DNS (Domain Name System) wurde ursprünglich als offenes Protokoll entwickelt. Aus diesem Grund ist es nicht vor Angriffen sicher. Unter Windows Server 2008 bietet DNS durch neue Sicherheitsfeatures einen besseren Schutz für Ihre DNS-Infrastruktur. Bevor Sie überlegen, welche der Sicherheitsfeatures Sie verwenden möchten, sollten Sie sich über die üblichen Bedrohungen für die DNS-Sicherheit und die DNS-Sicherheitsstufe in Ihrem Unternehmen im Klaren sein.

DNS-Sicherheitsbedrohungen

Nachfolgend finden Sie einige typische Beispiele dafür, wie Ihre DNS-Infrastruktur von Angreifern bedroht werden kann:

  • Footprinting: Der Prozess, durch den DNS-Zonendaten von einem Angreifer abgerufen werden, um die DNS-Domänennamen, Computernamen und IP-Adressen für vertraulichen Netzwerkressourcen in Erfahrung zu bringen. Ein Angreifer beginnt seinen Angriff meist mit der Verwendung dieser DNS-Daten zur schematischen Darstellung eines Netzwerks, der Erstellung eines so genannten "Fußabdrucks" (engl. "footprint"). DNS-Domänen- und Computernamen geben in der Regel einen Hinweis auf die Funktion oder den Standort einer Domäne oder eines Computers, damit die Benutzer die Domänen und Computer leichter erkennen und sie sich besser merken können. Ein Angreifer nutzt dieses DNS-Prinzip, um die Funktion oder den Standort von Domänen und Computern im Netzwerk in Erfahrung zu bringen.

  • Dienstverweigerungsangriff: Ein Versuch eines Angreifers, die Verfügbarkeit von Netzwerkdiensten durch Überflutung eines oder mehrerer DNS-Server im Netzwerk mit rekursiven Abfragen zu beeinträchtigen. Wenn ein DNS-Server mit Abfragen überflutet wird, erreicht die CPU-Auslastung auf dem Server schließlich ihre maximale Grenze, und der DNS-Serverdienst ist nicht mehr verfügbar. Ohne einen voll funktionsfähigen DNS-Server im Netzwerk stehen Netzwerkdienste, die DNS verwenden, den Netzwerkbenutzern nicht mehr zur Verfügung.

  • Datenänderung: Ein Versuch eines Angreifers (der ein DNS-Netzwerk mittels Footprinting untersucht hat), gültige IP-Adressen in selbst erstellten IP-Paketen zu verwenden. Dadurch scheint es, als ob diese Pakete von einer gültigen IP-Adresse im Netzwerk stammen würden. Dies wird im Allgemeinen als IP-Spoofing (IP-Manipulation) bezeichnet. Mithilfe einer gültigen IP-Adresse (einer IP-Adresse innerhalb des IP-Adressbereichs eines Subnetzes) kann der Angreifer Zugriff auf das Netzwerk erhalten und Daten zerstören oder andere Angriffe ausführen.

  • Umleitung: Ein Angreifer leitet Abfragen für DNS-Namen an Server um, die sich unter seiner Kontrolle befinden. Eine Umleitungsmethode besteht im Versuch, den DNS-Cache eines DNS-Servers mit falschen DNS-Daten zu verunreinigen, die künftige Abfragen an Server weiterleiten, die sich unter der Kontrolle des Angreifers befinden. Wenn beispielsweise eine Abfrage ursprünglich an widgets.tailspintoys.com gerichtet wird und eine Verweisantwort einen Eintrag für einen Namen außerhalb der Domäne tailspintoys.com bereitstellt, z. B. malicious-user.com, verwendet der DNS-Server die zwischengespeicherten Daten für malicious-user.com, um eine Abfrage für diesen Namen aufzulösen. Angreifer können immer dann eine Umleitung vornehmen, wenn sie über Schreibzugriff für DNS-Daten verfügen, beispielsweise wenn dynamische Updates nicht sicher sind.

Verringerung der DNS-Sicherheitsbedrohungen

DNS kann so konfiguriert werden, dass diese häufig auftretenden DNS-Sicherheitsprobleme verringert werden. In der folgenden Tabelle sind die fünf Hauptbereiche aufgeführt, auf die Sie Ihre DNS-Sicherheitsanstrengungen konzentrieren sollten.

DNS-Sicherheitsbereich Beschreibung

DNS-Namespace

Bauen Sie die DNS-Sicherheit in Ihren DNS-Namespaceentwurf mit ein. Weitere Informationen finden Sie unter Sichern der DNS-Bereitstellung.

DNS-Serverdienst

Überprüfen Sie die Standardsicherheitseinstellungen für den DNS-Serverdienst, und wenden Sie die Active Directory-Sicherheitsfeatures an, wenn der DNS-Serverdienst auf einem Domänencontroller ausgeführt wird. Weitere Informationen finden Sie unter Sichern des DNS-Serverdiensts.

DNS-Zonen

Überprüfen Sie die Sicherheitseinstellungen für DNS-Zonen, und wenden Sie sichere dynamische Updates und die Active Directory-Sicherheitsfeatures an, wenn ein Domänencontroller als Host für die DNS-Zone dient. Weitere Informationen finden Sie unter Sichern von DNS-Zonen.

DNS-Ressourceneinträge

Überprüfen Sie die Sicherheitseinstellungen für DNS-Ressourceneinträge, und wenden Sie die Active Directory-Sicherheitsfeatures an, wenn ein Domänencontroller als Host für die DNS-Ressourceneinträge dient. Weitere Informationen finden Sie unter Sichern von DNS-Ressourceneinträgen.

DNS-Clients

Überwachen Sie die DNS-Server-IP-Adressen, die von den DNS-Clients verwendet werden. Weitere Informationen finden Sie unter Sichern von DNS-Clients.

Drei Stufen der DNS-Sicherheit

In den folgenden Abschnitten werden die drei Stufen der DNS-Sicherheit beschrieben.

Unterste Sicherheitsstufe

Die unterste Sicherheitsstufe ist eine standardmäßige DNS-Bereitstellung ohne Konfiguration von Sicherheitsvorkehrungen. Verwenden Sie diese DNS-Sicherheitsstufe nur in Netzwerkumgebungen, in denen die Integrität Ihrer DNS-Daten nicht gefährdet ist, oder in einem privaten Netzwerk ohne Bedrohungen durch externe Konnektivität. Merkmale der untersten DNS-Sicherheitsstufe:

  • Die DNS-Infrastruktur des Unternehmens ist vollständig mit dem Internet verbunden.

  • Die standardmäßige DNS-Auflösung wird von allen DNS-Servern im Netzwerk durchgeführt.

  • Auf allen DNS-Servern sind Stammhinweise konfiguriert, die auf die Stammserver für das Internet verweisen.

  • Alle DNS-Server lassen Zonenübertragungen an jeden Server zu.

  • Alle DNS-Server sind für die Überwachung all ihrer IP-Adressen konfiguriert.

  • Der Cache-Verunreinigungsschutz ist auf allen DNS-Servern deaktiviert.

  • Dynamische Updates sind für alle DNS-Zonen zulässig.

  • Der UDP- und TCP/IP-Port 53 ist auf der Firewall im Netzwerk für Quell- und Zieladressen geöffnet.

Mittlere Sicherheitsstufe

Die mittlere Sicherheitsstufe verwendet die DNS-Sicherheitsfeatures, die ohne Ausführung von DNS-Servern auf Domänencontrollern und Speicherung von DNS-Zonen in den Active Directory-Domänendiensten (AD DS) verfügbar sind. Merkmale der mittleren DNS-Sicherheitsstufe:

  • Die DNS-Infrastruktur des Unternehmens ist dem Internet nur eingeschränkt ausgesetzt.

  • Alle DNS-Server sind für die Verwendung von Weiterleitungen konfiguriert, die auf eine bestimmte Liste interner DNS-Server verweisen, wenn sie Namen nicht lokal auflösen können.

  • Alle DNS-Server beschränken Zonenübertragungen auf Server, die in den Namenserver-Ressourceneinträgen (NS) ihrer Zonen aufgeführt sind.

  • Die DNS-Server sind für die Überwachung bestimmter IP-Adressen konfiguriert.

  • Der Cache-Verunreinigungsschutz ist auf allen DNS-Servern aktiviert.

  • Unsichere dynamische Updates sind für keine DNS-Zonen zulässig.

  • Interne DNS-Server kommunizieren mit externen DNS-Servern über die Firewall mithilfe einer beschränkten Liste zulässiger Quell- und Zieladressen.

  • Auf externen DNS-Servern vor einer Firewall sind Stammhinweise konfiguriert, die auf die Stammserver für das Internet verweisen.

  • Die gesamte Internetnamensauflösung erfolgt mithilfe von Proxyservern und Gateways.

Höchste Sicherheitsstufe

Die höchste Sicherheitsstufe verwendet dieselbe Konfiguration wie die mittlere Sicherheitsstufe. Außerdem verwendet sie die Sicherheitsfeatures, die verfügbar sind, wenn der DNS-Serverdienst auf einem Domänencontroller ausgeführt wird und DNS-Zonen in AD DS gespeichert werden. Darüber hinaus verhindert die höchste Sicherheitsstufe die DNS-Kommunikation mit dem Internet. Dies ist keine typische Konfiguration, sie wird jedoch empfohlen, wenn keine Internetkonnektivität erforderlich ist. Merkmale der höchsten DNS-Sicherheitsstufe:

  • In der DNS-Infrastruktur des Unternehmens erfolgt keine Internetkommunikation über interne DNS-Server.

  • Das Netzwerk verwendet einen internen DNS-Stamm und -Namespace, in dem die gesamte Autorität für die DNS-Zonen intern ist.

  • DNS-Server, für die Weiterleitungen konfiguriert sind, verwenden ausschließlich interne DNS-Server-IP-Adressen.

  • Alle DNS-Server beschränken Zonenübertragungen auf bestimmte IP-Adressen.

  • Die DNS-Server sind für die Überwachung bestimmter IP-Adressen konfiguriert.

  • Der Cache-Verunreinigungsschutz ist auf allen DNS-Servern aktiviert.

  • Auf internen DNS-Servern sind Stammhinweise konfiguriert, die auf interne DNS-Server verweisen, die als Host für die Stammzone des internen Namespace dienen.

  • Alle DNS-Server werden auf Domänencontrollern ausgeführt. Für den DNS-Serverdienst ist eine freigegebene Zugriffssteuerungsliste (Discretionary Access Control List, DACL) konfiguriert, die nur bestimmten Benutzern die Durchführung von Verwaltungsaufgaben auf dem DNS-Server gestattet.

  • Alle DNS-Zonen sind in AD DS gespeichert. Eine DACL ist so konfiguriert, dass nur bestimmte Benutzer DNS-Zonen erstellen, löschen oder ändern können.

  • Für DNS-Ressourceneinträge sind DACLs konfiguriert, dass nur bestimmte Benutzer DNS-Daten erstellen, löschen oder ändern können.

  • Für die DNS-Zonen sind sichere dynamische Updates konfiguriert. Davon ausgenommen sind jedoch die obersten Zonen und die Stammzonen, für die keine dynamischen Updates zulässig sind.


Inhaltsverzeichnis