Bundesamt für Sicherheit in der Informationstechnik

M 2.452 Auswahl eines geeigneten DNS-Server-Produktes

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter

Bei der Beschaffung neuer DNS -Server-Produkte besteht die Möglichkeit, diese so auszuwählen, dass im späteren Betrieb nur geringe personelle, technische und organisatorische Aufwände nötig sind, um ein hohes Maß an Sicherheit zu erreichen. Zusätzlich bieten verschiedene DNS-Server-Produkte unterschiedliche Leistungsumfänge und unterschiedlichen Bedienkomfort. Bei der Beschaffung sollte auf folgende Aspekte geachtet werden.

  • Das DNS-Server-Produkt sollte sich in der Praxis bereits bewährt haben.
  • Falls für ein bestimmtes Produkt genügend geschultes Personal vorhanden ist und alle Anforderungen bezüglich der Funktionalität erfüllt sind, sollte dieses DNS-Server-Produkt verwendet werden.
  • Es gibt DNS-Server-Produkte deren Implementierung von den Standards zu DNS ( RFC 1034, 1035 etc.) abweicht. Ist insbesondere die Verwendung verschiedener DNS-Server-Produkte geplant, um Softwaremonokulturen zu vermeiden, sollte dies nur nach einer Kompatibilitätsprüfung gemacht werden.
  • Für den Fall das DNSSEC eingesetzt wird, muss darauf geachtet werden, dass diese Technik vom DNS-Server-Produkt unterstützt wird.

Syntaxprüfung der Zoneninformationen

DNS-Server-Produkte unterstützen den Administrator unterschiedlich stark bei der Erstellung syntaktisch korrekter Zonendateien. Bei der Beschaffung des DNS-Server-Produktes sollte festgelegt werden, wie die Prüfung der Master Files durchzuführen ist. Werden die Master Files händisch editiert, kann eine toolgestützte Prüfung der Syntax der Zoneninformationen hilfreich sein. Dazu kann beispielsweise im Falle eines BIND DNS-Servers das Tool named-checkzone verwendet werden. Wird ein grafisches Frontend zum Editieren der Zoneninformationen benutzt, muss beispielsweise durch ein 4-Augen-Prinzip sicher gestellt werden, dass die eingegebenen Informationen in syntaktisch korrekte Zoneninformationen umgesetzt werden.

Prüffragen:

  • Ist für das ausgewählte DNS -Server-Produkt genügend geschultes Personal vorhanden?

  • Inwieweit unterstützt das DNS -Server-Produkt den Administrator bei der Erstellung syntaktisch korrekter Master Files?

Stand: 13. EL Stand 2013