M 5.59 Schutz vor DNS-Spoofing bei Authentisierungsmechanismen
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Gefahr durch DNS -Spoofing bei der Authentisierung besteht dann, wenn diese anhand eines Rechnernamens durchgeführt wird. Sollte durch eine der folgenden Konfigurationen (auch in Kombination) erschwert werden:
1. Es sollten IP -Adressen, keine Hostnamen verwendet werden.
2. Wenn Hostnamen verwendet werden, sollten alle Namen über Einträge in der Datei /etc/hosts lokal aufgelöst werden.
3. Wenn Hostnamen verwendet werden und diese nicht lokal aufgelöst werden können, sollten alle Namen direkt von einem DNS-Server aufgelöst werden, der für diese Namen der so genannte Primary oder Secondary DNS-Server ist, das heißt, er hat sie nicht in einem temporären Cache, sondern dauerhaft abgespeichert.
Punkt 1 bietet die höchste, Punkt 3 die niedrigste Sicherheit. Das Ziel obiger Konfigurationen ist es, die Zuordnung zwischen IP-Adressen und Rechnernamen vor Manipulationen zu schützen. Auf keinen Fall sollte eine hostbasierte Authentisierung über einen Hostnamen gewährt werden, wenn die Namensauflösung nicht direkt ausgeführt werden kann, also ein Cache zwischengeschaltet ist.
Prüffragen:
- Wird eine Zugriffssteuerung anhand von Rechnernamen durchgeführt?