(firmenpresse) - Redwood City, Kalifornien, 28. August 2008 – Nominum, der führende Anbieter von Naming- und Addressing-Technologien im Netzwerk, gibt die Verfügbarkeit einer neuen, umfassenden Sicherheitsversion für seine Vantio Caching DNS Server-Plattform bekannt. Das aktuellste Release der Vantio-Software bietet mehrschichtigen, intelligenten Schutz vor dem so genannten ‚DNS Cache Poisoning’, d.h. dem ‚Vergiften’ des Temporärspeichers eines DNS-Servers durch das Einschmuggeln verfälschter Resultate sowie vor anderen Angriffen, zu denen auch die kürzlich bekannt gewordene Kaminsky-Schwachstelle gehört.
Mit seinem ‚Tiefenschutzverfahren’ geht die Lösung von Nominum deutlich weiter als der kürzlich eingeführte Branchenstandard ,UDP Source Port Randomization’ (UDP SPR). Dieser legt die zufällige Auswahl eines oder mehrerer UDP-Quellports für jede einzelne Anfrage fest. Die neuen Schutzmechanismen von Vantio dagegen machen nun auch die Vorteile zunichte, die mögliche Angreifer durch die jüngste DNS-Sicherheitslücke gewonnen haben.
„Buchstäblich am Tag nachdem die Details des Cache-Poisoning-Angriffs von Kaminsky bekannt wurden, haben Sicherheitsexperten die UDP Source Port Randomization unter Anwendung eines ,Brute Force-Angriffs’ mit gefälschten Antworten geknackt. Dafür benötigten sie ganze 10 Stunden“, verdeutlicht Dr. Paul Mockapetris, Chairman und Chief Scientist bei Nominum sowie Erfinder des Domain Name System (DNS). „Der mehrschichtige Lösungsansatz von Nominum schaltet nun allerdings das Risiko eines erfolgreichen Angriffs aus.“
Die DNS-Sicherheitsfunktionen des neuen Vantio Releases im Ãœberblick:
- Widersteht und unterbindet alle Arten von Cache Poisoning-Angriffen
- Schützt automatisch vor Frage-Antwort-Manipulationen und isoliert Angreifer
- Verhindert so genannte ,Pharming-Angriffe’, d.h. das Kidnappen von Nutzerdaten
- Identifiziert Täter und zeichnet Angriffsversuche auf
- Schützt Unternehmens- und Service Provider-Netzwerke, die mit Network-Address Translation (NAT)-Geräten wie z.B. Server Load Balancers und Firewalls ausgestattet sind. Diese können UDP SPR aushebeln.
- Eliminiert die Gefahr verfälschter Antworten für wichtige Domains wie z.B. www.mybank.com.
Schutz weit über den Branchenstandard hinaus
Nominum und seine Kunden waren maßgeblich an der Implementierung und Einführung von UDP SPR als Teil einer branchenweiten Antwort auf die Bedrohung durch Cache Poisoning beteiligt. Diese Funktion lieferte sofortigen Schutz für über 120 Millionen Breitbandnutzer, die von Nominum DNS-Servern versorgt werden. Diese sind heute bei fast hundert Netzwerkbetreibern und Internetdienstanbietern im Einsatz. Einen Auszug aus der Kundenliste von Nominum finden Sie unter http://www.nominum.com/customers/index.php.
UDP Source Port Randomization ist aber nur als erste Reaktion auf die neue Schwachstelle zu sehen. Netzwerkbetreiber benötigen darüber hinaus zusätzliche zielgerichtete Schutzeinrichtungen, um wichtigen Exploits zu begegnen. Cache Poisoning-Angriffe nutzen verschiedene Techniken. Antworten zu verfälschen ist nur eine davon. UDP Source Port Randomization wurde gezielt dazu geschaffen, das Risiko von Manipulationen zu verringen. Bei einem entschlossenen Angreifer oder anderen Angriffsformen ist es jedoch unwirksam. Darüber hinaus kann es leicht untergraben werden, wenn der Angreifer zusätzliche Netzwerkressourcen zur Verfügung hat, über die er sehr viele gefälschte Antworten senden kann. Die neuen Schutzmechanismen von Nominum sorgen jetzt jedoch dafür, dass Angriffe dieser Art erfolglos bleiben.
„Mehrschichtige Schutzmechanismen im DNS-System sind eine effektive Waffe gegen ernste Angriffsszenarien, die nicht von UDP Source Port Randomization allein abgefangen werden können“, kommentiert der Sicherheitsexperte Dan Kaminsky, der die jüngste DNS-Schwachstelle entdeckt hat. „Wenn neue DNS-Angriffsmöglichkeiten gefunden werden, kann ein mehrschichtiger Ansatz wie der von Nominum dabei helfen, die Sicherheit im Internet fortlaufend zu gewährleisten.“
Vantio von Nominum deckt vier Schutzebenen mit unterschiedlichen Sicherheitsfunktionen ab:
- Abschreckungsebene: Beinhaltet die Umsetzung von UDP Source Port Randomization, die von der Branche empfohlene Antwort auf die Kaminsky-Bedrohung
- Verteidigungsebene: Bindet die ,Detect and Defend’-Technologie von Nominum ein. Sie deckt Manipulierungsversuche auf und wechselt im Fall eines Angriffsversuchs automatisch zu einer sicheren Verbindung für die Namensauflösung.
- Widerstandsebene: Nutzt ‚Query Response Screening’ mit einer Reihe von intelligenten Funktionen, welche die DNS-Antworten prüfen und dadurch sicherstellen, dass darin enthaltene bösartige Daten nicht als Antwort auf Enduseranfragen weitergegeben werden.
- Korrekturebene: Sendet Warnungen, wenn ein Angriff festgestellt wurde und besitzt eine zusätzliche Funktion, die den Angriff aufzeichnet. So lässt sich der Angreifer identifizieren und der Netzwerkbetreiber kann sofort entsprechende Schutzmaßnahmen ergreifen.
„Mehrschichtige Sicherheit ist der einzige Weg, sich gegen neue Bedrohungen für das Internet zu schützen“, macht Tom Tovar, CEO von Nominum deutlich. „Unsere Kunden betreiben die größten Netzwerke der Welt und sind dazu verpflichtet, mit ihren Internetdiensten die höchst mögliche Sicherheit für Endverbraucher, Wirtschaft und Behörden zu bieten. Das neue Software-Release von Nominum stellt sicher, dass unsere Kunden dieser Verpflichtung unmittelbar und umfassend nachkommen können.“
Verfügbarkeit
Die neue Version von Vantio ist ab sofort für Netzwerkbetreiber, Großunternehmen und Behörden verfügbar. Mehr Informationen zu den DNS Plattformen von Nominum und Hintergrundinformationen sind unter www.nominum.com abrufbar.
Über Nominum: Die Naming- und Addressing-Lösungen von Nominum werden in den größten, kontinuierlich betriebenen Netzwerken der Welt eingesetzt. Vantio von Nominum ist ein Caching DNS Server der ISP-Klasse, der in einem hohen Maße sichere, verlässliche und skalierbare DNS- Funktionen bietet. Vantio ist der DNS-Caching-Server mit der höchsten Performance der Branche und hat sich bereits in Carrier-Netzwerken weltweit bewährt. Optionale Zusatzmodule („Service Delivery Modules“) unterstützen die schnelle und zuverlässige Einführung von betreiberzentrierten Diensten, welche auf dem DNS aufsetzen. Vantio ermöglicht Kommunikationsanbietern, ihren Kunden hochqualitative, ständig verfügbare Breitband-Internetverbindungen sowie innovative Dienste anzubieten wie z.B. VoIP, Push-To-Talk, Fixed-Mobile-Convergence, IPTV und Triple-Play. Zusätzliche Informationen sind online unter www.nominum.com zu finden.
HBI GmbH Christian Weber / Susanne Bergmann Stefan-George-Ring 2 81929 München Tel.: +49 (0) 89 / 99 38 87-0 Fax: +49 (0) 89 / 930 24 45 E-Mail: christian_weber(at)hbi.de susanne_bergmann(at)hbi.de Web: www.hbi.de