Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.108 Vereinfachtes und sicheres Netzmanagement mit DNS Services unter Novell NetWare 4.11 - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.108 Vereinfachtes und sicheres Netzmanagement mit DNS Services unter Novell NetWare 4.11

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Jedem IT-System in einem TCP/IP-Netz muss eine eindeutige Adresse zugewiesen werden. Das Internet Protocol (IP) beschreibt diese Adresse als vier Dezimalzahlen getrennt durch einen Punkt, mit jeweils einem Wertebereich von 0-255. Da sich numerische Adressen schwer merken lassen, können den IT-Systemen zusätzlich erklärende Hostnamen, z. B. www.bsi.bund.de, zugewiesen werden. Die Auflösung von Hostnamen in IP-Adressen kann über zwei Mechanismen durchgeführt werden. Zum einen kann eine ASCII-Textdatei namens HOSTS, die im SYS:ETC Verzeichnis abgelegt wird, manuell erstellt werden. Diese Methode sollte unter sicherheitstechnischen und administrativen Gesichtspunkten nur in kleinen Netzen angewandt werden, da diese Datei individuell auf jedem Server und jeder Workstation abgelegt werden muss, um eine lokale Auflösung zu ermöglichen. Durch spezielle Routinen (z. B. Login Scripts) kann die Verteilung der HOSTS Datei automatisiert werden.

Der zweite Mechanismus ist die Nutzung eines DNS-Servers. Im folgenden werden einige Aspekte der Einrichtung und Konfiguration eines DNS-Servers unter Novell NetWare 4.11 betrachtet, die im Hinblick auf die Sicherheit des Systems besonders zu beachten sind.

Funktion der DNS-Komponenten

Die zwei Hauptbestandteile von DNS sind zum einen der Nameserver, zum anderen der Resolver, der auf dem Client geladen wird und die Anfragen an den Nameserver stellt.

Einrichten des DNS-Servers

DNS wird bei einem NetWare 4.11 Server über UNICON.NLM eingerichtet. Zunächst wird über Manage Global Objects unter Configure Server Profile der DNS Client Access aktiviert. Es muss zumindest ein Nameserver aufgeführt werden, der die Adressauflösung durchführt. Maximal können drei Nameserver eingetragen werden. Damit ein großer Adressbereich schneller erfasst werden kann und es sichergestellt ist, dass die Namensauflösung durchgeführt werden kann, sollten die Angaben für die drei Nameserver ausgeschöpft werden. Die Reihenfolge der Nameserver bestimmt die Abfragereihenfolge und sollte im Hinblick auf die Geschwindigkeit der Namensauflösung festgelegt werden.

Der erste Nameserver kann der Haupt-DNS-Server der Behörde bzw. des Unternehmens sein. Auch wenn dieser Server nicht jeden Host außerhalb der eigenen Domäne adressieren kann, bietet er die Möglichkeit, die Auflösung von Hostnamen innerhalb der Organisation schnell durchführen zu können.

Der zweite Nameserver kann der des Internet Service Providers (ISP) sein, um Zugang zu einem umfangreicheren Datenbestand an Hostnamen zu bekommen. Die Auflösungsgeschwindigkeit wird dabei durch die höhere Auslastung, die Entfernung sowie die zur Verfügung stehende Bandbreite meist etwas geringer sein als beim lokalen Nameserver. Hat die Redundanz der eigenen Domäne Priorität, so sollte der Server mit der schreibgeschützten Kopie der DNS-Datenbank (sekundärer Nameserver) als zweiter Nameserver eingetragen werden.

Der dritte definierte Nameserver kann ein sogenannter Root Server sein. Auf diesen Servern sind die Daten aller registrierten Domänen abgelegt. Eine Liste der Root Server kann unter ftp://rs.internic.net/netinfo/root-servers.txt abgerufen werden.

Konfiguration der DNS-Server

Im Hauptmenü von UNICON.NLM gelangt man über Manage Services und DNS zu den Konfigurations- und Administrationsfunktionen für das Domain Name System. Der Menüpunkt Administer DNS erlaubt sowohl das Einrichten einer Master Database als auch einer schreibgeschützten Replica Database.

Die Domänen bzw. Zonen, für die der primäre Nameserver autorisiert ist, werden im Hauptmenü von UNICON.NLM über Manage Services - DNS - Administer DNS - Manage Master Database - Delegate Subzone Authority eingegeben.

Über Manage Services - DNS - Administer DNS - Manage Master Database werden die DNS-Datenbankeinträge eingegeben. Bei einer Standard Implementation von DNS müssen der Start of Authority (SOA), der den Beginn für die Autorität einer Zone innerhalb der DNS-Hierarchie kennzeichnet, und der Record Typ Name Server (NS) eingetragen werden. Der primäre Nameserver muss Einträge für alle sekundären Nameserver der Zone enthalten. Die Verbindung dieser Zone zur DNS-Hierarchie wird durch Nameserver Einträge für primäre Nameserver, die Autorität für übergeordnete oder untergeordnete Zonen besitzen, sichergestellt. Damit die Namensauflösung für die Hosts in der Zone gewährleistet ist, muss für jedes zu adressierende Endgerät der Record Typ Address (A) eingetragen werden.

Innerhalb des Record Typ SOA werden unter anderem der Name und die Adresse des Zonen-Verantwortlichen (Zone Supervisor) eingetragen. Standardmäßig ist diese Adresse auf root.<domain_name> gesetzt. Weiterhin werden im Record Typ SOA die Einstellungen für das Synchronisationsverhalten der sekundären Nameserver getroffen.

Refresh Validity Period bestimmt die Zeit, innerhalb der ein sekundärer Nameserver noch Anfragen von Hosts beantwortet, nachdem er vergeblich versucht hat, den primären Nameserver zu kontaktieren. Je kürzer diese Zeit eingestellt ist, desto geringer ist die Wahrscheinlichkeit, dass der sekundäre Nameserver ungültige DNS-Einträge verschickt und so keine Namensauflösung möglich ist. Aus Gründen der Ausfallsicherheit sollte diese Zeit nicht zu kurz eingestellt werden, da bei einem Ausfall des primären Nameservers das Domain Name System für diese Zone dann nicht mehr funktioniert. Für diesen Parameter muss ein Kompromiss gefunden werden zwischen der Wahrscheinlichkeit, einzelne Hostnamen nicht auflösen zu können, oder - bei zu kurzer Periode - keine Endgeräte über individuelle Hostnamen ansprechen zu können.

Das Minimum Caching Interval bestimmt die Zeit, in der Informationen aus Anfragen im Cache des primären Nameserver gehalten werden. Wird diese Einstellung zu kurz gewählt, kann dies die Netzlast bei häufigen Anfragen nach denselben Hosts erhöhen und die Auflösung der Hostnamen in IP-Adressen verzögern. Auf der anderen Seite kann ein zu großer Wert für das Minimum Caching Interval dazu führen, dass veraltete Informationen weitergegeben werden.

Verbindung zur externen DNS-Hierarchie

Anfragen über Hostadressen außerhalb der eigenen Domäne werden automatisch durchgeführt, sobald der DNS-Server läuft. Informationen über die DNS-Hierarchie erhält der DNS-Server aus der Datei SYS:ETC\DNS\ROOT.DB, die eine Liste über Nameserver der US Top Level Domänen enthält. Unter dem Menüpunkt Manage Services - DNS - Administer DNS - Link to existing DNS Hierarchy kann über zwei verschiedene Methoden, nämlich Link Direct und Link Indirect via Forwarder, eine Querverbindung zu anderen Domänen aufgebaut werden. Wird häufig auf bestimmte Domänen zugegriffen, kann über diese Verfahren die Auflösung der Hostnamen beschleunigt werden.

Prüfen von Nameservern

Mit Manage Services - DNS - Administer DNS - Query Remote Name Server kann zum einen überprüft werden, welche Informationen auf anderen Nameservern abgelegt sind, und zum anderen ist es möglich festzustellen, ob ein bestimmter Nameserver auf Anfragen antwortet. Dabei muss der Name bzw. die IP-Adresse des Servers angegeben werden. Ebenso ist der Resource Record Type, der abgefragt wird, und die Domäne, aus der die Information benötigt wird, anzugeben.

Backup der DNS-Datenbank

Regelmäßig sollte ein Backup der DNS-Datenbank angelegt werden. Dieses Backup kann beispielsweise verwendet werden, um

Über Manage Services - DNS - Save DNS Master to Text Files wird die Datenbank in SYS:ETC/DBSOURCE/DNS/HOSTS abgelegt.

Verwendung von UNICON.NLM

Mit UNICON werden u. a. die Einstellungen für das Domain Name System getroffen. Aus administrativen und sicherheitstechnischen Gesichtspunkten ist es unter Umständen erforderlich, eine Aufgabenverteilung und Zugriffsbeschränkung vorzunehmen. Bei der Installation eines NetWare Produktes, das über UNICON gesteuert wird, werden im NDS-Verzeichnisbaum Gruppenobjekte angelegt, die bestimmte Aufgabenbereiche innerhalb von UNICON regeln. Benutzer, die bestimmte Aufgaben mit UNICON durchführen sollen, werden der jeweiligen Gruppe als Mitglied zugefügt.

 
Gruppenname   Verantwortungsbereich  Zugängliche UNICON Menü Optionen 
UNICON MANAGER  Voller Umfang von UNICON  Zugang zu allen Menü Optionen 
UNICON SERVICES MANAGER  Starten, Anhalten und Verwalten der Services  Start/Stop Services und Manage Services 
UNICON HOST MANAGER  Verändern von Host Einträgen  Manage Global Objects - Manage Hosts 

Tabelle: Kompatibilität mit bind (Berkeley Internet Name Domain)

TCP/IP-Netze entwickelten sich aus der Unix-Umgebung heraus. Das am weitesten verbreitete DNS-Programm für Unix ist bind. Deshalb ist es wichtig, dass andere DNS-Produkte auf bind abgestimmt sind. Der DNS-Service von Novell ist mit der bind-Version 4.8.3 voll kompatibel.