Andrew "Andi" Grove, einer der Mitbegründer von Intel, veröffentlichte 1988 unter dem Titel "Only the Paranoid Survive" ein Buch, das sich mit Managementproblemen und -lösungen beschäftigte. Der Titel wurde zudem zu einem der meistzitierten Aussprüche von CEOs, Managern und auch Journalisten. IT-Administratoren gehören aufgrund ihres Aufgabenfeldes zu den Menschen, die sicher häufiger als paranoid eingestuft werden. Ganz besonders dann ist die Kategorisierung für die IT-Profis zutreffend, wenn es um die wichtigen Teile ihrer IT-Infrastruktur geht.

DNS gehört ganz sicher zu der Kategorie von wichtigen Diensten der IT-Infrastruktur, die nicht nur im Bewusstsein der Anwender ihre Aufgaben still und zuverlässig im Hintergrund erledigen. Allerdings konnten wir im Dezember allein im süddeutschen Raum mindestens zweimal Ausfälle der Internetkonnektivität erleben, die von den jeweiligen Providern mit "DNS-Problemen" begründet wurden.

Nicht zuletzt zeigen solche Ausfälle die vielfältigen Gefahren für DNS und steigern die Paranoia von Administratoren. Neben Zero-Day-Exploits, bei denen Angreifer auf bisher nicht bekannte Schwachstellen in der DNS-Software zielen, sind es unter anderem Angriffe wie Cache Poisoning (ersetzen einer IP-Adresse im Server-Cache durch eine andere) oder Denial-of-Service(DoS)- sowie Distributed-Denial-of-Service(DDoS)-Angriffe, die es dem DNS-Server unmöglich machen, auf Anfragen zu reagieren. Eine Überwachung der eigenen DNS-Infrastruktur ermöglicht frühzeitiges Erkennen von Anzeichen für ungewöhnliches Verhalten oder Nutzungsmuster, die auf einen Angriffsversuch oder einen laufenden Angriff hindeuten können.

Mit DNS Spy steht ein Monitoringwerkzeug zur Verfügung, das die eigenen (oder auch fremde) Domänen auf DNS-Änderungen in Echtzeit überwacht. Sollte es zu eine Veränderung kommen, unterrichtet das Tool den Anwender. Zudem erstellt die Software einen genauen Ablauf der Veränderungen. Die ersten Versionen der Software erschienen bereits 2017, geschrieben von Mattias Geniar, einem unabhängigen belgischen Softwareentwickler und Administrator aus dem Linux-Umfeld. Im Jahr 2020 hat er die Software an die amerikanische Firma SecurityTrails abgegeben. Auf deren Webseite konnten wir aktuell keinen Hinweis auf DNS Spy finden. Auch die DNS-Spy-Webseite gibt zwar einige Informationen zum Einsatz und Gebrauch der Software, aber keine weiteren Informationen zum Unternehmen preis. Die Kontaktinformationen beschränken sich auf eine einzige E-Mail-Adresse.

Bei DNS Spy handelt es sich um einen SaaS-Dienst (Software-as-a-Service), der laut den Informationen auf der Webseite in einem belgischen Rechenzentrum läuft. Auf der Webseite können Nutzer die Adresse einer Domäne eingeben. Sie bekommen dann nach einer kurzen Wartezeit einen recht übersichtlichen Report präsentiert, der sich in die vier Abschnitte "Connectivity", "Performance", "Resilience & Security" und "DNS Records" aufgliedert. Dieser ist nach Abschluss des Scans mit einem farbigen Balken versehen, der in Prozent die Wertigkeit (den "Score") der jeweiligen Bereiche angibt. So steigt unter anderem der Wert für die "Connectivity" auf 100 Prozent, wenn alle verwendeten Nameserver erreichbar sind und auf DNS-Anfragen für die verwendete Domäne korrekt antworten.

Die Software zeigt das Ergebnis mit den Farben Rot für Warnungen, Gelb für Empfehlungen und Grün für Leistung (Achievements) an. So bekam bei der von uns untersuchten Domäne der Bereich "Resilience & Security" eine gelbe Kennzeichnung und nur eine Wertung von 67 Prozent. Die Software erläuterte diese Einstufung damit, dass alle von uns verwendeten DNS-Server bei nur einem Provider (in diesem Fall IONOS) gehostet waren, was natürlich die Fehleranfälligkeit erhöht und damit die Resilienz verringert. Auch die Tatsache, dass wir DNSSEC für diese Domäne nicht aktiviert hatten, trägt zur Herabstufung dieser Werte bei. Die Erläuterungen der Software sind knapp, aber informativ und ausreichend. Sie sind alle nur in englischer Sprache gehalten, was aber bei einem derart spezialisierten Werkzeug für Admins sicher kein Problem darstellt.

Wer mehr wissen will, muss bei DNS Spy einen Account anlegen und sich anmelden. Dazu reicht eine E-Mail-Adresse aus, wobei die Software etwa Adressen bei Google Mail ablehnt und auf einer "Business"-Adresse besteht. Nach der Anmeldung steht eine 10-Tage-Testversion zur Verfügung, die wir für diesen Artikel genutzt haben. Wie bei anderen Aspekten dieser Software sind leider auf der Webseite auch in den FAQs nicht erläutert, welchen Einschränkungen diese Testversion unterliegt.

So meldete sich die Software teilweise bereits nach einem Einsatz von einer halben Stunde, dass ein Quota-Wert erreicht sei und wir doch bitte eine Lizenz erwerben sollen. Auch ist es mit der Testversion nicht möglich, einen großen Vorteil der Software zu nutzen: die gleichzeitige Überwachung mehrerer Domänen. Jedes Mal, wenn der nicht kommunizierte Grenzwert erreicht war, mussten wir die verwendete Domäne aus der Software entfernen, bevor wir eine andere testen konnten. Die Macher hinter dem Tool versichern dabei, dass nach dem Löschen auch alle erfassten DNS-Daten komplett von ihren Systemen verschwinden.

Nach dem Anmelden steht für den Nutzer eine als Dashboard bezeichnete Oberfläche bereit. Hier finden sich die Informationen zu all den Bereichen, die die Software überwacht. Dazu gehören die folgenden DNS Records:

- A und AAAA,

- CAA,

- CNAME,

- DNSKEY,

- NS,

- MX,

- TXT und

- SRV.

Als sehr nützlich haben wir die Möglichkeit empfunden, über den Menüpunkt "Activity Log" die "historischen" DNS-Daten einzusehen. Das ist bei der Fehlersuche von hohem Wert. Administratoren können auf diese Art die Entwicklung ihrer DNS-Datensätze im Laufe der Zeit nachvollziehen und feststellen, wann das Problem zum ersten Mal aufgetaucht ist. Obwohl in der Testversion die verwendete Domäne spätestens nach einem Tag nicht mehr aktiv überwacht werden konnte, waren wenigstens diese Daten dann noch einsehbar. Nach Eingabe der zu überwachenden Domäne ist es dann noch möglich, den Scan auf eine Subdomäne einzuschränken. Auch einen Record-Typ kann der Nutzer an dieser Stelle eingeben, standardmäßig ist an dieser Stelle der Typ A vorgewählt.

Als eine weitere nützliche Möglichkeit bietet die Software bei den Optionen an, über ein Pull-down-Menü die DNS-Records abzuspeichern. Ein Nutzer kann an dieser Stelle dann Bind-, PowerDNS- und CSV-Daten für jede überwachte Webadresse direkt vom Monitoring-Dashboard aus exportieren. Auf diese Weise lassen sich DNS-Datensätze bei einem anderen DNS-Anbieter wiederherstellen, falls zum Beispiel der aktuelle Dienstleister nicht verfügbar ist oder aus anderen Gründen ein Wechsel anfällt. Wir hätten allerdings erwartet, dass die Software nach einem Klick auf diesen Menüpunkt zum Beispiel direkt eine CSV-Datei abspeichern würde. Hingegen stellt sie die Einträge nur im Browser dar, sodass Nutzer sie kopieren und in einer Datei einfügen müssen. Das ist bei allen drei Auswahlmöglichkeiten so, wobei positiv zu vermerken ist, dass im Fall von PowerDNS eine Beschreibung enthalten ist, wie die Einträge für die unterschiedlichen Datenbanktypen zu konvertieren sind.

Die Software ist auch dazu in der Lage, CNAME-Einträge aufzulösen und entsprechende Warnungen auszugeben, wenn diese sich ändern. DNS Spy kann zudem Domänen mithilfe von Zonentransfers überwachen. Sehr gut hat es uns dabei gefallen, dass dies im FAQ-Bereich der Webseite erläutert wird. Die Software fragt dazu dann den Master-Nameserver regelmäßig alle paar Minuten ab und ruft die gesamte Zonendatei über die AXFR-Methode (Asynchronous Full Transfer Zone) ab. Wenn dabei Änderungen erkannt werden, bekommt der Administrator eine Mitteilung. Wer dieses Feature von DNS Spy nutzen will, muss allerdings die IP-Adressen von DNS Spy in seiner Konfiguration als "erlaubte IPs" hinzufügen.

Der Clouddienst DNS Spy überzeugte im 10-tägigen Test durch seine DNS-Monitoring-Funktionen. Besonders die automatische Überwachung von DNS-Einträgen mit Warnmeldungen bei Änderungen sowie die nützlichen Empfehlungen und die simple Backup-Funktion sind für Administratoren kleinerer Unternehmen wertvoll. Während die Kosten für wenige Domänen akzeptabel sind, erscheinen die Preise für die Standard- und Premium-Edition mit 25 bzw. 50 Domänen recht hoch, auch wenn letztere eine kostenlose Verdopplung der überwachten Domains ermöglicht. Kritisch zu sehen ist die mangelnde Transparenz bezüglich des Betreibers: Nach der Übernahme durch Security Trails 2020 fehlen grundlegende Unternehmensangaben wie Impressum oder Ansprechpartner. Im Bereich Sicherheit bleiben ebenfalls Fragen offen. Die Datenspeicherung soll zwar in einem ISO-27001-zertifizierten belgischen Rechenzentrum erfolgen, diese Information lässt sich jedoch nicht verifizieren. Aufgrund dieser Einschränkungen ist der Einsatz der Software nur bedingt zu empfehlen. Administratoren sollten prüfen, ob ihre bestehenden Monitoring-Tools von etablierten Anbietern wie PRT, Solarwinds oder ManageEngine nicht ähnliche Funktionen bieten – diese können meist 30 Tage lang ausführlich getestet werden.