Bundesamt für Sicherheit in der Informationstechnik

G 3.104 Fehlerhafte Konfiguration eines DNS-Servers

Sicherheitskritische Standardeinstellungen, selbst konfigurierte sicherheitskritische Einstellungen oder fehlerhafte Konfigurationen können dazu führen, dass ein DNS -Server nicht ordnungsgemäß funktioniert und die Verfügbarkeit dadurch eingeschränkt wird. Des Weiteren werden durch fehlerhafte Konfigurationen Angriffe auf die Verfügbarkeit und Integrität des DNS-Servers erleichtert. Bei den sicherheitskritischen Konfigurationen sind vor allem folgende Punkte von Bedeutung:

DNS-Server mit Superuser-Rechten

Das Betreiben eines DNS-Servers mit Superuser-Rechten erleichtert wirkungsvolle Angriffe auf das IT -System. Gelingt es einem Angreifer einen DNS-Server-Prozess erfolgreich anzugreifen, kann er mit den Rechten des DNS-Server-Prozesses arbeiten und auf alle weiteren Prozesse dieses Rechners zugreifen sowie weitere Rechner im Netz kompromittieren.

Rekursive Anfragen

Es gibt zwei Arten von Anfragen an einen DNS-Server: iterative und rekursive. Bei iterativen Anfragen beantwortet ein DNS-Server nur Anfragen, sofern er die gewünschten Informationen selbst gespeichert hat. Dieses Verhalten entspricht einem Advertising DNS-Server. Ansonsten verweist er auf einen anderen DNS-Server. Bei rekursiven Anfragen beantwortet ein DNS-Server alle Anfragen, dies entspricht einem Resolving DNS-Server. Wenn der Resolving DNS-Server die Informationen nicht selbst gespeichert hat, stellt er selbst Anfragen an andere DNS-Server, um die gewünschten Informationen zu erhalten. Ist ein Resolving DNS-Server so konfiguriert, dass er rekursive Anfragen uneingeschränkt annimmt, kann dies die Verfügbarkeit des Servers aufgrund der erhöhten Last stark beeinträchtigen. Uneingeschränkt bedeutet in diesem Fall, dass der Resolving DNS-Server rekursive Anfragen sowohl aus dem internen LAN als auch aus dem Internet akzeptiert.

Im Weiteren werden dadurch Cache-Poisoning Angriffe, wie beispielsweise in G 5.78 DNS-Spoofing beschrieben, erleichtert. Vereinfacht dargestellt funktionieren Cache-Poisoning Angriffe wie folgt: Ein Angreifer sendet eine rekursive Anfrage an einen Resolving DNS-Server betreffend Domain-Informationen, die dieser Resolving DNS-Server nicht gespeichert hat. Danach versucht der Angreifer eine gültige, gefälschte Antwort an den Resolving DNS-Server zu senden. Akzeptiert ein Resolving DNS-Server rekursive Anfragen nur aus dem internen Netz, wird er die Anfrage des Angreifers nicht auflösen, sondern an den nächsten zuständigen DNS-Server verweisen. Damit ist er durch den vorher beschriebenen Angriff nicht gefährdet. Akzeptiert der DNS-Server rekursive Anfragen uneingeschränkt bzw. befindet sich der Angreifer innerhalb des Firmennetzes, ist dieser potenziell stark gefährdet.

Zonentransfers

Da DNS von vielen Netzdiensten vorausgesetzt wird, werden bestimmte Teile des Domain-Namensraums nicht von einem einzigen DNS-Server verwaltet, sondern in der Regel von mindestens zwei. Zur Synchronisation dieser Server werden sogenannte Zonentransfers durchgeführt. Sind Zonentransfers nicht auf berechtigte DNS-Server beschränkt, kann jeder Host, der die Möglichkeit hat eine Anfrage an den DNS-Server zu stellen, die gesamten Domain-Informationen dieser Server mithilfe eines Zonentransfers auslesen. Führt jemand ohne Berechtigung einen Zonentransfer durch, stellt dies für den Informationsverbund zwar keinen unmittelbaren Schaden dar, die gewonnenen Daten können aber spätere Angriffe erleichtern.

Dynamische Updates

Dynamische Updates ermöglichen es, Domain-Informationen automatisiert zu aktualisieren. Vor allem im Zusammenhang mit DHCP sind dynamische Updates wichtig. Wird von einem DHCP-Server eine IP-Adresse an einen Host vergeben, müssen diese Informationen auch in den Domain-Namensraum eingepflegt werden. Dies kann über dynamische Updates geschehen. Eine fehlerhafte Konfiguration von dynamischen Updates kann zu folgenden Problemen führen:

  • Die Berechtigungen wurden zu restriktiv konfiguriert, sodass der DNS-Server die Updates des internen DHCP-Servers nicht akzeptiert. Dadurch können die Domain-Informationen nicht aktualisiert werden und bei Anfragen werden veraltete, falsche Daten als Antwort geliefert.
  • Werden die Berechtigungen zu großzügig konfiguriert, kann dies eine potenzielle Angriffsmöglichkeit, wie in G 5.155 Ausnutzen dynamischer DNS-Updates beschrieben, darstellen.

Kryptografie

Zur Absicherung von DNS wird oft Kryptografie eingesetzt. Fehler bei der Konfiguration der kryptografischen Schlüssel führen beispielsweise dazu, dass aufgrund falscher Schlüssel Verbindungen abgelehnt oder valide Daten als nicht valide verworfen werden.

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK