Bundesamt für Sicherheit in der Informationstechnik

M 4.352 Absicherung von dynamischen DNS-Updates

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Um dynamische Updates sicher nutzen zu können, muss gewährleistet sein, dass nur legitimierte IT -Systeme Änderungen an Domain-Informationen vornehmen können. Des Weiteren muss festgelegt werden, welche Domain-Informationen die einzelnen IT-Systeme ändern dürfen. Um sicherzustellen, dass Domain-Informationen nicht von unautorisierten IT-Systemen mit Hilfe von dynamischen Updates manipuliert werden, stehen zwei Möglichkeiten zur Verfügung:

  • Beschränkung der berechtigten Hosts durch IP-Adressen
  • Beschränkung der berechtigten Hosts mit Hilfe von TSIG

Bei der Beschränkung mittels IP -Adresse wird über die IP-Adresse die Quelle des dynamischen Updates identifiziert. Bei TSIG wird symmetrische Verschlüsselung benutzt, um die Quelle des dynamischen Updates zu identifizieren, siehe hierzu M 4.351 Absicherung von Zonentransfers .

Neben der Anfälligkeit für IP-Spoofing gibt es bei der Verwendung von IP-Adressen ein weiteres Problem. Secondary DNS-Server können als Forwarder für dynamische Updates eingerichtet und der Primary DNS-Server so konfiguriert werden, dass er nur Updates von den Secondary DNS-Servern akzeptiert. Weil nur auf den Secondary DNS-Servern konfiguriert wird, von welchen IT-Systemen Updates akzeptieren werden, bleibt es dem Primary DNS-Server verborgen, woher die Updates stammen. Somit ist es nicht möglich, aufgrund der originalen Quelle einzuschränken, welche Hosts dynamische DNS-Updates vornehmen dürfen.

Neben der Identifikation der Quelle muss konfiguriert werden, welche Domain-Informationen verändert werden dürfen. Die Regeln sollten so konfiguriert werden , dass ein reibungsloser Einsatz von dynamischen Updates möglich ist. Ein DHCP -Server benötigt beispielsweise die Berechtigung, die Zuordnung von Domainnamen und IP-Adressen zu ändern, jedoch besteht kein Grund einem DHCP-Server zu erlauben, den zuständigen DNS-Server für eine Zone zu ändern.

Prüffragen:

  • Wurden dynamische DNS -Updates auf berechtige Hosts eingeschränkt?

  • Wurde festgelegt, welche Domain-Informationen die berechtigten Hosts im Einzelnen ändern dürfen?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK