M 4.141 Sichere Konfiguration des DDNS unter Windows 2000
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Der Dienst DDNS (Dynamic Domain Name Service) spielt unter Windows 2000 eine wichtige Rolle, da ohne ihn kein Active Directory (AD) - und damit auch keine Windows 2000 Domäne - betrieben werden kann. DDNS stellt einen Namensdienst zur Verfügung, der u. a. eine Zuordnung von IP-Adressen zu (symbolischen) Rechnernamen erlaubt. DDNS beruht dabei auf dem Internet-Namensdienst DNS und erweitert diesen jedoch um die Möglichkeit, Namen-Adressen-Zuordnungen dynamisch in die DNS-Datenbank des so genannten DNS-Servers einzutragen oder aus dieser zu löschen. Auf diese Weise wird die Nutzung des DHCP (Dynamic Host Configuration Protocol) ermöglicht, welches zur dynamischen Zuordnung von IP-Adressen zu Rechnern verwendet werden kann.
Für die Konfiguration und Nutzung des DDNS muss aus Sicherheitssicht Folgendes berücksichtigt werden:
- Die von einem DDNS-Server verwalteten Zonendaten können entweder in einer Datei gespeichert werden, wie dies z. B. bei herkömmlichen DNS-Servern der Fall ist, oder aber die Daten werden im AD gespeichert. Man spricht dann von AD-integrierten Zonen. Die AD-integrierte Speicherung bietet sicherheitstechnische Vorteile, so dass dies für alle von einem DDNS-Server verwalteten Zonen empfohlen wird. Die Auswahl, wie die Informationen für eine Zone abgelegt werden, erfolgt entweder beim Anlegen der Zone oder kann nachträglich im Eigenschaftsdialog einer Zone verändert werden.
- Werden Zoneninformationen in Dateien gespeichert, so sind die Dateien auf Dateisystemebene so abzusichern, dass auf diese nicht unbefugt zugegriffen werden kann. Vielmehr darf der Zugriff auf die Dateien nur dem Konto des DNS-Administrators und dem DNS-Server-Prozess, der unter dem lokalen Systemkonto abläuft, möglich sein. Es ist zu beachten, dass diese Dateien nicht mit EFS geschützt werden können, da es sich um Systemdateien handelt.
- Windows 2000 ist nicht zwingend auf den Einsatz eines Windows 2000 DDNS-Servers angewiesen, sondern kann auch mit anderen DNS-Server-Implementationen zusammenarbeiten, solange diese bestimmte Anforderungen erfüllen, wie z. B. Unterstützung von SRV-Records und der dynamischen Update-Möglichkeit. Aus Sicherheitssicht empfiehlt sich jedoch insbesondere beim Betrieb eines Windows 2000 DHCP-Servers die Nutzung von Windows 2000 DDNS-Servern, da diese das Update von der korrekten Domänenidentität eines DHCP-Clients abhängig machen.
- Zoneninformationen können zwischen DNS-Servern ausgetauscht und damit aktualisiert werden. Dazu dient der so genannte Zonentransfer. Aus Sicherheitssicht sollte der Zonentransfer nur von und an vertrauenswürdige DNS-Server erlaubt werden. Dazu muss die Liste der DNS-Server erstellt werden, die aktualisierte Zoneninformationen erhalten oder versenden sol-
- len. Durch die Zoneninformationen wird das gesamte Netz beschrieben (Rechnernamen und IP-Adressen), sodass diese Information einem Angreifer alle potentiellen Ziele aufzeigt. Aus diesem Grund darf der Zonentransfer nur zwischen bekannten DNS-Servern stattfinden. Insbesondere darf ein Zonentransfer an unbekannte Rechner oder gar an unbekannte Rechner im Internet unter Sicherheitsgesichtspunkten nicht stattfinden.
Für das sichere Zusammenspiel mit einem DHCP-Server zum dynamischen Verwalten von DNS-Einträgen ist Folgendes zu berücksichtigen (siehe auch M 4.143 Sichere Konfiguration des DHCP unter Windows 2000):
- Bei Nutzung von DHCP mit dynamischem DNS-Update sollten ausschließlich AD-integrierte Zonen verwendet werden, damit die Option Secure Update genutzt und aktiviert werden kann. Die Aktivierung erfolgt über den Eigenschaftsdialog der Zone auf der Registerkarte Allgemein durch Auswahl von Ändern beim Typeintrag und Auswahl der Option Active-Directory-integriert. Dies stellt sicher, dass Veränderungen an dynamisch erzeugten DNS-Einträgen nur durch den berechtigten Besitzer möglich sind. Zusätzlich findet eine Zugriffskontrolle aufgrund der Domänenmitgliedschaft statt.
- Generell muss bei DNS Einträgen zwischen dem so genannten Forward-Mapping (Namen-IP-Addressen-Zuordnung) und dem so genannten Reverse-Mapping (IP-Addressen-Namen-Zuordnung) unterschieden werden. Bei einer Windows 2000 Standardinstallation erfolgt die dynamische Registrierung des Forward-Mappings immer durch den DHCP-Client, das Eintragen des Reverse-Mappings erfolgt durch den DHCP-Server. Der DHCP-Client muss jedoch auf die DNS-Registrierung ausgelegt sein, was für ältere Windows-Versionen nicht der Fall ist: Hier muss auch das Forward-Mapping durch den DHCP-Server erfolgen. Diese Option kann im Eigenschaftsdialog auf der Registerkarte DNS aktiviert werden. Es muss für ein Netz generell entschieden werden, ob auch das Forward-Mapping generell für alle DHCP-Clients durch den DHCP-Server erfolgt. Aus Sicherheitssicht muss generell verhindert werden, dass durch "bösartige" DHCP-Clients falsche DNS-Einträge vorgenommen werden (siehe auch M 4.143 Sichere Konfiguration des DHCP unter Windows 2000).
- Für wichtige Server sollten keine dynamischen Adressen verwendet werden. Die Adressen wichtiger Server sollten statisch im DNS-Server eingetragen werden. Die Berechtigungen für das DNS-Record können dabei so gesetzt werden, dass ein Überschreiben der Adresse durch ein dynamisches Update nicht möglich ist. Muss DHCP aus zwingenden Gründen auch für zentrale Server eingesetzt werden, so empfiehlt sich auch hier, dass der Eintrag im DNS durch den Administrator vorgenommen wird. Die Berechtigungen auf den DNS-Eintrag können jedoch so gesetzt werden, dass ein Update durch den Server erlaubt ist. Die Option Secure Update - die im Eigenschaftsdialog einer Zone aktiviert werden kann - stellt dann die korrekte Rechneridentität sicher.
- Das Löschen "alter" DNS-Einträge erfolgt standardmäßig durch den DNS-Server selbst und nicht durch den jeweiligen DHCP-Client. Dadurch können eine Zeit lang nicht aktuelle DNS-Zuordnungen existieren, die von Angreifern ausgenutzt werden könnten. Hier empfiehlt es sich, das Forward-Mapping durch den DHCP-Server nach Ablauf der Lease-Dauer löschen zu lassen, damit inkonsistente Zuordnungen nur möglichst kurz existieren. Diese Funktion lässt sich im Eigenschaftsdialog des DHCP-Servers auf der Registerkarte DNS mit der Option Forward-Lookups (Name zu Adresse) beim Ablauf des Lease löschen aktivieren. Es ist zu beachten, dass auch hier, z. B. im Falle eines Rechnerausfalles, die Name-IP-Adressen-Zuordnung noch bis zum Ablauf der Lease-Dauer im DNS-Server existiert.
Zusammenfassend ergibt sich, dass DNS-Informationen sicherheitsrelevante, schutzwürdige Daten darstellen. Kann ein Angreifer DNS-Informationen verfälschen, so kann die Sicherheit des gesamten Netzes kompromittiert werden. Insofern erfordert insbesondere die Nutzung von DHCP mit DNS eine sorgfältige Planung unter Sicherheitsgesichtspunkten.
Ergänzende Kontrollfragen:
- Können alle Zonen als AD-integrierte Zonen betrieben werden?
- Ist der Sichere Update für alle AD-integrierten Zonen aktiviert?
- Ist für alle Zonen das Übertragen der Zoneninformationen so konfiguriert, dass der Austausch nur mit bekannten DNS-Servern erfolgen kann?
- Sind die DNS-Einträge für wichtige Infrastrukturserver fest vorkonfiguriert?
- Ist der DHCP-Server so konfiguriert, dass durch ihn erzeugte DNS-Einträge nach Ablauf der Lease-Dauer automatisch gelöscht werden?