Embed Size (px)
Citation preview
www.efficientip.com
Datasheet
Der DNS Service ist eine hoch unternehmenskritische Netzwerkko-mponente; eine Tatsache, die auch von Hackern nicht unbemerkt bleibt. In den letzten Jahren wurde ein unerwarteter Anstieg der Angriffe auf DNS-Server beobachtet (siehe DNS Threat Umfrage 2016 von EfficientIP). Es liegt in der Natur von DNS-Bedrohun-gen, dass diese sich schnell weiterentwickeln. Angriffe haben ein hochkomplexes Niveau erreicht, das auf dezentralisierten Mul-ti-Vektor- und mehrstufigen Angriffsmodi beruht. Traditionelle DNS-Sicherheitslösungen haben sich als unzureichend erwiesen. Schlimmer noch: Sie bergen ein hohes Risiko für die Generierung falscher Rückmeldungen. Deshalb wird ein neuer Ansatz für die IT-Sicherheit benötigt, um Netzwerkausfälle und einen potentiel-len Datendiebstahl zu verhindern, die sich sehr negativ auf ein Unternehmen auswirken können.
Dank eines innovativen technologischen Durchbruchs ist DNS Guardian von EfficientIP die erste DNS-Sicherheitslösung, welche eine komplette DNS-Transaktionsprüfung sowie eine erweiterte Analyse für die Erkennung von verhaltensbasierenden Bedrohun-gen in Echtzeit ermöglicht. Patentierte intelligente Gegenmaßnah-men bieten einzigartige adaptive Sicherheit für den Schutz der Vertraulichkeit von Daten und garantieren unerreichte Kontinui-tät von DNS-Diensten auch bei besonders heimtückischen Angrif-fen.
Highlights:• Erkennung, Schutz und Wartung
von Funktionen für DNS-Cache und rekursive Dienste
• Echtzeit-DNS-Transaktionsprüfung für erweiterte DNS-Analyse
• Verhaltensbasierende Erkennung für die genaue Entscheidungsfindung
• Adaptive Sicherheitsmaßnamen für unerreichte Servicekontinuität
• Erweiterte DNS-Statistiken für intelligente Berichte
Schutz von Daten und Gewährleistung von DNS-Servicekontinuität
DNS GUARDIAN
Optimierter SicherheitsframeworkDNS Guardian benefits from an architectural inno-vaDNS Guardian profitiert von einer architektonischen Innovation, welche das DNS Cache von rekursiven Fun-ktionen trennt, um die Sicherheit des Gesamtservice zu stärken und zu verbessern. Bei einem Angriff wird jede Funktion in Bezug auf ihre Eigenschaften einzeln geschützt, wodurch Nebenwirkungen vermieden und Servicekontinuität gewährleistet werden. Die paten-tierten Gegenmaßnahmen von DNS Guardian können entsprechend den besonderen Anforderungen jeder Funktion und den erkannten Angriffen angewandt wer-den und so unerreichte Schutzeffizienz bieten.
DNS Transactions-Inspection-TechnologieDNS Guardian ist die erste und einzigartige Lösung auf dem Markt, welche eine vollständige „DNS Transactions Inspection“ (DTI) in Echtzeit und ohne Leistungsein-bußen bietet. DNS Guardian dringt bis zum Innersten des Protokolls vor, um die Gesamtsequenzen bei je-dem Abfrageaustausch für alle einzelnen DNS-Transak-tionen zu untersuchen:
• Fragmente, Queries und deren Payload sowie die da-zugehörigen Antworten
• Dauer und Größe der Transaktion
DNS Guardian Datenverkehr Transaktionsprüfung er-möglicht ein umfassendes Verständnis des Client`s Context, indem die Beschränkungen von signaturba-sierten Sicherheitssystemen, die lediglich eine Sicht-barkeit des peripheren Datenverkehrs anbieten, übe-rwunden werden. Dies ist ein Schlüsselfaktor für die Lieferung einer wahren DNS-Analyse und verbesserter Fähigkeit zur Erkennung von verhaltensbasierenden Bedrohungen.
Erweiterte DNS-Analyse für die Erkennung von verhaltensbasierenden Bedrohungen
Umfassende Transparenz des DNS-DatenverkehrsDie DNS Guardian Datenverkehr Transaktionsprüfung Fähigkeit gewährleistet eine eingehende Sichtbarkeit und genaues Verständnis des DNS-Datenverkehrs während der gesamten Zeit. Die dazugehörigen umfänglichen Statistiken werden auf globaler Ebene und Client-Basis gesammelt, erfasst und gespeichert:
• Verhältnis von Cache Hits und Misses, ungültige An-forderungen, Fragmentierung, Recursion Time, Re-turn Code Distribution, Latenz
• DNS-Bandbreitenverbrauch
• Top-Liste: Clients, angefragte Domains, Return Codes (NX Domain, SERVFAIL usw.), Query Type
Multi-Faktor Bedrohungsanalyse für eine unvergleichbare Angriffserkennung Diese einzigartige Transparenz, gekoppelt mit Multi-faktor-Datenverkehrsanalyse in Echtzeit, sorgt für eine unübertroffene Erkennung von verhaltensbasierten Bedrohungen mithilfe der fortschrittlichsten DNS-Si-cherheitsanalyse.
Die Sichtbarkeit von Bedrohungen wird weit über be-kannte Angriffsmuster und schnell überholte Blacklist-Mechanismen hinaus verbessert. Die Identifikation modernster Angriffe, wie z.B. DNS-Tunneling, Phan-tom- oder Sloth Domain-Angriffe, wird aktiviert.
DNS Guardian Innovative Security Framework
Datasheet | DNS GUARDIANSchutz von Daten und Gewährleistung von DNS-Servicekontinuität
Datasheet | DNS GUARDIANSchutz von Daten und Gewährleistung von DNS-Servicekontinuität
DNS Guardian schützt vor allen im Folgenden genannten Angriffen:
• Ungültige Abfragen – Analyse der DNS-Abfragen und Aus-sortieren jener, die nicht mit den anwendbaren RFC übe-reinstimmen, bevor diese das rekursive DNS-Modul befal-len.
• NXDOMAIN-Angriffe – Analyse des Anteils der nxdomain-Antworten pro IP-Quelladresse. Dies ermöglicht eine effi-zientere Erkennung und Vermeidung als jeder andere An-satz, der auf dem Musterabgleich regulärer Muster beruht, die eine DNS-Modulleistung mindern.
• Zufällige Subdomain-/Phantom-Domain-Angriffe – Analyse des Anteils von nxdomain und servfail Antworten pro IP Quelladresse. Dies ermöglicht eine effizientere Erfassung und Entschärfung als jeder andere Ansatz, der auf dem Musterabgleich regulärer Muster beruht, die die Leistung einer DNS Engine massiv negativ beeinflusst.
• Sloth Domain-Angriffe – Analyse der Wartezeit auf DNS-Rückmeldungen von einem beliebigen Domainnamenser-ver auf Client-Abfragen. Dies ermöglicht die schnelle Iden-tifizierung und Isolierung von jeder Client-generierenden Abfrage, die auf Domänennamenserver ausgerichtet ist und speziell dazu gefertigt wurde, das rekursive Modul mit langsamen Antworten zu belasten.
• DNS-Tunneling-Angriffe – Analyse von nicht zwischenges-peicherten DNS-Abfragen und der Größe. Dies ermöglicht eine effiziente Tunneling-Erkennung und Vorbeugung, wei-taus besser als eine musterbasierte Erkennung auf der Grundlage einer bekannten, potentiell veralteten Referen-zdatenbank.
• Cache Poisoning-Angriffe – Implementierungsunters-tützung für die Source Port Randomization von EDNS DNS-Cookies und Abfragen, in Kombination mit einer 16-Bit kryptografisch sicheren Ad-hoc Schutz, reduziert die Wah-rscheinlichkeit von erfolgreichen DNS Race Angriffen dras-tisch. Allerdings garantiert nur die Unterstützung von DNS-SEC die Gültigkeit von Antworten, die von gekennzeichneten Zonen zur Verfügung gestellt werden.
• Distributed Reflective Angriffe – Analysieren von Abfragen pro Quell-IP-Adressrate, die die Abfragerate begrenzt (Hinweis: Die effektivste Lösung um solche Angriffe zu ve-rhindern ist und bleibt, Quell-IP Spoofing innerhalb eines Netzwerks zu verhindern). Auf diese Weise wird die Nu-tzung Ihrer Infrastruktur als reflective Vektor für jeden An-griff verhindert.
• DNS Flooding – Die Analyse der gesamten DNS-Datenver-kehrsleistung ermöglicht die Isolation von verdächtigen Clients oder die Aktivierung des Rescue-Modus, um so die Verfügbarkeit des DNS-Cache unter extremen Angriffsbe-dingungen zu gewährleisten.
EfficientIP DNS Guardian Threat Monitoring
Datasheet | DNS GUARDIANSchutz von Daten und Gewährleistung von DNS-Servicekontinuität
Intelligente Gegenmaßnahmen für adaptive Sicherheit DNS Guardian`s Advanced Analytics bietet ein noch nie dagewesenes Verständnis von DNS-Bedrohun-gen sowie die Gelegenheit zur Ergreifung der richtigen Gegenmaßnahmen zum richtigen Zeitpunkt, je nach spezifischer Angriffsart. Die einzigartige adaptive Si-cherheitslösung von EfficientIP sorgt für intelligente Gegenmaßnahmen sowohl zum Schutz der DNS-Ser-vicekontinuität als auch der Vertraulichkeit der Daten:
• Blockierung von Quell-IPs der Angriffe
• Grenzwert Limits für DNS-Datenverkehr pro IP-Quelle
• Quarantäne für verdächtige Quell-IPs von Angriffen (patentiert)
• Aktivierung des Rescue-Modus: Gewährleistet Ser-vicekontinuität, auch wenn die Angriffsquelle nicht identifizierbar ist (patentiert)
Der Quarantäne-Modus isoliert IP-Adressen mit schädli-chen Verhaltensweisen, sodass sie lediglich uneinges-chränkten Zugang auf die Zwischenspeicher von Daten haben, während ihre rekursiven Anforderungen bloc-kiert werden. Auf diese Weise wird der Server vor dem Angriff geschützt und das Risiko einer Blockierung be-rechtigter Clients reduziert.
In jedem Fall erkennt DNS Guardian unter extremen Bedingungen, wenn ein Quellangriff nicht identifizier-bar ist und verhindert das Risiko der Auslastung der Serverkapazität mit Aktivierung des patentierten Res-cue-Modus. (in der Regel bei einem schleppenden oder hochgradig dezentralisierten Angriff). Diese exklusive Gegenmaßnahme sorgt dafür, dass die zwischenges-peicherten DNS-Antworten zu 100 % für die Clients verfügbar bleiben, auch wenn eine Datengültigkeitsak-tualisierung nicht möglich ist. Auf diese Weise ist der 100-prozentige Zugriff auf die unternehmenskritischen Anwendungen und Dienste garantiert.
Upstream DNS-Server FehlerWenn das externe globale DNS-System aufgrund eines Internet-Backbone-Fehlers fehlschlägt und nicht mehr erreichbar ist, kann ein rekursives DNS-Modul un-ter Umständen nicht in der Lage sein, rekursive DNS-Client-Abfragen zu bedienen. Infolgedessen kommt es letztendlich dazu, dass die Clients von jedem Service getrennt werden, während sie tatsächlich weiterhin erreichbar, verbunden und aktiv sein könnten. Die In-
telligenz von DNS Guardian verhindert eine derartige Situation. Wenn eine Anforderung für eine Domäne empfangen wird, die sich zwar im Zwischenspeicher befindet, jedoch abgelaufen ist, ignoriert DNS Guardian den Fehler des lokalen rekursiven Moduls und antwor-tet dem Client, wobei die Antwort mit einem niedrigen TTL-Wert (30 Sekunden) im Zwischenspeicher abge-legt wird. Der Vorteil ist eine höhere Servicekontinui-tät während eines kurzen externen Fehlers, ähnlich wie der Rescue-Modus.
Verbesserung der Benutzerfreundlichkeit
Unvergleichliche CacheleistungDNS Guardian liefert ein DNS-Cache-System, das die Cache-Lookup-Performance deutlich verbessert. In Kombination mit der SOLIDServer™ Blast Appliance, ist Guardian in der Lage bis zu 17 Millionen Abfragen pro Sekunde zu erreichen.
Multicast cache sharingDNS Guardian Cache-Sharing steigert die Leistungs-fähigkeit der gesamten DNS-Plattform, verringert die Anzahl der rekursiven Abfragen, die an die autoritativen Server gesendet werden, und reduziert die DNS-Servi-celatenz. Es stützt sich auf einen IP-Multicast-Mecha-nismus für optimierte Netzwerkauslastung. In Kombi-nation mit dem Rescue-Modus und den allgemeinen Sicherheitsmechanismen von Guardian ist somit eine Bereitstellung von hochsicheren und dezentralisier-ten kooperativen rekursiven DNS-Plattformen möglich, was die Gesamtsicherheit der Infrastruktur stärkt.
DNS Guardian Actions
Datasheet | DNS GUARDIANSchutz von Daten und Gewährleistung von DNS-Servicekontinuität
AmericasEfficientIP Inc.1 South Church StreetWest Chester, PA 19382-USA+1 888-228-4655
EuropeEfficientIP SAS90 Boulevard National92250 La Garenne Colombes-FRANCE+33 1 75 84 88 98
AsiaEfficientIP PTE Ltd101C Telok Ayer Street #04-00SINGAPORE 068574+65 6678 7752
As one of the world’s fastest growing DDI vendors, EfficientIP helps organizations drive business efficiency through agile, secure and reliable network infrastructures. Our unified management framework for DNS-DHCP-IPAM (DDI) and network configurations ensures end-to-end visibility, consistency control and advanced automation. Additionally, our unique 360° DNS security solution protects data confidentiality and application access from anywhere at any time. Companies rely on us to help control the risks and reduce the complexity of challenges they face with modern key IT initiatives such as cloud applications, virtualization, and mobility. Institutions across a variety of industries and government sectors world-wide rely on our offerings to assure business continuity, reduce operating costs and increase the management efficiency of their network and security teams.Copyright © 2018 EfficientIP, SAS. All rights reserved. EfficientIP and SOLIDserver logo are trademarks or registered trademarks of EfficientIP SAS. All registered trademarks are property of their respective owners. EfficientIP assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document.
Permanenter cache (Restart & Restore)DNS Guardian ermöglicht das Back-up des Zwischens-peichers. Vorhandene Zwischenspeicherdaten kön-nen daher beim Neustart verwendet werden und er-möglichen eine sofortige Wiederherstellung des DNS Services. Auf diese Weise ist es nicht notwendig, dass das DNS-Modul rekursive Abfragen durchführt, bis der Zwischenspeicher neu aufgebaut wird, was zu über-mäßiger Belastung und einer drastischen Auswirkung auf die Serviceleistung führen könnte.
Zentrales High Performance LoggingDNS ist ein fundamentaler Netzwerkdienst und wer-tvolle Datenquelle, die für den Netzwerkschutz ge-nutzt werden soll. DNS-Überwachung muss Teil der Sicherheitsstrategie sein und ist der Schlüssel zur Ver-folgung von DNS-Aktivitäten für forensische Zwecke. Somit kann die Erkennung und das Verständnis ver-dächtiger Aktivitäten möglich sein, wie z.B. Malware-Verbreitung, Phishing-Kampagnen oder jeder andere Angriff, der ein Informationssystem in der Vergangen-heit unbemerkt beschädigte.
DNS Guardian bietet ein einzigartiges Hochleistung-Protokollierungssystem, das sich nicht auf die Leis-tungsfähigkeit der DNS-Software auswirkt. Asynchrone Protokollierung sorgt für laufende detaillierte Sichtbar-keit der Transaktionshistorie auch unter voluminösen Angriffen und überwindet auf diese Weise die Eins-chränkungen traditioneller DNS-Dienste. Es unterstützt das Standard-Syslog-Format für eine Übereinstimmung mit den bestehenden Log-Management-Systemen. Ty-pische Implementierungen können Anwendungen Drit-ter, wie Splunk, Graylog, ELK oder jeden SIEM nutzen, um diese enorme Menge der archivierten Daten zu sammeln und zu analysieren, damit umfangreiche Ana-lyseberichte des Datenverkehrs erstellt werden.
DNS Guardian ist Teil der einzigartigen 360 Grad Si-cherheitslösung von EfficientIP, die – unabhängig vom Angriffstyp – zum Schutz öffentlicher und privater DNS-Infrastrukturen sowohl vor internen als auch externen DNS-Bedrohungen entwickelt wurde.
REV: B-1708
SIEM
SYSLOG
High-Performance Logging Technology
Datasheet | DNS GUARDIANSchutz von Daten und Gewährleistung von DNS-Servicekontinuität
