DFN.Security: DNS-RPZ jetzt im Regelbetrieb

23.04.2024

Mit DNS-RPZ (Domain Name System-Response Policy Zone) ist die neuste Erweiterung des Dienstes DFN.Security im März 2024 in Betrieb gegangen. Damit steht eine aktive Abwehrkomponente insbesondere gegen Phishing-Angriffe zur Verfügung.

In dem Verfahren werden bösartige Domains identifiziert und die Informationen dazu nach bestimmten Richtlinien in sogenannten „Response-Policy-Zonen“ gelistet und bereitgestellt. Sofern Nutzerinnen und Nutzer eine Domain mit schädlichen Inhalten ansteuern, blockiert ein rekursiver DNS-Resolver – ein Server, der Domainanfragen in IP-Adressen übersetzt und diese Anfragen auswertet – den Zugriff und kann sie wahlweise automatisch auf eine sichere Landingpage umleiten. Nutzende werden auf der Landingpage über den Sachverhalt informiert.

Wenn ein DFN-Teilnehmer die Logdaten des DNS-Resolvers in die Logdatenanalyse von DFN.Security einspeist, werden außerdem Warnmeldungen an die benannten Sicherheitskontakte der Einrichtung erzeugt.

Der zusätzliche Schutz durch DNS-RPZ kann in Ausnahmefällen zu Einschränkungen für Endnutzende führen, wenn eine Domain fälschlicherweise in die zu blockierende Zone eingetragen wurde. Derartige „False Positives“ können dem DFN-CERT gemeldet werden, um eine zügige Bereinigung der Zone zu erwirken und den Zugriff auf die Domain wieder freizugeben.

Aktuell werden Teilnehmern Zonen vom Schweizer Forschungsnetz Stiftung SWITCH und dem DFN-CERT bereitgestellt. Letztere umfassen derzeit noch relativ wenig Daten, sind aber bereits definiert, um bei dem geplanten Ausbau des Dienstbestandteils die Anpassungsaufwände für die Teilnehmer niedrig zu halten. Der Großteil der Nutzdaten wird noch über die Zonen von SWITCH ausgeliefert, die mehrere Monate durch das DFN-CERT evaluiert und anschließend durch einen mehrwöchigen Pilotbetrieb mit fünf Teilnehmern getestet wurden.

Voraussetzung für die Nutzung des Dienstmerkmals DNS-RPZ ist die Unterzeichnung der Dienstvereinbarung DFN.Security (Basisleistungen sind ausreichend) und der Einsatz einer RPZ-fähigen DNS-Software.

Informationen zum neuen Dienstbestandteil sowie Hinweise für Administrierende inklusive eines Konfigurationsbeispiels anhand des DSN-Servers BIND (Berkeley Internet Name Daemon) finden Sie auf der Webseite des DFN-CERT, zusammen mit dem PDF-Dokument „DNS-RPZ_Grundlegende_Informationen“. Es enthält ein Formular zur Abfrage der für die Konfiguration notwendigen Teilnehmerdaten. Wenn Sie DNS-RPZ nutzen möchten und die vorgenannten Voraussetzungen bereits erfüllen, senden Sie das ausgefüllte Formular an dns-rpz@dfn-cert.de. Im Anschluss richten wir den Abruf der Zonen für Sie ein und übermitteln Ihnen die Informationen für die Konfiguration.

Text: Christine Kahl (DFN-CERT)