Bundesamt für Sicherheit in der Informationstechnik

G 2.152 Fehlende oder unzureichende Planung des DNS-Einsatzes

Wird die Planung des DNS -Einsatzes vernachlässigt, kann dies zu Problemen und Sicherheitslücken im laufenden Betrieb führen. Zahlreiche Netzdienste und -anwendungen benötigen DNS, um zu funktionieren. So wird DNS von Kommunikationspartnern benötigt, um die IP -Adresse herauszufinden, die der E-Mail-Server des Empfängers hat. Sind die DNS-Server nicht erreichbar, können diese Dienste nicht bzw. nur noch eingeschränkt genutzt werden. Im schlechtesten Fall kann eine, durch schlechte Planung verursachte Sicherheitslücke, zur Kompromittierung der DNS-Server führen.

DNS-Server-Infrastruktur

Die Verfügbarkeit und die Leistungsfähigkeit von DNS-Servern hängen unter anderem von der Verteilung im Netz ab. Probleme, die durch unzureichende Planung der Infrastruktur entstehen können, sind:

  • Fehlerhafte Anordnung von DNS-Servern:
    Bei der Registrierung eines Domainnamens werden in der Regel mindestens zwei Server angegeben, die als Advertising DNS-Server (siehe M 2.450 Einführung in DNS-Grundbegriffe ) für diese Domain genutzt werden. Befinden sich diese beiden Advertising DNS-Server innerhalb desselben Netzsegments, kann durch den Ausfall des Gateways, dass dieses Segment mit dem Rest des Netzes verbindet, die Namensauflösung der gesamten Domain ausfallen. Dies führt letztlich dazu, dass nicht mehr auf Dienste wie Webserver, E-Mail aber auch auf Remoteadministrationszugänge zugegriffen werden kann.
  • Lange Antwortzeiten:
    Ist die Leistungskapazität der Advertising bzw. Resolving (siehe M 2.450 Einführung in DNS-Grundbegriffe ) DNS-Server oder die Bandbreite des Netzes nicht ausreichend dimensioniert, führt dies oft zu langen Antwortzeiten oder Time-outs. Wenn keine Priorisierung des Netzverkehrs vorgenommen wird, kann es passieren, dass unwichtigerer und zeitunkritischer Netzverkehr die Bandbreite zu sehr beansprucht.
  • Entfernung:
    Je mehr Netzkomponenten sich zwischen einem DNS-Server und den anfragenden Hosts befinden, desto öfter müssen die Pakete bearbeitet werden. Dadurch erhöht sich die Antwortzeit und das Netz wird unnötig belastet.

Ungeeignete DNS-Server-Software

Veraltete bzw. wenig getestete Software enthält oft bekannte Softwareschwachstellen, die von Schadsoftware ausgenutzt werden kann. Dies erhöht die Gefahr erfolgreicher Angriffe deutlich.

Des Weiteren kann es zu Problemen kommen, wenn für alle DNS-Server dieselbe Software verwendet wird. Wird in diesem Fall ein DNS-Server aufgrund einer Softwareschwachstelle kompromittiert, kann die Lücke auf jedem weiteren DNS-Server ausgenutzt werden. Plant hingegen ein Informationsverbund, unterschiedliche DNS-Server-Software einzusetzen, besteht die Gefahr, dass diese nur eingeschränkt kompatibel sind. Zusätzlich wird sich dadurch auch der Administrationsaufwand erhöhen.

DNS-Server und Sicherheitsgateways

Die Planung der DNS-Server hat Auswirkung auf die Konfiguration von Sicherheitsgateways und Paketfiltern. Sind die Regeln, um DNS-Verkehr im Netz zu ermöglichen, zu freizügig definiert, kann dies unter Umständen einen Angriff ermöglichen. Sind die Regeln jedoch zu restriktiv formuliert, können legitime Clients keine Anfragen an die DNS-Server stellen und werden bei der Benutzung von Diensten wie E-Mail, FTP oder Ähnlichem beeinträchtigt.

Aufteilung des Namensraums

Die Domain-Informationen über den Namensraum eines Informationsverbundes enthalten sämtliche Informationen über den Aufbau des internen Netzes. Oft ist es nicht erwünscht, die gesamten Informationen für die Öffentlichkeit zugänglich zu machen. Dazu kann der Namensraum in einen internen (Resolving DNS-Server) und einen öffentlich zugänglichen (Advertising DNS-Server) Bereich geteilt werden. Wird eine Trennung bei der Planung nicht berücksichtigt, kann dies Probleme wie in G 5.154 DNS Information Leakage beschrieben, zur Folge haben.

Kryptografie

DNS kann über kryptografische Mechanismen abgesichert werden, beispielsweise über TSIG (Trusted Security Transaction Group) und DNSSEC (DNS Security). Wie bei allen kryptografischen Anwendungen sind die kryptografischen Schlüssel geheimes Material. Werden diese Schlüssel veröffentlicht, ist kein Schutz durch diese kryptografischen Mechanismen mehr gegeben. Kommt es in der Planung zu unklaren Regelungen, inwieweit Kryptografie eingesetzt werden soll, kann dies unter anderem zu folgenden Problemen führen:

  • Der Einsatzbereich der einzelnen Mechanismen, wie TSIG und DNSSEC, wurde nicht festgelegt. Dadurch herrscht Unklarheit ob und wenn ja zwischen welchen Partnern unverschlüsselte E-Mail Kommunikation erlaubt ist.
  • Die Zugriffsrechte auf die Dateien, die die kryptografischen Schlüssel beinhalten, sind zu freizügig definiert. Dadurch kann jeder Benutzer, der sich auf dem Rechner einloggt, die Dateien lesen und verändern.
  • Der Austausch der Schlüssel wurde nicht geplant, dadurch werden diese über ungesicherte Netzverbindungen übertragen.

Beispiele:

  • Im Jahr 2001 wurde die Domain eines großen Softwarehauses für mehrere Stunden praktisch lahmgelegt. Ursache war ein Distributed-Denial-of-Service-Angriff auf den Router, der die DNS-Server für die Domain mit dem Internet verband. Jegliche auf DNS basierende Kommunikation war unterbunden. Lediglich Rechner, deren Resolver die benötigten Domain-Informationen zwischengespeichert hatten, konnten eine Verbindung herstellen.

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK