Domain Name Service

DNS-Einstellungen vor Manipulationen schützen

von - 13.08.2015
Sichere DNS-Einstellungen
Foto: Shutterstock/Maksim Kabakou
Mit einer Firewall-Einstellung lässt sich verhindern, dass Anwender ohne Erlaubnis des Admins einfach andere DNS-Server nutzen.
Wenn ein bisher gut funktionierender, DNS-basierter Webfilter von einem findigen Mitarbeiter unterlaufen wird, indem er einen alternativen DNS-Server in den Einstellungen seines WLAN-Adapters im Notebook einträgt, muss der Admin schnell einschreiten.
VPN tunnelt Webfilter
VPN tunnelt Webfilter: Dieser Cisco-VPN-Client, der über den SSL-Port 443 überträgt, kann einen DNS-basierten Webfilter umgehen.
Die Änderung der DNS-Server-Einstellungen in einem Windows-PC lässt sich vermeiden, wenn man alle Anwender mit Admin-Rechten wieder auf den eingeschränkten „Standardbenutzer“ zurücksetzt. Doch spätestens bei den BYOD-Geräten (Bring Your Own Device) ist diese Lösung nicht mehr durchsetzbar. Trotzdem lässt sich die Abfrage eines alternativen DNS-Servers mit Hilfe von zwei Firewall-Regeln verhindern.
In der ersten Regel erlauben Sie allen Traffic (TCP/UDP) von und zu Ihrem DNS-Filter-Server über Port 53. In einer zweiten Regel blocken Sie allen Traffic über Port 53, der an eine andere DNS-Server-Adresse gerichtet ist. Mit dieser zweiten Regel fangen Sie alle DNS-Anfragen ab, die an einen manuell eingetragenen DNS-Server gerichtet sind.
Beachten Sie: Clients, die eine VPN-Verbindung nutzen, können den DNS-Filter ebenfalls umgehen. Zwar werden herkömmliche VPN-Verbindungen wiederum über spezielle Ports in der Firewall geblockt. Doch wenn der VPN-Client den SSL-Port 443 für seine VPN-Verbindung nutzt, dann lässt sich der Webfilter in der Regel tunneln, da Port 443 auch vonHTTPS-Verbindungen verwendet wird.
Eine portbasierte Firewall hilft hier nicht weiter, da diese nur den gesamten Traffic über den Port 443 blocken könnte – inklusive der SSL-geschützten HTTPS-Websites.
Verwandte Themen