G 2.152 Fehlende oder unzureichende Planung des DNS-Einsatzes

Wird die Planung des DNS-Einsatzes vernachlässigt, kann dies zu Problemen und Sicherheitslücken im laufenden Betrieb führen. Zahlreiche Netzdienste und -anwendungen benötigen DNS, um zu funktionieren. So wird DNS von Kommunikationspartnern benötigt, um die IP-Adresse herauszufinden, die der E-Mail-Server des Empfängers hat. Sind die DNS-Server nicht erreichbar, können diese Dienste nicht bzw. nur noch eingeschränkt genutzt werden. Im schlechtesten Fall kann eine, durch schlechte Planung verursachte Sicherheitslücke, zur Kompromittierung der DNS-Server führen.

DNS-Server-Infrastruktur

Die Verfügbarkeit und die Leistungsfähigkeit von DNS-Servern hängen unter anderem von der Verteilung im Netz ab. Probleme, die durch unzureichende Planung der Infrastruktur entstehen können, sind:

Ungeeignete DNS-Server-Software

Veraltete bzw. wenig getestete Software enthält oft bekannte Softwareschwachstellen, die von Schadsoftware ausgenutzt werden kann. Dies erhöht die Gefahr erfolgreicher Angriffe deutlich.

Des Weiteren kann es zu Problemen kommen, wenn für alle DNS-Server dieselbe Software verwendet wird. Wird in diesem Fall ein DNS-Server aufgrund einer Softwareschwachstelle kompromittiert, kann die Lücke auf jedem weiteren DNS-Server ausgenutzt werden. Plant hingegen ein Informationsverbund, unterschiedliche DNS-Server-Software einzusetzen, besteht die Gefahr, dass diese nur eingeschränkt kompatibel sind. Zusätzlich wird sich dadurch auch der Administrationsaufwand erhöhen.

DNS-Server und Sicherheitsgateways

Die Planung der DNS-Server hat Auswirkung auf die Konfiguration von Sicherheitsgateways und Paketfiltern. Sind die Regeln, um DNS-Verkehr im Netz zu ermöglichen, zu freizügig definiert, kann dies unter Umständen einen Angriff ermöglichen. Sind die Regeln jedoch zu restriktiv formuliert, können legitime Clients keine Anfragen an die DNS-Server stellen und werden bei der Benutzung von Diensten wie E-Mail, FTP oder Ähnlichem beeinträchtigt.

Aufteilung des Namensraums

Die Domain-Informationen über den Namensraum eines Informationsverbundes enthalten sämtliche Informationen über den Aufbau des internen Netzes. Oft ist es nicht erwünscht, die gesamten Informationen für die Öffentlichkeit zugänglich zu machen. Dazu kann der Namensraum in einen internen (Resolving DNS-Server) und einen öffentlich zugänglichen (Advertising DNS-Server) Bereich geteilt werden. Wird eine Trennung bei der Planung nicht berücksichtigt, kann dies Probleme wie in G 5.154 DNS Information Leakage beschrieben, zur Folge haben.

Kryptografie

DNS kann über kryptografische Mechanismen abgesichert werden, beispielsweise über TSIG (Trusted Security Transaction Group) und DNSSEC (DNS Security). Wie bei allen kryptografischen Anwendungen sind die kryptografischen Schlüssel geheimes Material. Werden diese Schlüssel veröffentlicht, ist kein Schutz durch diese kryptografischen Mechanismen mehr gegeben. Kommt es in der Planung zu unklaren Regelungen, inwieweit Kryptografie eingesetzt werden soll, kann dies unter anderem zu folgenden Problemen führen:

Beispiele: