Was ist DNS Rebinding und wie man es verhindert

Das Domain Name System (DNS) ist eine der grundlegenden Technologien des Internets – es übersetzt im Hintergrund Domainnamen in IP-Adressen und ermöglicht uns so den einfachen Zugriff auf Websites und Online-Dienste. Diese Bequemlichkeit birgt jedoch auch eine Reihe von Sicherheitsrisiken, wenn sie nicht ordnungsgemäß verwaltet wird.

Ein besonders gefährlicher Angriff, der auf das Domain Name System abzielt, ist als DNS-Rebinding bekannt.

Dieser Artikel erklärt, was DNS-Rebinding ist, warum es eine ernsthafte Bedrohung für lokale Netzwerke darstellt und wie Sie Ihre Systeme vor dieser Art von Angriff schützen können.

Das DNS-System verstehen 

Um zu verstehen, wie DNS-Rebinding funktioniert und wie man sich dagegen verteidigen kann, ist es unerlässlich, die Grundlagen des Domain Name Systems (DNS) und seine Rolle in der Internetkommunikation zu verstehen.

Im Kern ist DNS ein hierarchisches Namenssystem, das dazu dient, für Menschen lesbare Domainnamen (wie example.com) in maschinenlesbare IP-Adressen (wie 93.184.216.34) aufzulösen. Jedes Mal, wenn Sie eine Website öffnen, Ihre E-Mails abrufen oder eine mit dem Internet verbundene App nutzen, führt Ihr Gerät eine DNS-Abfrage durch, um herauszufinden, wohin die Anfrage gesendet werden soll.

Die Funktionsweise von DNS 

Wenn eine DNS-Abfrage gestellt wird, durchläuft die Anfrage eine Kette:

1. Zunächst wird der lokale DNS-Cache überprüft. Wenn der Eintrag vorhanden ist und nicht abgelaufen ist, wird er sofort zurückgegeben.
2. Ist er nicht im Cache vorhanden, wird die Anfrage an einen rekursiven DNS-Resolver gesendet (oft von Ihrem Internetanbieter oder einem öffentlichen DNS-Dienst wie Google DNS oder Cloudflare bereitgestellt).
3. Der Resolver fragt autoritative DNS-Server in der Kette ab, beginnend bei den Root-DNS-Servern, bis er die richtige IP-Adresse für die Domain erhält.

Die Antwort wird dann an den Client zurückgegeben und in der Regel für einen bestimmten Zeitraum, der als TTL (Time to Live) bezeichnet wird, zwischengespeichert.

Diese Infrastruktur ist schnell und effizient, basiert jedoch von Natur aus auf Vertrauen. DNS authentifiziert die Herkunft der Antwort nicht, es sei denn, es werden Sicherheitserweiterungen wie DNSSEC verwendet.

Warum DNS ein häufiges Ziel für Angreifer ist 

DNS arbeitet auf einer niedrigen Ebene des Internet-Stacks und wird bei Sicherheitsaudits oft übersehen. Es bietet Angreifern zahlreiche Möglichkeiten, den Datenverkehr zu manipulieren, Daten abzufangen oder in Netzwerke einzudringen.

Obwohl DNS auf Funktionalität und Geschwindigkeit ausgelegt ist, wurde es nicht unter Berücksichtigung moderner Sicherheitsherausforderungen entwickelt. Standardmäßig überprüft DNS weder die Integrität noch die Authentizität von Antworten, wodurch es anfällig für Manipulationen ist.

Da DNS ein so grundlegender und vertrauenswürdiger Bestandteil des Netzwerkbetriebs ist, nutzen Angreifer häufig seine Schwachstellen aus, um Datenverkehr abzufangen, Benutzer umzuleiten oder – im Falle von DNS-Rebinding – Browser dazu zu verleiten, Verbindungen herzustellen, die sie normalerweise nicht zulassen würden.

DNS-Rebinding zeichnet sich dadurch aus, dass es interne Netzwerke über externe Websites angreift und einen Browser effektiv in einen Proxy verwandelt, um lokale Geräte anzugreifen.

Erklärung von DNS-Rebinding-Angriffen 

DNS-Rebinding ist eine Technik, die es einer bösartigen Website ermöglicht, die Same-Origin-Policy eines Browsers zu umgehen und mit privaten IP-Adressen oder internen Diensten im Netzwerk des Benutzers zu interagieren.

So funktioniert es:

1. Ein Benutzer besucht eine vom Angreifer kontrollierte bösartige Website, wie beispielsweise attacker-site.com.
2. Die Website stellt ein Skript (typischerweise JavaScript) bereit, das versucht, Anfragen an interne Ressourcen zu stellen, wie z. B. 192.168.1.1 (ein lokaler Router).
3. Normalerweise blockiert der Browser dies aufgrund der Same-Origin-Policy, die verhindert, dass Skripte einer Domain auf Inhalte einer anderen zugreifen.
4. Der Angreifer nutzt jedoch DNS-Rebinding, um den Browser zu täuschen. Der DNS-Server für attacker-site.com wird zunächst auf eine öffentliche IP-Adresse aufgelöst, die den Webinhalt des Angreifers hostet. Nachdem das Skript geladen wurde, ändert der DNS-Server des Angreifers den A-Eintrag so, dass er auf eine private IP-Adresse verweist, wie z. B. 127.0.0.1 oder ein Gerät im lokalen Netzwerk. Wenn der Browser die Ursprungsgrenzen nicht ordnungsgemäß erneut überprüft, erlaubt er dem Skript, Anfragen an das interne System zu stellen, da er glaubt, immer noch mit  attacker-site.com zu kommunizieren.

Dies kann Angreifern Zugriff auf Router-Admin-Panels, Druckerkonfigurationen, IoT-Geräte oder sogar interne APIs verschaffen, die nicht für die Öffentlichkeit bestimmt sind.

Bewährte Methoden zur Verhinderung von DNS-Rebinding 

DNS-Rebinding lässt sich durch eine Kombination aus clientseitigen Schutzmaßnahmen, Netzwerkeinstellungen und Anwendungshärtung wirksam eindämmen.

Browserbasierter Schutz

Moderne Browser haben einige Abwehrmechanismen implementiert, wie z. B. die Blockierung des Zugriffs auf localhost oder die Durchsetzung strengerer Ursprungsprüfungen. Diese variieren jedoch je nach Browser und sind nicht immer absolut sicher.

Benutzer sollten ihre Browser auf dem neuesten Stand halten, den Besuch nicht vertrauenswürdiger Websites vermeiden und Browser-Erweiterungen oder Einstellungen verwenden, die JavaScript oder Domains von Drittanbietern einschränken

DNS-Filterung und Schutz vor Rebinding

Einige DNS-Resolver bieten Schutz vor Rebinding, indem sie DNS-Antworten blockieren, die externe Domains auf interne IP-Adressen auflösen. Dazu gehören OpenDNS (Cisco Umbrella), NextDNS und Pi-hole (mit benutzerdefinierter Konfiguration).

Webserver- und Anwendungsschutz

Interne Dienste sollten niemals allein auf Hostnamen vertrauen. Webanwendungen und lokale APIs sollten den Host -Header validieren und auch bei lokalen Anfragen eine Authentifizierung durchführen.

Weitere Maßnahmen sind:

• Bindung interner Dienste an localhost oder rein interne Schnittstellen
• Authentifizierungspflicht für Router- oder IoT-Verwaltungsoberflächen
• Verwendung nicht standardmäßiger Ports (kein Ersatz für Sicherheit, verringert jedoch das Risiko)

Einstellungen für Netzwerk-Firewall und Router

Diese Maßnahmen bieten:

• Blockieren ausgehender DNS-Anfragen, außer über einen vertrauenswürdigen Resolver
• Verhindern, dass interne Geräte externe Hostnamen auflösen oder darauf reagieren
• Verwenden von VLANs, um sensible Geräte vom allgemeinen Benutzerverkehr zu trennen

Deaktivieren oder Einschränken der JavaScript-Ausführung

Auf hochsicheren Systemen können Sie JavaScript blockieren oder nur von vertrauenswürdigen Domänen zulassen. Dies verhindert die Ausführung bösartiger Skripte gänzlich.