Bundesamt für Sicherheit in der Informationstechnik

M 4.352 Absicherung von dynamischen DNS-Updates

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Um dynamische Updates sicher nutzen zu können, muss gewährleistet sein, dass nur legitimierte IT -Systeme Änderungen an Domain-Informationen vornehmen können. Des Weiteren muss festgelegt werden, welche Domain-Informationen die einzelnen IT-Systeme ändern dürfen. Um sicherzustellen, dass Domain-Informationen nicht von unautorisierten IT-Systemen mit Hilfe von dynamischen Updates manipuliert werden, stehen zwei Möglichkeiten zur Verfügung:

  • Beschränkung der berechtigten Hosts durch IP-Adressen
  • Beschränkung der berechtigten Hosts mit Hilfe von TSIG

Bei der Beschränkung mittels IP -Adresse wird über die IP-Adresse die Quelle des dynamischen Updates identifiziert. Bei TSIG wird symmetrische Verschlüsselung benutzt, um die Quelle des dynamischen Updates zu identifizieren, siehe hierzu M 4.351 Absicherung von Zonentransfers .

Neben der Anfälligkeit für IP-Spoofing gibt es bei der Verwendung von IP-Adressen ein weiteres Problem. Secondary DNS-Server können als Forwarder für dynamische Updates eingerichtet und der Primary DNS-Server so konfiguriert werden, dass er nur Updates von den Secondary DNS-Servern akzeptiert. Weil nur auf den Secondary DNS-Servern konfiguriert wird, von welchen IT-Systemen Updates akzeptieren werden, bleibt es dem Primary DNS-Server verborgen, woher die Updates stammen. Somit ist es nicht möglich, aufgrund der originalen Quelle einzuschränken, welche Hosts dynamische DNS-Updates vornehmen dürfen.

Neben der Identifikation der Quelle muss konfiguriert werden, welche Domain-Informationen verändert werden dürfen. Die Regeln sollten so konfiguriert werden , dass ein reibungsloser Einsatz von dynamischen Updates möglich ist. Ein DHCP -Server benötigt beispielsweise die Berechtigung, die Zuordnung von Domainnamen und IP-Adressen zu ändern, jedoch besteht kein Grund einem DHCP-Server zu erlauben, den zuständigen DNS-Server für eine Zone zu ändern.

Prüffragen:

  • Wurden dynamische DNS -Updates auf berechtige Hosts eingeschränkt?

  • Wurde festgelegt, welche Domain-Informationen die berechtigten Hosts im Einzelnen ändern dürfen?

Stand: 12. EL Stand 2011