Bundesamt für Sicherheit in der Informationstechnik

G 3.103 Fehlerhafte Domain-Informationen

Selbst wenn die Planung des DNS -Einsatzes sorgfältig durchgeführt und somit alle sicherheitsrelevanten Punkte berücksichtigt wurden, ist dass nicht ausreichend, wenn fehlerhafte Domain-Informationen erstellt werden. Fehlerhaft bedeutet, dass bei der Erstellung der Domain-Informationen semantische und/oder syntaktische Fehler begangen wurden. Beispielsweise, wenn einem Hostnamen eine falsche IP-Adresse zugeordnet wurde, Daten fehlen oder nicht erlaubte Zeichen verwendet wurden. Enthalten Domain-Informationen Fehler, funktionieren Dienste, die diese Informationen benutzen aufgrund der Falschinformationen nur eingeschränkt. Nachfolgend einige Beispiele für übliche Fehler:

  • Für die Vorwärtsauflösung und die Rückwärtsauflösung werden die Daten jeweils in einer eigenen Datenbank gepflegt. Einer der häufigsten Fehler ist, dass neue hinzugekommene Domain-Informationen in die Daten der Vorwärtsauflösung hinzugefügt werden. Es wird jedoch vergessen, die Domain-Informationen auch in die Daten der Rückwärtsauflösung einzupflegen.
  • Multi-homed-Hosts, wie beispielsweise Router, haben eine Netzanbindung in mehrere Netzsegmente und somit mehrere IP -Adressen. Wenn bei einem Multi-homed-Host vergessen wird, für alle IP-Adressen die entsprechenden PTR-Records (Kurzform für "Pointer") in die Domain-Informationen einzutragen, wird für IP-Adressen ohne PTR-Records eine Rückwärtsauflösung fehlschlagen. Services, die Rückwärtsauflösungen benötigen, werden somit gestört.
  • Das Verwenden von nicht erlaubten Zeichen in Domainnamen führt dazu, dass Informationen falsch bzw. gar nicht interpretiert werden. Erlaubte Zeichen sind ASCII -Buchstaben, Ziffern und der Bindestrich. Auch Namen, die im DNS-Namensraum gültig sind, können von Anwendungen anders interpretiert werden. "0xe" ist zum Beispiel ein gültiger Hostname. Wird versucht sich per "telnet 0xe" zu diesem Host zu verbinden, wird Telnet "0xe" als IP-Adresse interpretieren. Es erfolgt keine Namensauflösung, und sofern 0.0.0.14 nicht die richtige IP-Adresse ist, wird die Verbindung fehlschlagen.
  • In Domain-Informationen müssen Seriennummern eintragen werden, aus denen auch das Datum hervorgeht, wann die Zone zuletzt aktualisiert wurde. Wird das Datum als Kommazahl geschrieben, kann dies zu unerwarteten Ergebnissen führen, da diese von DNS-Servern intern in eine Ganzzahl umgewandelt werden.
  • Resolving DNS-Server sowie Resolver auf reinen Client- IT -Systemen speichern in der Regel erhaltene Antwortdaten im Cache zwischen. Dadurch wird die Anzahl der benötigten Anfragen beim übergeordneten DNS-Server verringert. Die Zeitdauer der Zwischenspeicherung wird als "Time to Live" (TTL) bezeichnet und stellt einen Teil der Domain-Informationen dar. Zu lange TTL-Zeiten, vor allem bei Domain-Informationen die sich häufig ändern, bewirken, dass die zwischengespeicherten Daten veraltet sind. Hingegen erhöht eine zu kurze TTL die Last für DNS-Server.
  • "Glue Records" sind in bestimmten Fällen notwendig, um die zuständigen DNS-Server finden zu können. Normalerweise speichert ein DNS-Server nur die Domainnamen der DNS-Server seiner Subdomains. Befindet sich ein DNS-Server einer solchen Subdomain innerhalb der eigenen Subdomain, muss der darüber liegende DNS-Server auch dessen IP-Adresse gespeichert haben, da sonst kein DNS-Server fähig wäre, eine Namensauflösung durchzuführen. Dieser Eintrag wird als Glue Record bezeichnet. Es kann passieren, dass bei der Migration oder der Außerbetriebnahme von DNS-Servern vergessen wird, die dazugehörigen "Glue Records" zu adaptieren oder zu löschen. Dann werden bei entsprechenden Anfragen Daten über nicht mehr existente DNS-Server zurück geliefert.
  • DNS bietet die Möglichkeit Aliase zu definieren. Ein Alias ist ein frei gewählter Name, der im Regelfall leicht zu merken ist. Ein Beispiel für einen oft verwendeten Alias bei DNS ist "www" für den Webserver. Einem Alias dürfen jedoch keine weiteren Daten zugewiesen werden. Es ist beispielsweise nicht zulässig, für einen Alias eine IP-Adresse zu definieren. Ein weiterer Fehler bezüglich Aliase ist, einen Host zu löschen, den zugehörigen Alias jedoch nicht.
  • Da Domain-Informationen wichtige Daten darstellen, werden diese in der Regel von mindestens zwei DNS-Servern, dem Primary DNS-Server und einem oder mehreren Secondary DNS-Servern zur Verfügung gestellt. Die Daten werden auf dem Primary DNS-Server gepflegt und auf den oder die Secondary DNS-Server synchronisiert. DNS-Server verwenden die in den Domain-Informationen vorhandenen Seriennummern als Indikator dafür, ob es Änderungen gegeben hat. Werden Domain-Informationen geändert und die enthaltene Seriennummer nicht erhöht, werden die neuen Domain-Informationen nicht synchronisiert. Die daraus resultierende Inkonsistenz wird zu unterschiedlichen Namensauflösungen führen, je nachdem welcher DNS-Server befragt wird.

Domain-Informationen werden in Textdateien, sogenannten Master Files, gespeichert. Werden diese Textdateien händisch bearbeitet, stellt eine unübersichtliche, uneinheitliche Struktur eine zusätzliche Fehlerquelle dar.

Neben dem Hinzufügen von neuen Informationen stellt vor allem das Löschen, im Falle der Aussonderung eines Hosts, eine große Fehlerquelle dar. Wenn nicht alle Domain-Informationen gelöscht werden, bleiben Informationen über nicht mehr existente Hosts vorhanden.

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK