IT-Sicherheit an der Universität Bern

DNS Firewall: Unsichtbarer Schutz vor Phishing und Malware im Uni-Netz

Sind Sie mit dem Netzwerk der Universität Bern verbunden (bspw. via VPN, WiFi oder Kabel), dann bietet Ihnen die DNS Firewall einen unsichtbaren Schutz gegen Phishing und Schadsoftware. Wir erklären Ihnen wie die DNS Firewall funktioniert, welchen Nutzen sie für Sie bringt und wo die Grenzen liegen. 

Das Wichtigste in Kürze

Die DNS Firewall ist eine Sicherheitsfunktion, welche auf den zentralen DNS-Servern der Universität Bern aktiviert ist und einen zusätzlichen Schutz bei Phishing und Schadsoftware bietet.

Wenn Sie aus dem Netzwerk der Universität Bern eine Webseite aufrufen, dann prüft die DNS Firewall ob die gewünschte Webseite Risiken aufweist. Im Falle von Gefahr, wird Ihnen anstelle der gewünschten Webseite eine Informationsseite angezeigt.

Damit die DNS Firewall funktioniert, müssen Sie mit dem Netzwerk der Universität Bern verbunden sein (bspw. via WiFi, VPN oder Kabel) und die zentralen DNS-Server (ns1.unibe.ch und ns2.unibe.ch) verwenden, oder mit dem Campus-Directory verbunden sein.

Es gilt zu bedenken, dass die DNS Firewall nicht den Erhalt von Phishing-E-Mails verhindert und es im Falle von neuen und zielgerichteten Phishing-Webseiten etwas Zeit in Anspruch nehmen kann, bis der Schutz wirksam ist. Daher ist es trotz DNS Firewall wichtig, aufmerksam und vorsichtig zu sein.

Was ist das Domain Name System, kurz DNS?

Jede Webseite im Internet besitzt zwei Adressen unter welchen sie gefunden wird, aber nur eine davon kann man sich einfach merken. Wenn wir beispielsweise die Webseite der Universität Bern aufrufen möchten, dann geben wir den Domänen-Name www.unibe.ch in der Adresszeile des Webbrowsers ein. Alternativ könnten wir aber auch 130.92.250.6 oder 2001:620:400:2500::6 eingeben.

Bei den letzten beiden Adressen handelt es sich um IP-Adressen (IP steht für Internet Protocol) und in der Tat ist es so, dass der Webbrowser eigentlich nur mit diesen Adressen arbeitet. Das Domain Name System, kurz DNS, wandelt die Domänen-Namen in die entsprechenden IP-Adressen um und bildet somit die Grundlage, damit wir einfach merkbaren Domänen-Namen verwenden können. 

Der Vorgang der Umwandlung von Domänen-Namen in IP-Adressen (und umgekehrt) wird als DNS-Abfrage oder DNS-Auflösung bezeichnet.

Wie funktioniert die DNS Firewall?

Die DNS Firewall ist Teil des Domain Name System und prüft bei jeder Umwandlung von Domänen-Name zu IP-Adresse, ob der Domänen-Name und somit die Webseite als gefährlich eingestuft wurde (bspw. Phishing-Webseite oder mit Schadsoftware verseuchte Webseite). Je nach Resultat der Überprüfung wird eine andere IP-Adresse an den Webbrowser zurückgegeben. Ist alles in Ordnung, dann wird die richtige IP-Adresse zurückgegeben und die gewünschte Webseite angezeigt. Andernfalls wird die IP-Adresse einer Informationsseite an den Webbrowser zurückgegeben und diese anstelle der richtigen Webseite angezeigt.

Auf diese Weise wird immer eine sichere Webseite angezeigt. Entweder diejenige die gewünscht wurde, oder die Informationsseite, welche zwar nicht diejenige ist welche man erwartet hat, dafür jedoch keine betrügerische Phishing-Webseite oder mit Schadsoftware verseuchte Webseite ist.

Als Datengrundlage verwendet die DNS Firewall Datenbanken. Es wird also nicht bei jeder DNS-Abfrage die gewünschte Webseite aktiv überprüft, sondern lediglich in den Datenbanken nachgeschaut, ob ein Eintrag dazu existiert.

Welchen Nutzen habe ich von der DNS Firewall?

Damit Phishing und Schadsoftware funktionieren, sind sie in der Regel auf eine Internetverbindung und das Domain Name System angewiesen. Klickt man auf einen Link in einer Phishing-E-Mail, wird vor der Anzeige der betrügerischen Webseite eine DNS-Abfrage getätigt und im Falle von Schadsoftware wird das Domain Name System für die Kommunikation zwischen Angreifer und Schadsoftware benötigt (Stichwort: Botnetz).

Indem die DNS Firewall Phishing-Links auf eine sichere Informationsseite umleitet und verhindert, dass Schadsoftware nach Hause telefoniert, profitieren Sie von einem zusätzlichen Schutzmechanismus der eingreift, falls man aus Versehen auf einen gefährlichen Link geklickt hat, oder sich eine Schadsoftware eingefangen hat.

Wann ist die DNS Firewall aktiv?

Damit Sie in den Genuss des Schutzes durch die DNS Firewall kommen, müssen Sie mit dem Netzwerk der Universität Bern verbunden sein (bspw. via WiFi, VPN oder Kabel) und die zentralen DNS-Server der Universität verwenden oder mit dem Campus-Directory verbunden sein. Im Normalfall werden Computer und Smartphone bei der Verbindung mit dem WiFi (eduroam oder public-unibe) sowie bei der Verwendung von VPN automatisch korrekt konfiguriert und die Konfiguration der Computer am Arbeitsplatz wird von den Technikverantwortlichen der Institute vorgenommen.

Falls Sie die DNS-Einstellungen Ihrer Geräte selber verwalten, dann müssen Sie, solange Sie mit dem Netzwerk der Universität Bern verbunden sind, die DNS-Server der Universität Bern verwenden. Informationen für die korrekte Konfiguration der DNS-Einstellungen finden Sie im Service Portal.

Wie erkenne ich, dass mich die DNS Firewall geschützt hat?

Das Haupterkennungsmerkmal ist die Informationsseite, welche Ihnen angezeigt wird, wenn Sie auf einen Link in einer Phishing-E-Mail geklickt haben oder eine mit Schadsoftware verseuchte Webseite besuchen wollten. Wenn Sie die nachfolgende Webseite sehen, dann wissen Sie zwei Dinge:

  1. Etwas stimmt mit dem geklickten Link oder der gewünschten Webseite nicht und
  2. die DNS Firewall hat Sie vor Schaden bewahrt.

Im Normalfall können Sie, nachdem Ihnen die Informationsseite der DNS Firewall angezeigt wurde, wie gewohnt weiterarbeiten und es besteht kein Handlungsbedarf. Falls Sie sich nicht sicher sind oder sich wohler fühlen, dann können Sie in jedem Fall den oder die Technikverantwortliche*n Ihres Institutes kontaktieren, einen Antiviren-Scan starten und/oder das Kennwort des betroffenen Benutzerkontos wechseln.

Zertifikatswarnung bei der Anzeige der Informationsseite

Bei der Umleitung auf die Informationsseite kann es vorkommen, dass Ihnen der Webbrowser eine Zertifikatswarnung anzeigt. Dies passiert dann, wenn Sie eine als gefährlich identifizierte Webseite besuchen wollen, die mittels HTTPS verschlüsselt ist. Bei HTTPS-Webseiten prüft der Webbrowser, ob der Domänen-Name (www.xyz.com) in der Adresszeile des Webbrowsers mit demjenigen im Zertifikat (wird für die verschlüsselte Kommunikation benötigt) übereinstimmt. Durch die Umleitung auf die Informationsseite, welche ebenfalls mit HTTPS gesichert ist, bleibt der Domänen-Name in der Adresszeile der ursprüngliche, aber der Domänen-Name im Zertifikat ändert sich zu demjenigen der Informationsseite (landingpage.mw.rpz.switch.ch). 

Aufgrund dieses Unterschiedes vermutet der Webbrowser, korrekterweise, einen Betrugsversuch und warnt Sie davor. Wie Sie im nachfolgenden Bild sehen können, kann man durch Anzeige der Detailinformationen der Zertifikatswarnung erkennen, dass die DNS Firewall involviert ist. 

Wann bietet die DNS-Firewall keinen Schutz?

Die DNS-Firewall verhindert nicht den Erhalt von Phishing-E-Mails oder die Infizierung mit Schadsoftware. Für letzteres ist das Antiviren-Programm zuständig und den Erhalt von Phishing-E-Mails lässt sich leider nicht so einfach effizient verhindern.

Da neue und zielgerichtete Phishing-Webseiten zu Beginn ihrer Lebenszeit eine geringe Bekanntheit haben, kann es einige Zeit in Anspruch nehmen bis die Datenbanken aktualisiert werden und der Schutz wirksam wird. 

Daher ist es trotz DNS-Firewall wichtig, wachsam und vorsichtig zu sein.