Bundesamt für Sicherheit in der Informationstechnik

G 5.154 DNS Information Leakage

Die Hauptfunktionalität von DNS ist es, Namen und IP -Adressen aufzulösen. Um diese Anforderungen erfüllen zu können, wird unter anderem die Zuordnung von Namen und IP-Adressen sämtlicher Rechner und Netzkomponenten von DNS-Servern gespeichert. Ein Teil dieser Informationen muss veröffentlicht werden:

  • DNS-Server
  • Webserver
  • Mailserver
  • Fileserver
  • VPN -Verbindungspunkte

Wären diese Domain-Informationen nicht öffentlich zugänglich, könnte keine Verbindung unter Verwendung von Domainnamen über das Internet zu diesen Servern aufgebaut werden. Domain-Informationen über interne Rechner und Netzkomponenten hingegen sind in der Regel nicht für die Öffentlichkeit bestimmt und sollten daher institutionsintern bleiben. Da Domain-Informationen meist etwas über die Funktion bzw. den Standort der betreffenden IT -Komponente aussagen, spricht man von DNS Information Leakage, wenn diese Informationen veröffentlicht werden.

Die Veröffentlichung selbst stellt für den Informationsverbund keinen direkten Schaden dar. Die gewonnenen Domain-Informationen können jedoch zur Vorbereitung eines Angriffs auf den Informationsverbund genutzt werden. Ein Angreifer kann sich einen Überblick über das Netz, die sicherheitsrelevanten Komponenten und die lohnenden Ziele verschaffen. Je mehr Informationen ein Angreifer über das Angriffsziel sammeln kann, desto höher ist die Wahrscheinlichkeit, dass er eine Schwachstelle findet.

Es gibt mehrere Ansätze für Information Leakage:

  • Ist die Sichtbarkeit der Domain-Informationen nicht eingeschränkt, können sämtliche Domain-Informationen legitim abgefragt werden.
  • Werden Zonentransfers (G 3.104 Fehlerhafte Konfiguration eines DNS-Servers ) uneingeschränkt zugelassen, können die gesamten Domain-Informationen mithilfe einer einzigen Abfrage abgefragt werden.

Stand: 12. EL Stand 2011