DNS-Zonentransfer und Weiterleitungen absichern

    Die Zonentransfers konfiguriert man separat für jede DNS-ZoneDNS muss nicht nur bei den dynami­schen Updates abge­sichert werden. Zwei weitere grund­legende Vor­gänge, deren Planung und Um­setzung nicht zu ver­nach­lässigende Sicher­heits­aspekte beinhaltet, sind Weiter­leitungen und Zonen­transfers.

    DNS-Weiterleitungen

    DNS ist hierarchisch aufgebaut: Erhält ein Nameserver eine nicht von ihm, sondern eine andere Zone betreffende Anfrage, leitet er diese weiter. Das Ergebnis gibt er dem anfragenden Client zurück und legt es für eine zukünftig schnellere Antwort in seinem Cache ab. Diese Anfragen können sowohl andere Zonen der Organisation betreffen als auch das Internet, also externe Hosts.

    Die globale Weiterleitung aller letzteren Anfragen an einen Nameserver stellt man in den Eigenschaften des Nameservers selbst unter der Registerkarte Weiterleitungen ein. Konfiguriert man hier nichts, benutzt der Server seine Stammhinweise zur Namensauflösung, es sei denn, diese Option wurde auf der gleichen Registerkarte abgewählt.

    Andere Zonen der gleichen Organisation löst man über bedingte Weiterleitungen auf, die unter Windows Server 2008 einen eigenen Knoten in der Management-Konsole gefunden haben – bis Windows Server 2003 war dies noch recht unübersichtlich als bloße Option auf der Konfigurationsseite der allgemeinen Weiterleitung untergebracht. Hier erstellt und pflegt man Regeln, welche Anfragen an andere Zonen von welchen Nameservern behandelt werden sollen.

    Einen Beitrag zur Sicherheit können bedingte Weiterleitungen insofern leisten, als dass sich ihr Einsatzszenario nicht auf andere Zonen derselben Organisation beschränken muss, sondern etwa auch auf fusionierte, aufgekaufte oder sonst wie assoziierte Organisationen, mit denen man noch keine Gesamtstruktur im Active-Directory-Sinn gebildet hat oder dies auch nicht vorhat. Trotzdem kann und sollte man die Nameserver gegenseitig daraufhin konfigurieren, alle Anfragen nach Hosts der anderen Organisation direkt weiterzuleiten.

    DNS-Zonentransfers

    Die Zonentransfers konfiguriert man separat für jede DNS-ZoneAus Gründen der Redundanz wird die DNS-Datenbank neben dem primären Nameserver auch auf sekundären Servern gehalten. Dabei gibt es eine klare Hierarchie: Der primäre Server ist derjenige, der die Zone auch beschreiben darf, die sekundären bloße Empfänger, aus Sicht des primären Master-Servers Slaves.

    Slaves können jedoch ihrerseits Master für weitere, in der Hierarchie noch weiter unten angesiedelte Nameserver sein. Die Übertragung der DNS-Datenbank von einem Master an einen Slave bezeichnet man als Zonentransfer.

    Zonentransfers werden nicht per Server, sondern per Zone getrennt jeweils auf der Registerkarte Zonenübertragungen konfiguriert. Es leuchtet unmittelbar ein, dass der Empfang der gesamten DNS-Datenbank einer Organisation durch einen nicht autorisierten Slave ein fatales Sicherheitsrisiko darstellt, darum ist die Funktion in der Voreinstellung zunächst abgeschaltet. Aktiviert man sie, sollte man folgende Punkte beachten:

    • Die Option An jeden Server ist unsicher und zu vermeiden.
    • DNS an sich bietet keine Sicherheitsmechanismen, die Daten im Transit wären für jeden Angreifer klar lesbar. Alle beteiligten Nameserver sollten deshalb Active-Directory-integriert sein. So werden die DNS-Daten darüber repliziert, was Authentifizierung und Verschlüsselung einschließt.
    • Sind nicht ins Active Directory eingebundene Nameserver beteiligt, sollten für deren Zonentransfers stets IPsec oder – wenn externe Netzwerke beteiligt sind – VPN-Tunnel verwendet werden.

    Keine Kommentare