M 2.413 Sicherer Einsatz von DNS für Active Directory

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator

Eine Active-Directory-Installation besteht üblicherweise aus mehreren Servern mit unterschiedlichen Verzeichnispartitionen. Damit der Zugriff sowohl für die Clients als auch der Zugriff zwischen den Servern, z. B. bei der Replikation, erleichtert wird, verwendet Active Directory DNS (Domain Name System) für die Suche nach Active-Directory-Servern. Somit muss der DNS-Dienst als eine Grundlage des Active Directory angesehen werden.

Um die Integrität und Verfügbarkeit des Active Directory sicherzustellen, ist dafür Sorge zu tragen, dass DNS-Clientabfragen nicht durch unautorisierte Systeme im Netz fehlgeleitet werden können. In Windows-Umgebungen sollte der Schutz der DNS-Daten durch in Active Directory integrierte DNS-Zonen auf den Domänen-Controllern erhöht werden. Dabei werden die zonenspezifischen DNS-Daten in dem Container "MicrosoftDNS" des Active Directory gespeichert.

Die Konfigurationsdaten für in Active Directory integrierte DNS-Zonen werden in der Windows-Registry abgelegt. Der Zugriff auf die Konfigurationsdaten sollte nur auf administrative Konten beschränkt werden.

Im Folgenden wird ausschließlich auf in Active Directory integrierte DNS-Zonen und damit auf die Windows Server spezifischen Eigenschaften zur Unterstützung des sicheren Betriebs von Active Directory eingegangen. Darüber hinausgehende, allgemeine Maßnahmen zur Absicherung von DNS werden hier nicht beschrieben.

Zum Schutz der DNS-Infrastruktur sollten die DNS-Server geschützt werden sowie auf den DNS-Servern gespeicherte DNS-Daten ausreichend abgesichert werden und die Integrität der DNS-Antworten auf die Client-Anfragen bei der Übertragung gesichert werden. Wie dies umgesetzt werden kann, wird im Folgenden beschrieben.

Um die Integrität der auf dem Domänen-Controller zwischengespeicherten DNS-Daten zu gewährleisten, muss die Option "Zwischenspeicher vor Beschädigungen sichern" für den DNS-Server-Prozess aktiviert werden. Damit soll sichergestellt werden, dass ausschließlich autorisierte DNS-Einträge im Zwischenspeicher eingefügt werden können.

Der Zugriff auf den DNS-Dienst der Domänen-Controller sollte so weit wie möglich eingeschränkt werden. Dies kann z. B. dadurch erreicht werden, dass an den Sicherheitsgateways zwischen zwei Netzsegmenten der DNS-Dienst (UDP-Port 53) eingeschränkt wird. Der DNS-Dienst muss dabei für folgende Komponenten verfügbar sein:

Des Weiteren sollten die Netzaktivitäten in Bezug auf DNS-Anfragen überwacht werden, da ein ungewöhnlich hohes Aufkommen an DNS-Anfragen auf einen Denial-of-Service-Angriff (DoS-Angriff) gegen einen DNS-Server und damit unter Umständen auch gegen einen Domänen-Controller hindeuten kann. In diesem Falle sollte der Angreifer möglichst schnell identifiziert und entsprechende Gegenmaßnahmen eingeleitet werden (siehe auch M 6.106 Erstellung eines Notfallplans für den Ausfall eines Verzeichnisdienstes).

Mittels IPsec (Internet Protocol Security) kann die Vertraulichkeit, Authentizität und Integrität des IP-Datenverkehrs im Netz sichergestellt werden. Bei einem IPsec-Verbindungsaufbau authentisieren sich Client und Server gegenseitig, so dass die Authentizität der Daten vom DNS-Client überprüft werden kann.

Die Integrität der DNS-Daten bei der Übertragung kann durch IPsec bei der Verwendung von Authentication Header (AH) bzw. durch Encapsulating Security Payload (ESP) sichergestellt werden.

Im Gegensatz zum Authentication Header des IPsec wird bei der Verwendung von ESP der Datenverkehr zusätzlich verschlüsselt. Durch ESP ist ebenfalls die Vertraulichkeit der DNS-Daten sichergestellt. ESP sollte daher verwendet werden.

Durch die Verwendung von IPSec erhöht sich das Datenaufkommen. Daher sollte vor dem Einsatz von IPsec sichergestellt werden, dass ausreichend Ressourcen vorhanden sind, damit bei aktivierter Verschlüsselung bzw. Signierung ein ausreichender Datendurchsatz im Netz möglich ist.

Ausreichende Absicherung der gespeicherten DNS-Daten

Für den Schutz der DNS-Daten auf dem Server sollten folgende Punkte berücksichtigt werden:

Weiterführende Informationen zur Konfiguration von DNS-Servern finden sich online in den Dokumenten "Best Practice Active Directory Design for Managing Windows Networks" und "Best Practice Active Directory Deployment for Managing Windows Networks" im Microsoft TechNet (http://technet.microsoft.com).

Prüffragen: