runIP RADAR

Sicherheit und Visibilität für ihre DNS & DHCP Umgebung

In modernen TCP/IP-Netzwerken ist DNS einer der kritischsten Netzwerkdienste, da die Namensauflösung eine zentrale Rolle bei der Konnektivität von Systemen und Anwendungen spielt. DNS gehört daher auch zu den bevorzugten Zielen böswilliger Akteure im Internet. Dies liegt vor allem daran, dass Benutzer durch die Kontrolle eines DNS-Servers gezielt auf Server des Angreifers umgeleitet werden können. Darüber hinaus wird DNS auch für DDoS-Attacken genutzt, vor allem via DNS Amplification. Dabei sendet ein Angreifer kleine DNS-Anfragen mit der gefälschten Adresse seines Opfers an einen DNS Server mit dem Ziel, möglichst große Antworten zu generieren, die der DNS Server dann an das Opfer sendet. Auf diese Weise kann der Angreifer seineAttacke um einen Faktor bis zu 50 verstärken (daher Amplification). Schließlich spielt DNS in vielen weiteren Angriffsszenarien eine Rolle, beispielsweise als Kommunikationskanal für Command & Control Server oder bei der Exfiltration von Daten über DNS-Tunnel - also einem meist unauffälligen Datendiebstahl.

Der Absicherung von DNS kommt vor allem deshalb eine hohe Bedeutung zu, weil eine Kompromittierung dieses Dienstes die Verfügbarkeit nahezu aller Anwendungen erheblich beeinträchtigen kann. DDI-Lösungen vereinfachen zwar den Betrieb von DNS und DHCP, beinhalten aber in der Regel keine gezielten Sicherheitsmaßnahmen, um die Verfügbarkeit der Dienste jederzeit zu gewährleisten. runIP RADAR schließt diese Lücke und ermöglicht eine effiziente und robuste Absicherung der DNS-Infrastruktur.

 

runIP RADAR fußt auf der umfassenden DDI-Expertise von N3K und kann aktuell mit allen DDI-Lösungen eingesetzt werden, die von der runIP DDI-PLATFORM  unterstützt werden

 

NOKIA                     BT Diamond IP                   Men & Mice

Integration in die runIP SERVICES PLATFORM

runIP RADAR läuft als Service auf den runIP Appliances von N3K. Es wird über eine separate Weboberfläche verwaltet und konfiguriert. Über den RADAR-Server erfolgt die gesamte Konfiguration von runIP RADAR, die auf alle runIP Appliances innerhalb des Netzwerks repliziert wird.

Logging

runIP RADAR ist in der Lage, den gesamten DNS- und DHCP-Verkehr im Netzwerk dezentral zu loggen und zu protokollieren bzw. zentral an ein bestehendes System beim Kunden weiterzuleiten. Die technischen Attribute, die geloggt werden sollen, sind dabei frei konfigurierbar.

GUI-basiertes Reporting

Der RADAR Server verfügt über ein intuitiv zu bedienendes GU . Über dieses GUI erfolgen Konfiguration und Steuerung des RADAR-Servers und sämtlicher Instanzen von runIP RADAR auf den einzelnen runIP Appliances. Das GUI bietet eine Vielzahl vorgefertigter Reports sowie einfache Möglichkeiten, individuelle Berichte zu erstellen.

 

Alarmierung und Blockierung

runIP RADAR erlaubt die Definition von Rate Limits, bei deren Überschreitung Clients und/oder Ziele gezielt blockiert werden können. Bei Bedarf kann diese Blockierung auch den Client und die verwendete Domain umfassen.

runIP RADAR Features im Detail

Komplettes Logging

runIP RADAR läuft als Dienst auf den runIP Appliances von N3K für das effiziente Management von DDI-Lösungen. Der Service liest den gesamten DNS-Verkehr sowie sämtliche DHCP-Messages mit. Dabei beschränkt die Lösung sich nicht auf DNS-Anfragen, sondern loggt auch die Antworten des DNS-Servers, sodass eine umfassende Dokumentation sämtlicher DNS-Aktivitäten entsteht. 

 

Logging / Aufzeichnung

Für die Aufzeichnung verwendet runIP RADAR ein optimiertes Logging, das umfangreicher ist als die Aufzeichnung mit BIND-Mitteln und den Nameservice auch bei Logging-Problemen nicht beeinträchtigt. Zusätzlich können die aufgezeichneten Daten bei Bedarf auch automatisiert an SIEM-Lösungen weitergeleitet werden. Der Einsatz von Filtern ermöglicht dabei eine selektive Weiterleitung, da viele SIEM-Lösungen nach Anzahl der Events lizensiert werden und hier sonst eine Kostenfalle droht. Die Übergabe an SIEM-Systeme erfolgt in der Regel über Rsyslog.

Dezentrale Erkennung von DNS-Anomalien

Da runIP RADAR auf allen runIP Appliances im Netzwerk läuft, ermöglicht es eine dezentrale Erkennung von DNS-Anomalien wie etwa DNS-Tunnel, über die Angreifer häufig versuchen, Daten zu exfiltrieren. Dagegen helfen klassische Firewalls in der Regel nicht, da sie normalerweise so konfiguriert sind, dass DNS-Verkehr ungehindert fließen kann. runIP RADAR erkennt automatisch und in Echtzeit eine Vielzahl bekannter DNS Tunneling Tools anhand ihrer Signaturen, sodass DNS Tunneling sehr effizient unterbunden werden kann. Auch andere Anomalien wie etwa der sprunghafte Anstieg von DNS-Anfragen einzelner Clients werden zuverlässig und in Echtzeit erkannt, sodass es Angreifern erschwert bzw.  unmöglich gemacht wird unbemerkt Daten per DNS auszutauschen.

 

 

Freie Konfiguration

Über konfigurierbare Thresholds können Administratoren von runIP RADAR die Anzahl erlaubter Anfragen limitieren, um missbräuchliche Nutzung zu verhindern und DNS-Anomalien zu erkennen. Limits können auf Basis von IP-Adressen oder IP-Adressbereichen gesetzt werden, um etwa Mail- oder Proxy-Server mit ihrer hohen Zahl legitimer Anfragen nicht zu beeinträchtigen Ebenfalls kann die Art der technischen Attribute, die geloggt werden sollen, frei durch den Administrator definiert werden. Zudem besteht die Möglichkeit, vertrauenswürdige Netzwerke bzw. Domains vom Logging komplett auszunehmen, um die Performance zu erhöhen und das Datenvolumen zu reduzieren.

Integration in die runIP SERVICES PLATFORM

runIP RADAR läuft als Service auf den runIP Appliances von N3K. Es wird über eine separate Weboberfläche verwaltet und konfiguriert. Über den RADAR-Server erfolgt die gesamte Konfiguration von runIP RADAR, die auf alle runIP Appliances innerhalb des Netzwerks repliziert wird.