Bundesamt für Sicherheit in der Informationstechnik

M 4.96 Abschaltung von DNS

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Ein Internet-Server braucht normalerweise kein DNS (Domain Name System), um Informationen zur Verfügung zu stellen, es sei denn, über ihn wird die E-Mail versandt, wovon aber abzuraten ist (siehe dazu auch M 4.97 Ein Dienst pro Server ). So wird bei den meisten Webservern DNS nur dazu verwendet, in den jeweiligen Protokolldateien Rechnernamen statt IP -Adressen einzutragen. Diese Umwandlung von IP-Adressen zu Rechnernamen könnte auch später bei der Analyse der Protokolldateien durchgeführt werden. Zwar ist dann der Umgang mit den Protokolldateien etwas umständlicher, aber die Vertrauenswürdigkeit der Protokolldaten steigt. Die Zuordnung zwischen einer IP-Adresse und einem Rechnernamen ist nämlich weder eindeutig noch statisch. Ein Verzicht auf DNS gibt zusätzlich Schutz vor DNS-Spoofing (siehe M 5.59 Schutz vor DNS-Spoofing bei Authentisierungsmechanismen ) und erhöht häufig die Performance des Internet-Servers.

Folgendes Szenario zeigt mögliche negative Auswirkungen:

Ein Angreifer verfügt über eine eigene Domain mit einem Test- PC . Dieser Test-PC ist gleichzeitig auch DNS-Server für diese Domain. Mit dem Test-PC baut er eine Verbindung zu einem Internet-Server auf. Der Internet-Server kennt am Anfang der Verbindungsanfrage nur die IP-Adresse des Test-PCs und versucht, sich über DNS den Rechnernamen des Test-PCs zu verschaffen. Zu diesem Zweck muss das Betriebssystem eine Verbindung mit einem DNS-Server aufnehmen, der sich wiederum die Daten von dem Test-PC holen muss, da dieser der DNS-Server der Angreifer-Domain ist. Anstatt nun dem DNS-Server des Internet-Servers zu antworten, kann der Angreifer nun auch direkt eine beliebige Antwort zum Internet-Server selber schicken (unter Verwendung von IP-Spoofing, siehe G 5.78 DNS-Spoofing ). Auf diese Weise kann der Angreifer nicht nur Daten zu dem eigentlichen DNS-Server schicken, sondern auch direkt zum Internet-Server. Eventuelle Fehler in dessen Betriebssystem könnten so ausgenutzt werden.

Hinweis: Soll beispielsweise der Zugriff auf einen Webserver nur einer bestimmten Domain erlaubt sein, z. B. nur *.de, so kann allerdings nicht auf DNS verzichtet werden. Jedoch ist ein solcher Zugriffsschutz sehr schwach und daher nicht empfehlenswert.

Prüffragen:

  • Wurde der Möglichkeit der DNS Abschaltung untersucht?

Stand: 13. EL Stand 2013