Bundesamt für Sicherheit in der Informationstechnik

M 4.354 Überwachung eines DNS-Servers

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Um die Sicherheit eines DNS -Servers auch im Betrieb aufrecht zu erhalten, reicht es nicht aus, sich alleine auf eine sorgfältige Planung und Anfangskonfiguration zu verlassen. Es müssen eine Reihe von Maßnahmen durchgeführt werden, um eventuelle Probleme und sicherheitskritische Lücken aufzudecken.

Die Kapazitätsanforderungen müssen bereits in der Planung festgelegt werden. Aufgrund der Tatsache, dass die Kapazitätsanforderungen von der

  • Größe der Zone(n),
  • Anzahl der Anfragen,
  • Anzahl der rekursiven Anfragen,
  • Anzahl der Zonentransfers,
  • Anzahl der dynamischen Updates, etc.

abhängen, ist es schwierig die benötigten Kapazitäten zu planen. Daher muss ein DNS-Server regelmäßig bezüglich der Auslastung überwacht werden, um gegebenenfalls die Leistungskapazität der Hardware anzupassen. Des Weiteren kann eine erhöhte Auslastung ein Indikator für einen laufenden Angriff sein.

Änderungen an der Konfiguration müssen sorgfältig dokumentiert werden, sodass zu jeder Zeit nachvollziehbar ist, wer etwas geändert hat und aus welchem Grund. Für die Änderungen an den Konfigurationsdateien kann ein Revisionskontrollprogramm eingesetzt werden, um die Dokumentation zu erleichtern und um zu früheren Konfigurationseinstellungen zurückkehren zu können (siehe M 2.25 Dokumentation der Systemkonfiguration ).

Des Weiteren müssen die Zugriffsberechtigungen des DNS-Servers im Dateisystem regelmäßig überprüft werden. Insbesondere sollte dies nach Software-Updates oder Konfigurationsänderungen geschehen.

Die Administratoren müssen sich über aktuelle Sicherheitslücken in der eingesetzten Software frühzeitig informieren (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems ).

Die Logdateien des DNS-Servers sowie des unterliegenden Betriebssystems sollten regelmäßig überprüft und ausgewertet werden. Unregelmäßigkeiten in den Logdateien, die Hinweise auf mögliche Probleme sein können, sind beispielsweise:

  • Eine Häufung von Anfragen von bestimmten Quellen
  • Eine Häufung von (fehlgeschlagenen) Zonentransfers
  • Eine Häufung von Anfragen bezüglicher bestimmter Domain-Namen
  • Eine Häufung von Anfragen bezüglich Domain-Namen, die nicht existieren
  • Eine Häufung von unerlaubten rekursiven Anfragen

Unregelmäßigkeiten müssen aber nicht unbedingt Hinweise auf eine Kompromittierung des Servers sein. Oft treten Unregelmäßigkeiten aufgrund fehlerhafter Einstellungen auf.

Zu einem sicheren Betrieb gehören weitere regelmäßig durchzuführende Maßnahmen der Notfallvorsorge (siehe auch M 6.139 Erstellen eines Notfallplans für DNS-Server ).

Prüffragen:

  • Wird die Auslastung der DNS -Server regelmäßig überprüft?

  • Werden Konfigurationsänderungen des DNS -Servers (automatisch) dokumentiert?

  • Werden die Zugriffsberechtigungen des DNS -Servers regelmäßig überprüft?

  • Sind die Administratoren über aktuelle Sicherheitslücken bezüglich der DNS -Server Software informiert?

  • Werden die Protokolldateien des DNS -Servers regelmäßig ausgewertet?

Stand: 12. EL Stand 2011