Bundesamt für Sicherheit in der Informationstechnik

M 2.413 Sicherer Einsatz von DNS für Active Directory

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator

Eine Active-Directory-Installation besteht üblicherweise aus mehreren Servern mit unterschiedlichen Verzeichnispartitionen. Damit der Zugriff sowohl für die Clients als auch der Zugriff zwischen den Servern, z. B. bei der Replikation, erleichtert wird, verwendet Active Directory DNS (Domain Name System) für die Suche nach Active-Directory-Servern. Somit muss der DNS-Dienst als eine Grundlage des Active Directory angesehen werden.

Um die Integrität und Verfügbarkeit des Active Directory sicherzustellen, ist dafür Sorge zu tragen, dass DNS-Clientabfragen nicht durch unautorisierte Systeme im Netz fehlgeleitet werden können. In Windows-Umgebungen sollte der Schutz der DNS-Daten durch in Active Directory integrierte DNS-Zonen auf den Domänen-Controllern erhöht werden. Dabei werden die zonenspezifischen DNS-Daten in dem Container "MicrosoftDNS" des Active Directory gespeichert.

Die Konfigurationsdaten für in Active Directory integrierte DNS-Zonen werden in der Windows-Registry abgelegt. Der Zugriff auf die Konfigurationsdaten sollte nur auf administrative Konten beschränkt werden.

Im Folgenden wird ausschließlich auf in Active Directory integrierte DNS-Zonen und damit auf die Windows Server spezifischen Eigenschaften zur Unterstützung des sicheren Betriebs von Active Directory eingegangen. Darüber hinausgehende, allgemeine Maßnahmen zur Absicherung von DNS werden hier nicht beschrieben.

Zum Schutz der DNS-Infrastruktur sollten die DNS-Server geschützt werden sowie auf den DNS-Servern gespeicherte DNS-Daten ausreichend abgesichert werden und die Integrität der DNS-Antworten auf die Client-Anfragen bei der Übertragung gesichert werden. Wie dies umgesetzt werden kann, wird im Folgenden beschrieben.

Um die Integrität der auf dem Domänen-Controller zwischengespeicherten DNS-Daten zu gewährleisten, muss die Option "Zwischenspeicher vor Beschädigungen sichern" für den DNS-Server-Prozess aktiviert werden. Damit soll sichergestellt werden, dass ausschließlich autorisierte DNS-Einträge im Zwischenspeicher eingefügt werden können.

Der Zugriff auf den DNS-Dienst der Domänen-Controller sollte so weit wie möglich eingeschränkt werden. Dies kann z. B. dadurch erreicht werden, dass an den Sicherheitsgateways zwischen zwei Netzsegmenten der DNS-Dienst (UDP-Port 53) eingeschränkt wird. Der DNS-Dienst muss dabei für folgende Komponenten verfügbar sein:

  • zwischen den DNS-Clients und dem entsprechenden DNS-Server,
  • zwischen DNS-Servern, die Zonentransfers durchführen,
  • zwischen DNS-Servern, die Client-Anfragen an die entsprechenden Zonen delegieren, und den für die jeweilige Zone verantwortlichen DNS-Servern,
  • zwischen DNS-Servern, die Client-Anfragen weiterleiten und den DNS-Servern der übergeordneten Hierarchieebene.

Des Weiteren sollten die Netzaktivitäten in Bezug auf DNS-Anfragen überwacht werden, da ein ungewöhnlich hohes Aufkommen an DNS-Anfragen auf einen Denial-of-Service-Angriff ( DoS -Angriff) gegen einen DNS-Server und damit unter Umständen auch gegen einen Domänen-Controller hindeuten kann. In diesem Falle sollte der Angreifer möglichst schnell identifiziert und entsprechende Gegenmaßnahmen eingeleitet werden (siehe auch M 6.106 Erstellung eines Notfallplans für den Ausfall eines Verzeichnisdienstes ).

Mittels IPsec (Internet Protocol Security) kann die Vertraulichkeit, Authentizität und Integrität des IP-Datenverkehrs im Netz sichergestellt werden. Bei einem IPsec-Verbindungsaufbau authentisieren sich Client und Server gegenseitig, so dass die Authentizität der Daten vom DNS-Client überprüft werden kann.

Die Integrität der DNS-Daten bei der Übertragung kann durch IPsec bei der Verwendung von Authentication Header ( AH ) bzw. durch Encapsulating Security Payload ( ESP ) sichergestellt werden.

Im Gegensatz zum Authentication Header des IPsec wird bei der Verwendung von ESP der Datenverkehr zusätzlich verschlüsselt. Durch ESP ist ebenfalls die Vertraulichkeit der DNS-Daten sichergestellt. ESP sollte daher verwendet werden.

Durch die Verwendung von IPSec erhöht sich das Datenaufkommen. Daher sollte vor dem Einsatz von IPsec sichergestellt werden, dass ausreichend Ressourcen vorhanden sind, damit bei aktivierter Verschlüsselung bzw. Signierung ein ausreichender Datendurchsatz im Netz möglich ist.

Ausreichende Absicherung der gespeicherten DNS-Daten

Für den Schutz der DNS-Daten auf dem Server sollten folgende Punkte berücksichtigt werden:

  • Bei Windows-Server-Betriebssystemen wird ein DNS-Server mitgeliefert. Wird dieser verwendet, muss er so konfiguriert werden, dass nur Registrierungsanforderungen von autorisierten Clients der Active-Directory-Gesamtstruktur verarbeitet werden. Falls er nicht verwendet wird, ist er zu deaktivieren.
  • Wird ein DNS-Server eines anderen Herstellers verwendet, so ist darauf zu achten, dass dieser die sichere dynamische Aktualisierung der DNS-Daten unterstützt und entsprechend konfiguriert wurde.
  • Der Zugriff von Benutzern auf die DNS-Daten im entsprechenden Active-Directory-Container "MicrosoftDNS" sollte über ACLs so eingerichtet werden, dass nur Administratoren, Domänen-Administratoren, Organisations-Administratoren und DNS-Administratoren Vollzugriff auf die Domänendaten besitzen.
  • Die Informationen sekundärer DNS-Zonen werden auf einem Domänen-Controller nicht im Active Directory, sondern in einer textbasierten Zonendatei gespeichert. Wenn möglich sollte auf eine verteilte DNS-Struktur zurückgegriffen werden, bei der jeder DNS-Server nur eine Zone verwaltet und entsprechende Client-Anfragen von den anderen Servern an den verantwortlichen DNS-Server weitergeleitet werden.
    Können sekundäre DNS-Zonen auf diese Weise nicht vermieden werden, z. B. aufgrund des erhöhten Datenvolumens, so muss die Zonen-Datei mittels NTFS-Berechtigungen vor unbefugten Zugriffen geschützt werden.
    Lediglich die allgemeinen Administratoren, Domänen-Administratoren, Organisations-Administratoren und DNS-Administratoren sollten Vollzugriff auf die sekundären Domänen-Daten erhalten.

Weiterführende Informationen zur Konfiguration von DNS-Servern finden sich online in den Dokumenten "Best Practice Active Directory Design for Managing Windows Networks" und "Best Practice Active Directory Deployment for Managing Windows Networks" im Microsoft TechNet (http://technet.microsoft.com).

Prüffragen:

  • Werden integrierte DNS -Zonen bzw. die sichere dynamische Aktualisierung der DNS-Daten verwendet, um DNS-Clientabfragen durch unautorisierte Systeme zu vermeiden?

  • Ist der Zugriff auf die Konfigurationsdaten des DNS -Servers nur von administrativen Konten erlaubt?

  • Ist der DNS -Cache auf DNS-Servern gegen unberechtigte Änderungen geschützt?

  • Wird der Zugriff auf den DNS -Dienst der Domänen-Controller ( z. B. am Sicherheitsgateway) auf das notwendige Maß beschränkt?

  • Werden die Netzaktivitäten in Bezug auf DNS -Anfragen überwacht?

  • Einsatz von IPSec zur Absicherung der DNS -Kommunikation: Ist ein ausreichender Datendurchsatz im Netz gewährleistet?

  • Ist der Zugriff auf die DNS -Daten im Active Directory mittels ACL s auf Administratoren beschränkt?

  • Werden sekundäre DNS -Zonen vermieden oder zumindest die Zonen-Datei vor unbefugtem Zugriff geschützt?

Stand: 13. EL Stand 2013