ADMIN

2024

12

2024-11-28T12:00:00

Backup und Archivierung

PRAXIS

050

Security-Tipp

Sicherheit

Domain

Firmen-Domains absichern

Aushängeschild

von Dr. Matthias Wübbeling

Veröffentlicht in Ausgabe 12/2024 - PRAXIS

Eine Domain ist mehr als nur ein Name, der in eine IP-Adresse aufgelöst wird. Das zugrundeliegende Domain Name System enthält heutzutage so viele sicherheitsrelevante Informationen wie kaum ein anderer Dienst im Internet. In diesem Monat zeigt Ihnen der Security-Tipp mit den Werkzeugen der Webseite domainsecurity.de, wie Sie mindestens die leicht zu findenden Fehler Ihrer eigenen Domains ermitteln und bestenfalls direkt beheben.

Das technische Fundament von Domains ist das Domain Name System (DNS). Es wurde ursprünglich entwickelt, um zum einen die Auflösung leicht zu merkender Namen in IP-Adressen zu ermöglichen, zum anderen aber auch, um die korrekten Endpunkte angebotener Dienste – etwa für den Austausch von E-Mails – oder die Kontaktdaten der Domaininhaber zu ermitteln. In den vergangenen Jahren hat vor allem die Nutzung von TXT-Einträgen im DNS an Bedeutung gewonnen. Diese kommen sowohl für die Ermittlung angebotener Dienste zum Einsatz als auch zur Authentifizierung von Personen, um sicherzustellen, dass eine Domain für bestimmte Dienste genutzt werden darf. Ihnen sind sicher schon einmal Einträge wie "google-site-verification", "ms-domain-verification" oder "amazonses" bei Ihrer eigenen oder einer fremden Domain aufgefallen.
Einen Überblick über alle Einträge erhalten Sie unter Linux mit dem Kommando dig TXT example.com oder unter Windows mit nslookup -q=txt example.com. Führen Sie das spaßeshalber auch mal mit Domains großer Unternehmen durch. Dies gibt mitunter einen spannenden Einblick, welche Dienste diese Unternehmen verwenden. Die im DNS hinterlegten Informationen selbst sind heute aber gar nicht direkt Inhalt unseres Security-Tipps. Vielmehr geht es um die Sicherheitsaspekte, die Sie mit DNS adressieren können.
Praktischer Onlinedienst
Es gibt zum Glück Webseiten, die Ihnen den Einstieg in das Thema Domainsicherheit erleichtern. Unter domainsecurity.de [1] können Sie Ihre Domain von außen prüfen lassen. Geben Sie diese samt Ihrer Kontaktdaten ein, erhalten Sie per E-Mail anschließend einen Link, der Sie direkt zu Ihrem Ergebnis führt. Dieses öffnen Sie dann mit nur einem Klick direkt im Browser.
Das technische Fundament von Domains ist das Domain Name System (DNS). Es wurde ursprünglich entwickelt, um zum einen die Auflösung leicht zu merkender Namen in IP-Adressen zu ermöglichen, zum anderen aber auch, um die korrekten Endpunkte angebotener Dienste – etwa für den Austausch von E-Mails – oder die Kontaktdaten der Domaininhaber zu ermitteln. In den vergangenen Jahren hat vor allem die Nutzung von TXT-Einträgen im DNS an Bedeutung gewonnen. Diese kommen sowohl für die Ermittlung angebotener Dienste zum Einsatz als auch zur Authentifizierung von Personen, um sicherzustellen, dass eine Domain für bestimmte Dienste genutzt werden darf. Ihnen sind sicher schon einmal Einträge wie "google-site-verification", "ms-domain-verification" oder "amazonses" bei Ihrer eigenen oder einer fremden Domain aufgefallen.
Einen Überblick über alle Einträge erhalten Sie unter Linux mit dem Kommando dig TXT example.com oder unter Windows mit nslookup -q=txt example.com. Führen Sie das spaßeshalber auch mal mit Domains großer Unternehmen durch. Dies gibt mitunter einen spannenden Einblick, welche Dienste diese Unternehmen verwenden. Die im DNS hinterlegten Informationen selbst sind heute aber gar nicht direkt Inhalt unseres Security-Tipps. Vielmehr geht es um die Sicherheitsaspekte, die Sie mit DNS adressieren können.
Praktischer Onlinedienst
Es gibt zum Glück Webseiten, die Ihnen den Einstieg in das Thema Domainsicherheit erleichtern. Unter domainsecurity.de [1] können Sie Ihre Domain von außen prüfen lassen. Geben Sie diese samt Ihrer Kontaktdaten ein, erhalten Sie per E-Mail anschließend einen Link, der Sie direkt zu Ihrem Ergebnis führt. Dieses öffnen Sie dann mit nur einem Klick direkt im Browser.
Das Bild zeigt Ihnen beispielhaft Ergebnisse eines von uns durchgeführten Tests. Sie erhalten eine Gesamtpunktzahl, die eine erste grobe Einschätzung Ihrer Domainsicherheit bietet. Wenn Sie hier im roten Bereich sind – wie in unserem Beispiel –, dann sollten Sie sich besser an die Arbeit machen oder mithilfe eines Security-Beraters die offenen Punkte durchsprechen. Im Folgenden gehen wir kurz auf die durchgeführten Tests ein und besprechen die dahinterliegende Problematik.
Ergebnisse wie dieses auf domainsecurity.de deuten noch auf ein paar Baustellen hin.
DNS und DNSSec
Es gibt durchaus Konfigurationsfehler bei der Erstellung einer DNS-Zone, die Ihnen im Nachgang Sicherheitsprobleme bereiten können. Haben Sie etwa ungenutzte A-Einträge, die auf vormals genutzte IP-Adressen in öffentlichen Cloudumgebungen zeigen, könnten deren neue Besitzer mit Ihrer Domain betrügerisch tätig werden. Insbesondere ist der sogenannte Zonentransfer problematisch, also die Erlaubnis, alle hinterlegten Daten einer Domain (oder Zone) auf einmal zu übertragen. Das offenbart möglicherweise weitere Informationen über Ihre Infrastruktur. Sollte ihr DNS-Server versehentlich solche Zonentransfers erlauben, gilt es, das schnell zu reparieren.
Die Domain Name System Security Extensions (DNSSec) wurden entwickelt, um die Abfragen und Ergebnisse des DNS-Systems vor Angriffen wie DNS-Spoofing und Cache Poisoning zu schützen. Einträge im DNS werden dafür mit einem kryptografischen Schlüssel signiert und sind vom Empfänger überprüfbar. Wenn Sie Ihren DNS nicht selbst verwalten, sollten Sie Ihren Registrar nach dieser Funktion fragen.
SPF & DMARC
Beide Protokolle kennen Sie vermutlich im Zusammenhang mit Mailservern. Mit SPF legen Sie fest, welche Server im Namen Ihrer Domain überhaupt E-Mails an andere Server zustellen dürfen. Mit DMARC hinterlegen Sie eine Richtlinie, wie fremde Mailserver empfangene E-Mails von Ihrer Domain prüfen und auf Unstimmigkeiten reagieren sollen. Wenn Sie kein DMARC verwenden oder dieses nicht umfänglich konfiguriert haben, kommt auch Subdomain-SPF für Sie ins Spiel. Angreifer könnten dann etwa von "fraud.example.com" E-Mails versenden, weil Ihre SPF-Einträge nur für "example.com" gelten.
Tatsächlich kann es einem Angreifer natürlich gelingen, die abgefragten Werte für SPF und DMARC zu verändern, da diese ähnlich wie die Security-Token zur Authentifikation von Anbietern auch als TXT-Eintrag im DNS hinterlegt sind. Mit DNSSec schützen Sie also auch diese Einträge vor Manipulation.
HTTPs und MX
Dank Let's Encrypt ist es heutzutage so einfach (und günstig) wie nie zuvor, einen Webserver mit TLS abzusichern. Aber auch hier lauern Fallstricke bei der Konfiguration, die eine Verschlüsselung am Ende unsicher und damit kompromittierbar machen. Ein Fehler, der Verantwortlichen häufig unterläuft, ist es, alte Versionen oder als unsicher geltende Cipher zu verwenden. Eigentlich sollte heute nur noch TLS 1.3 im Einsatz sein. Alle Versionen davor sind zumindest theoretisch angreifbar. Verwundbare Hash-Verfahren wie MD5 oder SHA1 in den Ciphersuites führen zu einem ähnlich unsicheren Ergebnis.
Der MX-Eintrag identifiziert derweil den verantwortlichen Mailserver und ermöglicht so das Einliefern von E-Mails. Üblicherweise sollte dieser ausschließlich TLS-verschlüsselte Kommunikation akzeptieren, sodass der Transport von im Klartext versendeten E-Mails auf dem Weg vom sendenden zum empfangenen Mailserver verschlüsselt stattfindet. Bestenfalls erlauben die empfangenden Mailserver zudem keine Abfrage von Postfächern der Benutzer. In kleinen Umgebungen lässt sich das jedoch nicht immer sinnvoll vermeiden. Auch sollten die Mailserver eingehenden E-Mailverkehr auf SPF, DKIM und DMARC prüfen und zweifelhafte Nachrichten schon vor dem tatsächlichen Empfang ablehnen. Das lässt sich von außen zwar nur teilweise testen, gehört aber auch zur sinnvollen Absicherung.
CAA & TLSA & MTA-STS
Die Angabe der Certificate Authorities im DNS – also der Zertifizierungsstellen, bei denen Sie Ihre Zertifikate erhalten – verhindert den Betrug mit gefälschten Zertifikaten. Weltweit gibt es einige Hundert solcher CAs, die im Grunde Zertifikate für beliebige Domains ausstellen können. In der Vergangenheit gab es leider auch bei diesen Sicherheitsvorfälle und daraus resultierend ohne Zustimmung der Domaininhaber ausgestellte Zertifikate. Schauen Sie mal in Ihrem Browser nach, wie vielen dieser Einrichtungen Sie implizit vertrauen. Durch Certificate Pinning und damit der Angabe der ausstellenden Organisationen, mit denen Sie zusammenarbeiten, erschweren Sie den Einsatz gefälschter Zertifikate zumindest deutlich.
Mittels MTA-STS hinterlegen Sie im DNS Informationen zu einer Richtliniendatei, die Regeln für den erzwungenen Einsatz von TLS bei der Kommunikation mit den Mailservern der Domain enthält. Die zugehörige Domain lautet etwa "mta-sts. example.com". Die Version und die ID der Datei (bei letzterer handelt es sich um das jüngste Änderungsdatum des Files) liegen als TXT-Eintrag im DNS. Die Richtliniendatei selbst finden Sie dann unter "https://mta-sts.example.com/.well-known/mta-sts.txt" zum Abruf.
Fazit
Am Beispiel der einfachen Tests, wie Sie diese etwa mit dem Domain-Security-Tool durchführen können, erhalten Sie einen guten ersten Einblick in Ihre Domainsicherheit und etwaige Konfigurationsfehler, die Ihnen oder Ihren Kollegen unterlaufen sind. Sollte Ihre Domain bei diesem Test nicht mindestens 80 Prozent der Punkte erreichen und damit nicht im grünen Bereich landen, sollten Sie die offenen Punkte besser angehen und beseitigen. Der Security-Tipp in diesem Monat hat Ihnen dafür einen ersten Anhaltspunkt gegeben.
(dr)
Link-Codes
[1] Domain-Security-Tool: https://www.domainsecurity.de/