, wenn die Ziel-IP bekannt und Teil der Blo­ckier­lis­te ist.

Die Blo­ckier­lis­te ist der wich­tigs­te Be­stand­teil eines DNS-Filters. Als Grundlage dienen DNS-Listen, die von der IT-Security-Community re­gel­mä­ßig gepflegt oder auch ei­gen­stän­dig generiert werden. Zu­sätz­lich gibt es DNS-Filter, die ihre Listen au­to­ma­tisch ak­tua­li­sie­ren, indem sie Websites scannen. Wird bös­ar­ti­ger Code beim Zugriff auf eine Website gefunden, kommt die zu­ge­hö­ri­ge Domain bzw. IP auf die Liste. In diesem Sinne funk­tio­nie­ren DNS-Filter wie eine Firewall oder Black­lis­ting für die Na­mens­auf­lö­sung von Domains.

Auf einer Blo­ckier­lis­te finden sich neben be­stimm­ten, für Malware be­rüch­tig­ten IP-Adressen Domains, die unseriöse oder verbotene Inhalte anbieten. Dazu zählen Seiten mit illegalem und nicht ju­gend­frei­em Content oder Seiten, die Ur­he­ber­rech­te verletzen. Un­ter­neh­men, die eine DNS-Blo­ckier­lis­te anwenden, wehren Schaden proaktiv ab, indem sie ein­schrän­ken, worauf Personen im Un­ter­neh­mens­netz­werk zugreifen können. Das Gegenteil von Blo­ckier­lis­ten sind Ge­neh­mi­gungs­lis­ten, auch als Al­low­lists oder White­lis­ting bekannt. Hierbei werden nur Anfragen auf bereits gelistete Domains gestattet.

Obwohl DNS-Filter auch Pri­vat­per­so­nen mehr Si­cher­heit bieten, stellen sie vor allem für Un­ter­neh­mens­netz­wer­ke eine wichtige Schutz­funk­ti­on dar. Folgende Vorteile kann Ihnen ein DNS-Filtering bieten:

Mit einem DNS-Filter, der bereits bekannte ge­fähr­li­che Domains blockiert oder sogar Seiten vor dem Aufrufen scannt, können Sie Si­cher­heits­lü­cken effektiv schließen. So ver­hin­dern Sie, dass Malware ins Un­ter­neh­mens­netz­werk gelangt. Schon eine „dank“ Social En­gi­nee­ring täuschend echte E-Mail mit schad­haf­tem Link genügt, ein System zu in­fi­zie­ren, wenn eine Person in Ihrem Un­ter­neh­men dem Link folgt. Ein DNS-Filter kann dies un­ter­bin­den und bietet somit einen guten Schutz vor Ran­som­wa­re, Spyware und Scareware sowie vor möglichen Cy­ber­an­grif­fen.

Beim Phishing sollen sensible In­for­ma­tio­nen wie An­mel­de­da­ten oder Zah­lungs­in­for­ma­tio­nen erbeutet werden. Das geschieht in der Regel über ge­fälsch­te Websites, die seriösen Seiten nach­emp­fun­den wurden. Erhalten Personen im Un­ter­neh­men eine Phishing-Mail, findet sich darin meist ein Link, der auf eine be­trü­ge­ri­sche An­mel­de­sei­te führt. Statt einer Anmeldung kommt es zum Da­ten­dieb­stahl. Obwohl die Be­trei­ben­den von Phishing-Seiten re­gel­mä­ßig und in kurzen Zeit­räu­men neue Domains ein­rich­ten, kann ein DNS-Filter auch hier mehr Si­cher­heit bieten. Bekannte Phishing-Seiten werden gar nicht erst auf­ge­ru­fen, wenn Sie Teil der Fil­ter­lis­te sind.

Ein voll­stän­di­ger Ersatz für ver­ant­wor­tungs­be­wuss­tes und miss­traui­sches Nut­zer­ver­hal­ten sind Blo­ckier­lis­ten jedoch nicht. Zur digitalen Kompetenz gehört auch, Phishing-Mails zu erkennen bzw. ver­däch­ti­ge Anhänge als Schad­soft­ware zu erkennen.

Besonders hin­ter­häl­tig ist die Ma­ni­pu­la­ti­on der DNS-Na­mens­auf­lö­sung, auch DNS-Spoofing genannt. Hierbei wird die mit einer Domain ver­knüpf­te Domain von An­grei­fen­den gefälscht. Greifen Personen auf die Domain zu, werden sie an den falschen Server wei­ter­ge­lei­tet, obwohl der Browser die korrekte Domain anzeigt. DNS-Spoofing dient oft als Grundlage von Phishing und Pharming, um sensible Daten ab­zu­grei­fen. Bei der Abwehr von DNS-Spoofing helfen Ihnen seriöse öf­fent­li­che DNS-Resolver, die neben um­fas­sen­den Da­ten­schutz­maß­nah­men auch Si­cher­heits­funk­tio­nen wie DNS-Filtering bieten.

Wer einen DNS-Resolver mit Blo­ckier­lis­te verwendet, kann sich auf einen relativ sicheren DNS-Server verlassen. DNS-Filtering stellt somit einen wichtigen Baustein für den Schutz privater oder ge­schäft­li­cher Netzwerke dar. Da DNS-Filtering allein noch keinen Rund­um­schutz bietet, empfiehlt sich die Si­cher­heits­maß­nah­me als Ergänzung zu weiteren Schutz­maß­nah­men wie optimalem Pass­wort­schutz, Da­ten­si­che­run­gen, SSH und zu­ver­läs­si­ger Cloud-Si­cher­heit.

Die Funk­ti­ons­wei­se von DNS-Filtering ist im Grunde so einfach wie effektiv: Domain-Anfragen für Websites gehen über einen DNS-Resolver, der per DNS-Na­mens­auf­lö­sung die zu­ge­hö­ri­ge IP her­aus­fin­det. Verwendet der DNS-Resolver eine Blo­ckier­lis­te, wird die Anfrage zunächst mit dieser Blo­ckier­lis­te ver­gli­chen. Befindet sich die gesuchte IP auf der Liste, un­ter­bin­det der DNS-Resolver die Na­mens­auf­lö­sung.

Bei der Filterung kann der Lis­ten­ein­trag sowohl nach Domain als auch nach IP erfolgen. Wenn eine Domain auf der Liste steht, un­ter­bin­det der DNS-Resolver bereits den Versuch der Na­mens­auf­lö­sung. Falls der Eintrag nach IP erfolgt, versucht der DNS-Resolver zunächst den Domain-Namen auf­zu­lö­sen. Gehört die Domain zu einer ge­lis­te­ten IP, wird die Anfrage gestoppt.