M 4.352 Absicherung von dynamischen DNS-Updates
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Um dynamische Updates sicher nutzen zu können, muss gewährleistet sein, dass nur legitimierte IT -Systeme Änderungen an Domain-Informationen vornehmen können. Des Weiteren muss festgelegt werden, welche Domain-Informationen die einzelnen IT-Systeme ändern dürfen. Um sicherzustellen, dass Domain-Informationen nicht von unautorisierten IT-Systemen mit Hilfe von dynamischen Updates manipuliert werden, stehen zwei Möglichkeiten zur Verfügung:
- Beschränkung der berechtigten Hosts durch IP-Adressen
- Beschränkung der berechtigten Hosts mit Hilfe von TSIG
Bei der Beschränkung mittels IP -Adresse wird über die IP-Adresse die Quelle des dynamischen Updates identifiziert. Bei TSIG wird symmetrische Verschlüsselung benutzt, um die Quelle des dynamischen Updates zu identifizieren, siehe hierzu M 4.351 Absicherung von Zonentransfers.
Neben der Anfälligkeit für IP-Spoofing gibt es bei der Verwendung von IP-Adressen ein weiteres Problem. Secondary DNS-Server können als Forwarder für dynamische Updates eingerichtet und der Primary DNS-Server so konfiguriert werden, dass er nur Updates von den Secondary DNS-Servern akzeptiert. Weil nur auf den Secondary DNS-Servern konfiguriert wird, von welchen IT-Systemen Updates akzeptieren werden, bleibt es dem Primary DNS-Server verborgen, woher die Updates stammen. Somit ist es nicht möglich, aufgrund der originalen Quelle einzuschränken, welche Hosts dynamische DNS-Updates vornehmen dürfen.
Neben der Identifikation der Quelle muss konfiguriert werden, welche Domain-Informationen verändert werden dürfen. Die Regeln sollten so konfiguriert werden , dass ein reibungsloser Einsatz von dynamischen Updates möglich ist. Ein DHCP -Server benötigt beispielsweise die Berechtigung, die Zuordnung von Domainnamen und IP-Adressen zu ändern, jedoch besteht kein Grund einem DHCP-Server zu erlauben, den zuständigen DNS-Server für eine Zone zu ändern.
Prüffragen:
- Wurden dynamische DNS-Updates auf berechtige Hosts eingeschränkt?
- Wurde festgelegt, welche Domain-Informationen die berechtigten Hosts im Einzelnen ändern dürfen?