Bundesamt für Sicherheit in der Informationstechnik

M 4.351 Absicherung von Zonentransfers

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Ein Zonentransfer synchronisiert die Domain-Informationen zwischen einem Primary DNS -Server und einem oder mehreren Secondary DNS-Servern. Der Primary DNS-Server liest die Domain-Informationen aus den Master Files aus und über Zonentransfers gelangen diese auf den oder die Secondary DNS-Server. Bei einem Zonentransfer sollten zwei Sicherheitsaspekte beachtet werden:

  • Es muss sicher gestellt werden, dass der Zonentransfer zwischen dem Primary und dem Secondary DNS-Server auch wirklich funktioniert, und
  • Es dürfen keine unerlaubten Zonentransfers möglich sein.

Um die Funktionsfähigkeit eines Zonentransfers zu gewährleisten, sollte nach jeder Änderung an den Einstellungen für den Zonentransfer die einwandfreie Funktionalität überprüft werden. Dazu kann beispielsweise ein Zonentransfer durchgeführt werden. Danach wird in den Logdateien überprüft, ob Fehler aufgetreten sind. Bei nicht allzu umfangreichen Zonen besteht die Möglichkeit, die vom Primary DNS-Server verwalteten Domain-Informationen händisch mit denen des Secondary DNS-Servers zu vergleichen.

Um zu verhindern, dass unberechtigte Personen einen Zonentransfer starten und somit die gesamten Domain-Informationen einer Zone erhalten, müssen Zonentransfers so konfiguriert werden, dass diese nur zwischen Primary und Secondary DNS-Servern möglich sind. Dies muss zumindest über die Beschränkung auf die IP -Adressen der DNS-Server erfolgen, noch sicherer ist es Transaction Signatures (TSIG) zu verwenden. Die Einschränkungen über IP-Adressen sehen wie folgt aus: Am Primary DNS-Server muss für jede Zone konfiguriert werden, welches die dazu gehörenden Secondary DNS-Server sind. Dies erfolgt über die Angabe von einer oder mehreren IP-Adresse(n). Auf dem oder den Secondary DNS-Server(n) für eine Zone muss konfiguriert werden, welcher der dafür zuständige Primary DNS-Server ist.

Die Absicherung von Zonentransfers über TSIG bietet ein höheres Sicherheitsniveau. Bei TSIG werden auf dem Primary DNS-Server und dem oder den Secondary DNS-Server(n) symmetrische Schlüssel definiert. Wird ein Zonentransfer gestartet, erzeugt TSIG aus den Binärdaten der Anfrage mithilfe des symmetrischen Schlüssels und einer Hashfunktion einen Hash Message Authentication Code (HMAC). Der HMAC wird der Anfrage beigefügt. Der Secondary DNS-Server, der den Schlüssel ebenfalls kennt, berechnet den HMAC eigenständig. Stimmen erhaltener und berechneter HMAC überein, wird der Zonentransfer durchgeführt, ansonsten wird dieser abgelehnt. Diese Methode schützt im Gegensatz zur IP-Adressen-basierten Absicherung auch gegen IP-Spoofing. Bei TSIG ist jedoch zu beachten, dass nicht jedes DNS-Server-Produkt diese Funktionalität zur Verfügung stellt oder möglicherweise vom Standard abweichend implementiert hat.

Prüffragen:

  • Sind DNS -Zonentransfers funktionstüchtig?

  • Sind DNS -Zonentransfers nur zwischen dem Primary und dem oder den Secondary DNS -Server(n) einer Zone erlaubt?

Stand: 12. EL Stand 2011