Sicherheit für DNS Server

Vorwort
DNS ist der TCP/IP-Namensaufläsungsdienst, der im Internet verwendet wird. Der DNS-Dienst ermöglicht es
Clients in Ihrem Netzwerk, benutzerfreundliche DNS-Namen zu registrieren und aufzulösen. Ferner erlaubt
DNS es Netzwerkdiensten, IP-Adressen in Hostnamen aufzulösen, eine gängige aber unzuverlässige Meth-
ode zur Filterung von Anforderungen. Die meisten Netzwerkanwendungen sind auf DNS angewiesen, wes-
wegen ein erfolgreicher Angriff gegen DNS schwerwiegende Konsequenzen nach sich zieht.

 


Konfigurieren der Rolle DNS-Server
Sie können DNS installieren, indem Sie im Dialogfeld Software auf Windows-Komponenten hinzufügen/ent-
fernen, dann auf Netzwerkdienste und dann auf die Schaltfälche Details klicken und DNS (Domain Name Sys-
tem) wählen. Eine weitere Möglichkeit DNS zu installieren und zu konfigurieren besteht in der Möglichkeit über
das Fenster Serververwaltung. Gehen Sie hierzu wie folgt vor:

  1. Klicken Sie auf Start, Programme, Verwaltung und dann auf Serververwaltung
  2. Klicken Sie auf Funktion hinzufügen oder entfernen. Das Fenster Serverkonfigurations-Assistent wird an-
    gezeigt.
  3. Klicken Sie auf Weiter, dann auf DNS-Server und wiederum auf Weiter. Folgen Sie den Anweisungen, um
    die neue Rolle zu konfigurieren

 


Sichern von DNS-Servern
Ist eine DNS-Zone nicht im Active Directory gespeichert, dann müssen Sie die DNS-Zonendatei schützen, indem
Sie die Berechtigungen für diese Datei oder den Ordner ändern, in dem die Zonendateien gespeichert sind. Die
Berechtigungen für die Zonendatei oder den Zonenordner sollten so konfiguriert werden, dass sie nur der Gruppe
"System" Vollzugriff gewähren. Standardmäßig sind die Zonendateien im Ordner %SystemRoot%\System32\Dns
gespeichert. Auch die DNS-Registrierungsschlüssel sollten Sie schützen. Diese Schlüssel finden Sie in der Regi-
strierung unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS.

Auf DNS-Servern, die DNS-Clients nciht direkt antworten und auf denen keine Weiterleitungen konfiguriert sind,
sollen Sie die Rekursion deaktivieren. Ein DNS-Server benötigt die Rekursion nur, wenn er auf rekursive Anforder-
ungen von DNS-Clients antworten muss oder wenn eine Weiterleitung konfiguriert ist. Zur Kommunikation mit
anderen DNS-Servern verwendet ein DNS-Server iterative Anforderungen. Deaktivieren Sie die Rekursion nie-
mals ungeachtet, es könnte schwerwiegende Folgen auf den Namensauflösungsprozess nach sich ziehen.
Gehen Sie wie folgt vor, um die Rekursion zu deaktivieren sofern nötig:

  1. Öffen Sie die Konsole DNS.
  2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf den betreffenden DNS-Server und dann
    auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte Erweitert.
  4. Aktivieren SIe unter Serveroptionen das Kontrollkästchen Rekursionsvorgang (und Forwarder) deaktivieren
     und klicken Sie dann auf OK.

Wenn Ihr DNS-Server keine Internetnamen für Clients auflösen soll, konfigurieren Sie die Stammhinweise so, dass
diese nur auf DNS-Server verweisen, die Ihre Stammdomäne zur Verfügung stellen. Standardmäßig enthalten die
Stammhinweise eine Liste der Internet-DNS-Server, um die Auflösung beliebiger öffentlicher Domänennamen zu
ermöglichen. Gehen Sie wie folgt vor, um die Stammhinweise auf dem DNS-Server zu ändern:

  1. Öffnen Sie die Konsole DNS.
  2. Klicken Sie im Menü Aktion auf Eigenschaften.
  3. Klicken SIe auf die Registerkarte Stammhinweise.
  4. Ändern Sie die Serverstammhinweise wie folgt:
    Um einen Stammserver der Liste hinzuzufügen, klicken Sie auf Hinzufügen und geben dann den Namen
    und die IP-Adresse des hinzuzufügenden Servers an.

    Um einen Stammserver in der Liste zu ändern, klicken SIe auf Bearbeiten und geben dann den Namen und
    die IP-Adresse des zu bearbeitenden Servers an.

    Um einen Stammserver aus der Liste zu entfernen, wählen SIe ihn aus und klicken dann auf Entfernen.

    Um Stammhinweise von DNS Servern zu kopieren, klicken SIe auf Vom Server kopierend und geben dann
    die IP-Adresse des DNS-Servers an, von dem Sie eine Liste der Stammserver zur Auflösung von Anforder-
    ungen kopieren wollen. Die vorhandenen Stammhinweise werden nciht von den kopierten Stammhinweisen
    überschieben.

 


Sicherheitstechnische Überlegungen zu Active Directory integriertem DNS
Der Schutz von DNS-Servern ist in allen Active Directory-Umgebungen wesentlich, denn Clients verwenden
DNS zum Auffinden ihrer Active Directory Server. Wird ein DNS-Server angegriffen, dann besteht ein möglich-
es Ziel des Angreifers darin, die DNS-Informationen zu steuern, die als Antwort auf DNS-Anforderungen an die
Clients zurückgeschickt werden. Auf diese Weise lassen sich Clients auf Computer umleiten, die vom Angrei-
fer kontrolliert werden. Cache-Poisoning ist ein Beispiel für diese Angriffsform. Darunter versteht man das
Einfügen von Falschinformationen in den Cache eines DNS-Servers durch den Angreifer. Dies führt dazu, dass
ein rechtmäßiger DNS-Server falsche Ergebnisse zurückgibt und Clients so auf unautorisierte Computer um-
leitet.

Der DNS-Clientdienst von Windows Server 2003 unterstützt dynamische DNS-Updates, d.h. Clientsysteme
können DNS-Einträge direkt in die Datenbank schreiben. DDNS-Server (Dynamic DNS) können bösartige
oder unautorisierte Updates von einem ANgreifer erhalten, wenn dieser einen Client verwendet, der das DDNS
Protokoll unterstützt, und der Server für die Annahme unsicherer Updates konfiguriert ist. Auf diese Weise kann
der Angreifer zumindest gefälschte Einträge in die DNS-DAtenbank einbringen. Schlimmstenfalls kan ner aber
sogar rechtmäßige Einträge in der Datenbank überschreiben oder löschen. Die Verwendung sicherer DDNS-
Updates gewährleistet, dass Registrierungsanforderungen nur dann verarbeitet werden, wenn sie von gültigen
Clients in einer Active Directory Gesamtstruktur gesendet wurden. Auf diese eise wird die Möglichkeit eines
Angreifers, die Integrität eines DNS-Servers zu beeinträchtigen, erheblich eingeschränkt.

DNS-Server bieten eine Methode Namens Zonentransfer, um Informationen z ueiner DNS-Zone zwischen
Servern zu replizieren. Ein DNS-Server, der die Adressaten von Zonenübertragungen nciht beschränkt, über-
mittelt die gesamte DNS-Zone an jeden, der sie anfordert. Leider kann auf diese Weise der DNS-Datensatz
der gesamten Domäne verfügbar gemacht werden, darunter auch Angaben dazu, welche Hosts als Domänen-
controller, Webserver und Datenbanken dienen. Tragen Sie aus diesem Grund immer in den Eigenschaften
des DNS-Servers Replikationspartner ein, somit kann dieses Szenario niemals auftreten.

 


Überlegungen zur Protokollierung
Der DNs-Dienst erzeugt Protokolldaten, die zur Feststellung hilfreich sind, ob ein Angriff stattgefunden hat und
wie dieser durchgeführt wurde. Die DNS-Protokollierung ist standardmäßig aktiviert und kann auf der Register-
karte Ereignisprotokollierung im Dialogfeld Eigenschaften des DNS-Servers geändert werden. Um die DNS-
Serverprotokolle anzuzeigen, öffnen Sie die Konsole DNS, erweitern die Ereignisanzeige und klicken auf DNS-
Ereignisse. Die DNS-Ereignisse erscheinen nun im rechten Fensterberech. Alternativ können Sie die DNS-
Ereignisse auch direkt mithilfe der normalen Ereignisanzeige betrachten.

 


Schützen von DNS-Servern mit Firewalls
Aus dem bisher in diesem Abschnitt Gesagten, soltle klar hervorgegangen sein, dass sich eine Menge Schaden
in einer Organisation anrichten lässt, wenn man den DNS-Server erfolgreich angegriffen hat. Um dieses Risiko
zu verringern, sollten Sie den Zugriff auf Ihren DNS-Server auf diejenigen Clients beschränken, die DNS-Anfor-
derungen stellen müssen. Sie können mithilfe eines Paketfilters den gesamten Datenverkehr von DNS-Clients
mit Ausnahme derjenigen Pakete sperren, die über den UDP- oder TCP- Anschluss 53 gesendet wurden. Wenn
Sie DNS-Anforderungen aus dem Internet annehmen lassen wollen, müssen SIe die Anforderung über diesen
Anschluss von allen ADressen aus zulassen. Den gesamten anderen Verkehr, der aus dem Internet an Ihre
DNS-SErver gerichtet wird, sollten Sie jedoch über eine Paketfilterung abweisen.

 

Erstellt von: Haßlinger Stefan
Im: Jahr 2006