Bundesamt für Sicherheit in der Informationstechnik

M 4.350 Sichere Grundkonfiguration eines DNS-Servers

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

DNS -Server stellen attraktive Ziele für Angreifer dar. Durch die Manipulation von DNS-Servern können alle Dienste beeinflusst werden, die DNS verwenden. Zum Beispiel können durch die Manipulation von Domain-Informationen Webserver, E-Mail-Server, Remote-Administrationsanwendungen oder Ähnliches beeinflusst werden. Aus diesem Grund ist eine sorgfältige Konfiguration der DNS-Server unerlässlich.

Rechteeinschränkung

Ein DNS-Server-Prozess sollte nur mit den minimal notwendigen Rechten ausgestattet werden, um die potenziellen Auswirkungen im Fall eines erfolgreichen Angriffs auf den Prozess gering zu halten. Falls es technisch möglich ist, sollten für den DNS-Server-Prozess ein eigener Benutzer und eine eigene Gruppe angelegt werden. Der Benutzer erhält nur Rechte auf die benötigten Dateien. Wird der DNS-Server automatisch beim Systemstart mitgestartet, muss der automatisierte Aufruf so gestaltet werden, dass der DNS-Server-Prozess mit dem für ihn vorgesehenen Benutzer und der vorgesehenen Gruppe startet.

DNS-Server-Version

Die Version des verwendeten DNS-Server-Produktes kann einem Angreifer wertvolle Informationen liefern. Unter http://www.isc.org/sw/bind/bind-security.php können beispielsweise alle bisher publizierten Schwachstellen im DNS-Server-Produkt BIND nachgelesen werden. Aus diesem Grund sollte die Versionsnummer verborgen werden, beispielsweise indem sie durch "unknown" ersetzt wird. Diese Maßnahme erhöht zwar nicht direkt das Sicherheitsniveau eines DNS-Servers, erschwert einem Angreifer aber die Informationsbeschaffung.

Anfragen

Eine erhöhte Gefahr durch Cache-Poisoning-Angriffe besteht dann, wenn DNS-Server Anfragen bedingungslos akzeptieren. Daher ist es wichtig einzuschränken, welche Anfragen akzeptiert werden.

Resolving DNS-Server sind für Anfragen von Resolvern aus dem Netz der Institution zuständig, in der Regel handelt es sich dabei um rekursive Anfragen. Das bedeutet, dass Resolving DNS-Server rekursive Anfragen aus dem internen Netz akzeptieren müssen. Anfragen mit Ursprung aus dem Internet sollten nicht akzeptiert werden, da hierfür der Advertising DNS-Server zuständig ist.

Anfragen mit Ursprung aus dem Internet sollten immer iterativ behandelt werden, dadurch liefert der Advertising DNS-Server nur Informationen über seine verwalteten Zonen und kann keine gefälschten Antworten versenden.

Um das Sicherheitsniveau von Resolving DNS-Servern zu erhöhen, sollte ein weiterer Mechanismus eingesetzt werden. Wie bereits erwähnt, müssen Resolving DNS-Server rekursive Anfragen von institutionsinternen IT-Systemen akzeptieren. Resolving DNS-Server werden also zwangsläufig Namen auflösen müssen, für die sie nicht autoritativ sind. Ein Angreifer könnte hier gefälschte Antworten einschleusen. Die Zuordnung von Antworten zu Anfragen erfolgt über:

  • IP -Adresse
  • ID der Anfrage (Zufallszahl)
  • Source Port der Anfrage

Da IP-Adresse und ID zu wenig Schutz bieten, sollten zusätzlich zufällige Source Ports beim Versenden von Anfragen verwendet werden. Aktuell wird auch dazu übergegangen, mehrere IP-Adressen für Resolving DNS-Server zu konfigurieren und diese zu randomisieren.

Zonentransfers

Grund und Ziel von Zonentransfers ist die Synchronisation zwischen dem Primary DNS-Server und dem oder den Secondary DNS-Servern. Der Primary DNS-Server liest die Domain-Informationen aus den Zonendateien aus, über einen Zonentransfer gelangen diese auf den oder die Secondary DNS-Server und werden somit synchron gehalten. Zonentransfers sollten nur zwischen dem Primary DNS-Server und den Secondary DNS-Servern einer Domain möglich sein, siehe dazu M 4.351 Absicherung von Zonentransfers .

Ausschließen bestimmter DNS-Server

Sind DNS-Server bekannt, die falsche Domain-Informationen liefern, muss man seine Resolving DNS-Server daran hindern, Anfragen an diese DNS-Server zu senden.

Werden private IP-Netze wie 10/8, 172.16/12 und 192.168/16 in der Institution nicht genutzt, sollten aus Sicherheitsgründen Anfragen aus diesen Netzen ignoriert werden.

Prüffragen:

  • Sind die Rechte des DNS -Server Prozesses auf das notwendige Minimum beschränkt?

  • Dürfen nur berechtigte Hosts rekursive DNS -Anfragen stellen?

  • Sind Zonentransfers nur zwischen Primary und Secondary DNS -Server möglich?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK