Bundesamt für Sicherheit in der Informationstechnik

M 2.451 Planung des DNS-Einsatzes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Eine grundlegende Voraussetzung für den sicheren Einsatz von DNS -Servern ist eine angemessene Planung im Vorfeld. Hierzu muss zunächst ein Konzept erstellt werden, das unter anderem enthalten sollte, wie DNS aufgebaut werden soll und welche Domain-Informationen schützenswert sind. Die Planung betrifft dabei nicht nur Aspekte, die klassischerweise mit dem Begriff Sicherheit verknüpft werden, sondern auch normale betriebliche Aspekte, die Anforderungen im Bereich der Sicherheit nach sich ziehen können. Hinweise zum Aufbau und zur prinzipiellen Struktur von DNS bietet die Maßnahme M 2.450 Einführung in DNS-Grundbegriffe .

Auswahl der Hardware

Die Hardware, auf der ein DNS-Server betrieben werden soll, hat einen entscheidenden Einfluss auf die Gesamtleistung des entstehenden Systems. Dabei spielt es eine Rolle, wie viele Anfragen ein DNS-Server durchschnittlich bedienen muss, ob es sich um einen Resolving DNS-Server handelt, der rekursive Anfragen akzeptiert oder ob es sich um einen Advertising DNS-Server handelt, der nur iterative Anfragen akzeptiert und ob der Einsatz von DNSSEC (DNS Security Extensions) geplant ist.

Für DNS-Server ist ein ausreichender Hauptspeicherausbau wichtig, dadurch wird verhindert, dass der Server Speicherinhalte auf die Festplatte auslagern muss und somit die Antwortzeiten steigen. Wird DNSSEC eingesetzt, ist es wichtig darauf zu achten, dass die Prozessorgeschwindigkeit entsprechend erhöht wird, um einen angemessenen Durchsatz bei kryptografischen Operationen aufrecht zu erhalten. Die in der Planung ausgewählten Kapazitäten für Hauptspeicher und Prozessorgeschwindigkeit müssen im Betrieb überprüft werden, da die tatsächlich benötigten Kapazitäten erst im laufenden Betrieb genau ermittelt werden können.

Sichtbarkeit der Domain-Informationen

Ein DNS-Server verwaltet die Informationen für seine autoritativen Zonen. Einige davon sind für die Öffentlichkeit bestimmt, wie die IP -Adresse eines Webservers oder Mailservers. Ein Teil der Domain-Informationen betrifft aber die interne Struktur des Netzes der Institution. Diese Informationen können oft etwas über die Funktion oder den Standort der entsprechenden Netzkomponenten aussagen. Daher sollte die Sichtbarkeit dieser Domain-Informationen mithilfe der Unterscheidung zwischen Advertising und Resolving DNS-Servern eingeschränkt werden, wie nachfolgend im Abschnitt "separate DNS-Server beschrieben.

Der Namensraum eines Informationsverbundes sollte in einen öffentlichen und einen institutionsinternen Bereich aufgeteilt werden. Im öffentlichen Teil sollten nur solche Domain-Informationen (in der Regel IP-Adresse und Hostname) enthalten sein, damit Dienste, die von extern erreichbar sein sollen, reibungslos funktionieren. Dies sind üblicherweise:

  • Webserver
  • Mailserver
  • DNS-Server
  • VPN Verbindungspunkte

Innerhalb der Institution muss die Sichtbarkeit der Informationen meist nicht eingeschränkt werden. Welche Domain-Informationen nach außen hin sichtbar sind und welche nicht, muss bei der Planung des DNS-Einsatzes berücksichtigt werden.

Separate DNS-Server

DNS-Server können nach ihren Aufgaben unterschieden werden, dabei gibt es grundsätzlich zwei verschiedenen Typen:

  • Advertising DNS-Server
  • Resolving DNS-Server

Advertising DNS-Server sind üblicherweise dafür zuständig, Anfragen aus dem Internet zu verarbeiten. Resolving DNS-Server hingegen verarbeiten Anfragen aus dem internen Netz. Da dies zwei unterschiedliche Aufgaben sind, sollten diese auch unbedingt getrennt werden. Es empfiehlt sich daher für Advertising und für Resolving DNS-Server jeweils eigene physische Server einzusetzen. Der Advertising DNS-Server verwaltet die von Außen verfügbaren Domain-Informationen und unterstützt nur iterative Anfragen, der Resolving DNS-Server verwaltet die nach Innen sichtbaren Informationen und unterstützt sowohl iterative als auch rekursive Anfragen.

Ist der Aufwand für die Trennung in Advertising und Resolving DNS-Server zu groß, oder können aus technischen Gründen keine getrennten Server eingerichtet werden, so kann gegebenenfalls auf eine einfachere Konfiguration zurückgegriffen werden. Ein BIND-DNS-Server bietet beispielsweise die Möglichkeit, verschiedene Sichten ("Views") auf die Domain-Informationen zu definieren. In diesem Fall kann ein DNS-Server eine View für Anfragen aus dem internen Netz verwalten, in der alle Domain-Informationen des Informationsverbundes bereitgestellt werden. Dies ist der Resolving DNS-Server. Die zweite View für Anfragen mit Ursprung aus dem Internet enthält nur den Teil der Domain-Informationen, die bei der Klassifizierung als öffentlich eingestuft wurden. Dies ist der Advertising DNS-Server. Dieses Design bietet ein geringeres Sicherheitsniveau, als zwei getrennte DNS-Server, es muss im Einzelfall genau abgewogen werden, ob das höhere Risiko akzeptabel ist.

Platzierung der DNS-Server im Netz

Die Platzierung der DNS-Server ist abhängig von der Netzinfrastruktur der jeweiligen Organisation. Es gibt jedoch einige Grundregeln, die einzuhalten sind:

  • Primary und Secondary DNS-Server sind in verschiedenen IP-Subnetzen zu platzieren. Des Weiteren dürfen sie nicht an dasselbe Netzkoppelelement angeschlossen werden. Somit wird durch Ausfall eines IP-Subnetzes oder eines Netzkoppelelements die Verfügbarkeit der Namensauflösung nicht beeinträchtigt, siehe auch G 1.2 Ausfall von IT-Systemen .
  • Advertising DNS-Server sollten in der Demilitarisierten Zone (DMZ) platziert werden. Weitere Hinweise hierzu finden sich im Baustein B 3.301 Sicherheitsgateway (Firewall) .
  • Resolving DNS-Server sind für Anfragen von institutionsinternen IT-Systemen zuständig. Sie sollten daher innerhalb des vertrauenswürdigen Netzes der Institution so nahe wie möglich bei den anfragenden IT-Systemen platziert werden, um lange Antwortzeiten und unnötige Netzbelastung zu vermeiden. Darüber hinaus dürfen Resolving DNS-Server nicht von externen IT-Systemen erreichbar sein.
  • Wird die Sichtbarkeit der Informationen eingeschränkt, sollte der öffentliche Teil der Domain-Informationen vom Advertising DNS-Server in der DMZ verwaltet werden.
  • Wird für die internen Nameserver ein Forwarder für die Auflösung des Internet-Domainnamensraums verwendet, so sollte dieser nicht im internen Netz platziert werden.
  • Werden Caching-Only DNS-Server im firmeninternen Netz eingesetzt, sollten die Resolver auf den Clients keine Domain-Informationen zwischenspeichern. Das Zwischenspeichern übernimmt der Caching-Only DNS-Server. Durch den zentralen Speicher wird die Anzahl der Anfragen minimiert. Des Weiteren kann im Falle eines erfolgreichen Cache-Poisoning Angriffs der zentrale Cache des Caching-Only DNS-Servers einfach gelöscht werden, um die gefälschten Daten zu entfernen.
  • In Informationsverbünden werden heute standardmäßig Sicherheitsgateways eingesetzt. Um DNS-Netzverkehr zu akzeptieren, müssen auf den Sicherheitsgateways und Paketfiltern entsprechende Regeln eingerichtet werden, dargestellt in M 4.98 Kommunikation durch Paketfilter auf Minimum beschränken oder in M 5.118 Integration eines DNS-Servers in ein Sicherheitsgateway . Bei der Planung sollte darauf geachtet werden, dass möglichst wenige Routen und Ports geöffnet werden müssen.

Eine beispielhafte Verteilung der DNS-Server im Zusammenspiel mit Sicherheitsgateways und Paketfiltern wird in M 5.118 Integration eines DNS-Servers in ein Sicherheitsgateway dargestellt.

Resolver

Resolver sind standardmäßig in den gängigen Betriebssystemen integriert und müssen daher nicht explizit ausgewählt und beschafft werden. Es sollte jedoch sicher gestellt werden, dass die Resolver der internen IT-Systeme die internen Resolving DNS-Server zur Namensauflösung verwenden. Sie sollten auf keinen Fall standardmäßig externe DNS-Server befragen. Zusätzlich sollten im Zuge dessen auch die DNS-Suffixe, die von den Resolvern verwendet werden, festgelegt werden, beispielsweise "bsi.bund.de". Dadurch wird bei der Namensauflösung von "hostx" automatisch der Rest des Domainnamens zum Fully Qualified Domain Name (FQDN) "hostx.bsi.bund.de." ergänzt.

Verwaltung der Domainnamen

Im Zuge der Planung muss festgelegt werden, wer für die Verwaltung der Internet-Domainnamen verantwortlich ist. Die verantwortliche Person muss für die Einhaltung der Maßnahmen sorgen, wie in M 2.298 Verwaltung von Internet-Domainnamen dargestellt.

Prüffragen:

  • Werden für die Anfragen von institutionsinternen und institutionsexternen IT -Systemen separate DNS -Server verwendet?

  • Wurde die Sichtbarkeit von Domain-Informationen eingeschränkt?

  • Gibt es einen Plan für die Integration der DNS -Server in das Netz des Informationsverbundes?

  • Verwenden die Resolver der internen Hosts die internen Resolving DNS -Server zur Namensauflösung?

  • Gibt es einen Zuständigen für die Verwaltung der Internet-Domainnamen?

  • Wurde für die nötigen Kapazitäten bezüglich der Hardware der DNS -Server gesorgt?

Stand: 12. EL Stand 2011