Was ist DNS-Filtering? Funktion und Vorteile erklärt

Bei DNS-Filtering, auch als DNS-Blocking bekannt, handelt es sich um eine Sicherheitsmaßnahme, die den Zugriff auf bösartige Domains verhindert. Dabei nutzen DNS-Resolver Blockierlisten mit bekannten schadhaften und unseriösen IPs, um Anfragen von Anfang an zu unterbinden. Der Vorteil: Vor allem Unternehmen schließen empfindliche Sicherheitslücken durch eine strenge Zugriffskontrolle.

DNS-Filtering steht für eine proaktive Sicherheitsmaßnahme, die den Zugriff auf schädliche, betrügerische oder bösartige Domains blockiert. Für die Filterung bekannter Schadseiten kommt das Domain Name System (DNS) in Verbindung mit DNS-Blockierlisten auf einem DNS-Server zum Einsatz. Die Blockierlisten funktionieren in Verbindung mit dem DNS-Resolver, der den Zugriff auf gelistete Seiten verweigert. Versuchen Personen in einem Netzwerk unwissentlich oder wissentlich auf gefährliche oder verbotene Domains zuzugreifen, weist der DNS-Filter jede Anfrage ab. Das gilt zumindest, wenn die Ziel-IP bekannt und Teil der Blockierliste ist.

Die Blockierliste ist der wichtigste Bestandteil eines DNS-Filters. Als Grundlage dienen DNS-Listen, die von der IT-Security-Community regelmäßig gepflegt oder auch eigenständig generiert werden. Zusätzlich gibt es DNS-Filter, die ihre Listen automatisch aktualisieren, indem sie Websites scannen. Wird bösartiger Code beim Zugriff auf eine Website gefunden, kommt die zugehörige Domain bzw. IP auf die Liste. In diesem Sinne funktionieren DNS-Filter wie eine Firewall oder Blacklisting für die Namensauflösung von Domains.

Auf einer Blockierliste finden sich neben bestimmten, für Malware berüchtigten IP-Adressen Domains, die unseriöse oder verbotene Inhalte anbieten. Dazu zählen Seiten mit illegalem und nicht jugendfreiem Content oder Seiten, die Urheberrechte verletzen. Unternehmen, die eine DNS-Blockierliste anwenden, wehren Schaden proaktiv ab, indem sie einschränken, worauf Personen im Unternehmensnetzwerk zugreifen können. Das Gegenteil von Blockierlisten sind Genehmigungslisten, auch als Allowlists oder Whitelisting bekannt. Hierbei werden nur Anfragen auf bereits gelistete Domains gestattet.

Obwohl DNS-Filter auch Privatpersonen mehr Sicherheit bieten, stellen sie vor allem für Unternehmensnetzwerke eine wichtige Schutzfunktion dar. Folgende Vorteile kann Ihnen ein DNS-Filtering bieten:

Mit einem DNS-Filter, der bereits bekannte gefährliche Domains blockiert oder sogar Seiten vor dem Aufrufen scannt, können Sie Sicherheitslücken effektiv schließen. So verhindern Sie, dass Malware ins Unternehmensnetzwerk gelangt. Schon eine „dank“ Social Engineering täuschend echte E-Mail mit schadhaftem Link genügt, ein System zu infizieren, wenn eine Person in Ihrem Unternehmen dem Link folgt. Ein DNS-Filter kann dies unterbinden und bietet somit einen guten Schutz vor Ransomware, Spyware und Scareware sowie vor möglichen Cyberangriffen.

Beim Phishing sollen sensible Informationen wie Anmeldedaten oder Zahlungsinformationen erbeutet werden. Das geschieht in der Regel über gefälschte Websites, die seriösen Seiten nachempfunden wurden. Erhalten Personen im Unternehmen eine Phishing-Mail, findet sich darin meist ein Link, der auf eine betrügerische Anmeldeseite führt. Statt einer Anmeldung kommt es zum Datendiebstahl. Obwohl die Betreibenden von Phishing-Seiten regelmäßig und in kurzen Zeiträumen neue Domains einrichten, kann ein DNS-Filter auch hier mehr Sicherheit bieten. Bekannte Phishing-Seiten werden gar nicht erst aufgerufen, wenn Sie Teil der Filterliste sind.

Ein vollständiger Ersatz für verantwortungsbewusstes und misstrauisches Nutzerverhalten sind Blockierlisten jedoch nicht. Zur digitalen Kompetenz gehört auch, Phishing-Mails zu erkennen bzw. verdächtige Anhänge als Schadsoftware zu erkennen.

Besonders hinterhältig ist die Manipulation der DNS-Namensauflösung, auch DNS-Spoofing genannt. Hierbei wird die mit einer Domain verknüpfte Domain von Angreifenden gefälscht. Greifen Personen auf die Domain zu, werden sie an den falschen Server weitergeleitet, obwohl der Browser die korrekte Domain anzeigt. DNS-Spoofing dient oft als Grundlage von Phishing und Pharming, um sensible Daten abzugreifen. Bei der Abwehr von DNS-Spoofing helfen Ihnen seriöse öffentliche DNS-Resolver, die neben umfassenden Datenschutzmaßnahmen auch Sicherheitsfunktionen wie DNS-Filtering bieten.

Wer einen DNS-Resolver mit Blockierliste verwendet, kann sich auf einen relativ sicheren DNS-Server verlassen. DNS-Filtering stellt somit einen wichtigen Baustein für den Schutz privater oder geschäftlicher Netzwerke dar. Da DNS-Filtering allein noch keinen Rundumschutz bietet, empfiehlt sich die Sicherheitsmaßnahme als Ergänzung zu weiteren Schutzmaßnahmen wie optimalem Passwortschutz, Datensicherungen, SSH und zuverlässiger Cloud-Sicherheit.

Die Funktionsweise von DNS-Filtering ist im Grunde so einfach wie effektiv: Domain-Anfragen für Websites gehen über einen DNS-Resolver, der per DNS-Namensauflösung die zugehörige IP herausfindet. Verwendet der DNS-Resolver eine Blockierliste, wird die Anfrage zunächst mit dieser Blockierliste verglichen. Befindet sich die gesuchte IP auf der Liste, unterbindet der DNS-Resolver die Namensauflösung.

Bei der Filterung kann der Listeneintrag sowohl nach Domain als auch nach IP erfolgen. Wenn eine Domain auf der Liste steht, unterbindet der DNS-Resolver bereits den Versuch der Namensauflösung. Falls der Eintrag nach IP erfolgt, versucht der DNS-Resolver zunächst den Domain-Namen aufzulösen. Gehört die Domain zu einer gelisteten IP, wird die Anfrage gestoppt.