Bundesamt für Sicherheit in der Informationstechnik

M 5.59 Schutz vor DNS-Spoofing bei Authentisierungsmechanismen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Gefahr durch DNS -Spoofing bei der Authentisierung besteht dann, wenn diese anhand eines Rechnernamens durchgeführt wird. Das sollte durch eine der folgenden Konfigurationen (auch in Kombination) erschwert werden:

1. Es sollten IP -Adressen, keine Hostnamen verwendet werden.

2. Wenn Hostnamen verwendet werden, sollten alle Namen über Einträge in der Datei /etc/hosts lokal aufgelöst werden.

3. Wenn Hostnamen verwendet werden und diese nicht lokal aufgelöst werden können, sollten alle Namen direkt von einem DNS-Server aufgelöst werden, der für diese Namen der so genannte Primary oder Secondary DNS-Server ist, das heißt, er hat sie nicht in einem temporären Cache, sondern dauerhaft abgespeichert.

Punkt 1 bietet die höchste, Punkt 3 die niedrigste Sicherheit. Das Ziel obiger Konfigurationen ist es, die Zuordnung zwischen IP-Adressen und Rechnernamen vor Manipulationen zu schützen. Auf keinen Fall sollte eine hostbasierte Authentisierung über einen Hostnamen gewährt werden, wenn die Namensauflösung nicht direkt ausgeführt werden kann, also ein Cache zwischengeschaltet ist.

Prüffragen:

  • Wird bei hostbasierten Authentisierungsmechanismen auf die Verwendung von Hostnamen verzichtet?

Stand: 13. EL Stand 2013