DNS-Ausfallsicherheit entscheidet über die Unternehmenskontinuität

In den vergangenen Wochen haben viele Nutzer möglicherweise Schwierigkeiten beim Zugriff auf Webanwendungen bemerkt. Ein aktueller, umfangreicher Cloud-Ausfall macht einmal mehr deutlich: Wenn das DNS nicht verfügbar ist, kommt fast alles, was davon abhängt, zum Erliegen.

Dieses Mal lag die Ursache bei einem großen öffentlichen Cloud-Anbieter. Doch Probleme mit dem DNS betreffen im Grunde jedes Unternehmen, das digitale Dienste bereitstellt oder ein Netzwerk betreibt. Im konkreten Fall konnte ein Domainname nicht auf einen wichtigen Datenbankdienst aufgelöst werden. Das führte dazu, dass zahlreiche Kunden sowie interne Anwendungen des Anbieters nicht auf diesen Dienst zugreifen konnten – die Folge waren umfassende Ausfälle.

Ein ähnliches Muster zeigte sich bereits 2016: Ein verheerender Distributed-Denial-of-Service-Angriff (DDoS) auf Dyn, einen der größten DNS-Hosting-Anbieter, setzte zahlreiche bekannte Webseiten stundenlang außer Betrieb. Auch der große CrowdStrike-Ausfall im letzten Jahr verdeutlichte das Risiko: Zwar war die Ursache ein Softwarefehler, der Windows-Server und Endpunkte zum Absturz brachte, die den CrowdStrike-Agenten nutzten. Da viele dieser Server jedoch auch DNS-Dienste bereitstellten, kam es zu globalen Netzwerkausfällen.

Warum DNS-Probleme so gravierend sind

Jede digitale Verbindung beginnt mit einer DNS-Abfrage: DNS fungiert als „Telefonbuch“ des Internets, das Domainnamen in IP-Adressen übersetzt. Fällt DNS aus, können Anwendungen keine Adressen mehr finden – keine Adresse bedeutet keine Verbindung, und ohne Verbindung steht das Geschäft still.

Technisch ist DNS relativ robust: Fällt ein autoritativer Server aus, können rekursive DNS-Server automatisch einen anderen Server zur Bearbeitung von Anfragen heranziehen. Das Problem liegt in der zentralen Rolle des DNS: Bei Störungen wirken sich die Ausfälle auf zahlreiche Abhängigkeiten aus. Zusätzlich ist DNS ein bevorzugtes Ziel für Cyberangriffe.

Häufige Ursachen für DNS-Ausfälle

• Angriffe auf die DNS-Infrastruktur: Öffentliche autoritative Server werden permanent auf Schwachstellen geprüft. Dazu gehören DDoS-Attacken, die Server mit massivem Datenverkehr überlasten, sowie DNS-Hijacking, bei dem Einträge manipuliert und Anfragen auf bösartige Ziele umgeleitet werden.

• Konfigurationsfehler: Schon kleine Fehler – beispielsweise Zahlendreher bei Header-Informationen – können Ausfälle verursachen. Fehlerhafte Einträge auf autoritativen Servern führen dazu, dass rekursive Server diese Antworten ablehnen.

• Automatisierungspanne: In Cloud-Umgebungen werden DNS-Änderungen oft automatisiert. Fehlinformationen können sich so sofort weit verbreiten.

• Einzelne Ausfallpunkte: Wenn ein Anbieter das gesamte autoritative DNS verwaltet und ausfällt, sind die Dienste bis zur Behebung offline.

• Geteilte Infrastruktur: DNS auf derselben Hardware wie andere kritische Dienste koppelt dessen Verfügbarkeit an die Stabilität anderer Systeme. Fällt die Plattform aus, ist auch DNS betroffen – selbst ohne direkte Fehler im DNS selbst.

Best Practices für ein ausfallsicheres DNS

Glücklicherweise gibt es Strategien, um Ausfälle zu vermeiden. Grundsätzlich sollte die eingebaute DNS-Redundanz genutzt werden:

• Rekursive Server sollten mehrere autoritative Server zur Auswahl haben.

• DNS-Clients oder Stub-Resolver sollten auf mehrere rekursive Server zugreifen können.

• DNS-Anycast sorgt dafür, dass Anfragen bei einem Ausfall automatisch an einen funktionierenden Server geleitet werden.

Weitere bewährte Maßnahmen:

1. Diversifizierung autoritativer DNS-Server: Eine Mischung aus Cloud-/SaaS-Servern und selbst gehosteten autoritativen Servern reduziert Einzelrisiken. Selbst bei einem Ausfall eines Anbieters bleiben Dienste erreichbar. Bei dem Dyn-Ausfall 2016 berichteten Teams, die eine solche Architektur nutzten, von minimalen Unterbrechungen, während andere Unternehmen bis zu acht Stunden offline waren.

2. Trennung von Rollen: Autoritative DNS-Server sollten unabhängig von Identitäts- oder anderen kritischen Diensten betrieben werden. NIST-Empfehlungen betonen, dass DNS-Infrastruktur ausschließlich für DNS-Zwecke genutzt und gehärtet werden sollte. Autoritative und rekursive Rollen sollten strikt getrennt sein.

3. Schutz vor DDoS und Missbrauch: Extern zugängliche DNS-Server müssen in der Lage sein, Flood-Angriffe zu absorbieren und Protokoll-Exploits zu blockieren, ohne legitime Anfragen zu unterbrechen.

4. Interne DNS-Diversifizierung: Kritische Zonen sollten auf mehreren autoritativen Servern in unterschiedlichen Subnetzen oder Standorten gehostet werden, idealerweise nahe bei den Clients, um Latenzen zu reduzieren.

5. Kontinuierliche Tests: Jede nicht triviale Änderung an Zonendaten oder DNS-Konfiguration sollte überprüft werden. Regelmäßige Tests aus dem Internet oder entfernten Netzwerksegmenten sichern die Erreichbarkeit wichtiger Domains.

6. Zentrale Verwaltung: In hybriden oder Multi-Cloud-Umgebungen sollten DNS-Dienste zentralisiert überwacht werden. Einheitliche Workflows und Automatisierungen reduzieren die Wahrscheinlichkeit von Fehlern und erhöhen die Ausfallsicherheit.

DNS ist nicht nur ein technisches System, sondern ein kritischer Faktor für die Geschäftskontinuität. Wer seine DNS-Architektur diversifiziert, absichert und überwacht, schützt nicht nur Websites und Dienste, sondern die gesamte Unternehmensinfrastruktur.

Dieses Video behandelt mehrere der oben aufgeführten Best Practices im Detail.

Ähnliche Themen:

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon