DNS-Cache-Angriffe: Patches in Firmennetzen meist wirkungslos

Firmennetze lassen sich wirksam schützen, ohne auf eine Fritzbox als Router umsteigen zu müssen, die es einem einzelnen User ermöglicht, die NAT-Verbindung ins Internet für alle anderen zu unterbinden. Wichtig ist jedoch zu wissen, dass ein Update auf die aktuelle Version des DNS-Servers allein nicht ausreicht.

Ein Methode ist der Einsatz von Forwarding. Dabei konfiguriert man seinen Intranet-Server so, dass er alle Anfragen außerhalb der eigenen Domain an die DNS-Server des Interproviders weiterleitet. Voraussetzung ist natürlich, das man diese Server vorher mit nslookup oder dig testet.

Beim Microsoft-DNS-Server klickt man dazu in der Mangement Console des DNS-Server auf den eigenen Server und wählt "Eigenschaften" (Properties). Anschließend geht man auf den Reiter "Forwarders". Die DNS-Server trägt man ein, wie in Bild 11 gezeigt.

Bei Bind-Servern muss man die Config-Datei, meist /etc/named.conf, anpassen. Dies geschieht im Abschnitt "Options", siehe Bild 12. Mit der beschrieben Methode reduziert man die Wahrscheinlichkeit eines erfolgreichen Angriff auf dieselbe Wahrscheinlichkeit, wie sie die DNS-Server des Providers besitzen.

Noch sicherer ist es, im Internet mindestens zwei Server anzumieten. Meist reicht dabei ein virtueller Server. Verwendet man diese als Forwarder, reduziert man die Wahrscheinlichkeit eines Angriffs, weil die eigenen Forwarder im Gegensatz zu DNS-Servern großer Provider dem Angreifer unbekannt sind.

Bild 12 zeigt außerdem, dass die Version verschleiert wird. Dies ist wichtig, damit ein Angreifer keine Versionsabfragen durchführen kann und so versionsspezifische Schwachstellen ausnutzt. Microsoft-DNS-Server lassen grundsätzlich keine Versions-Abfrage mit einem Befehl wie "host -a -c CH version.bind [IP-Adresse]" zu.

Als grundsätzlich sicher wird der Einsatz der Domain Name System Security Extensions (DNSSEC) betrachtet. Das ist allerdings organisatorisch schwierig. Neben den Root-Servern und allen Top-Level-Domains muss beachtet werden, dass einige Länder Third-Level-Domains einsetzen, etwa .com.au oder .co.uk. Hinzu kommt die geplante Einführung beliebiger Top-Level-Domains seitens der ICANN. Bis DNSSEC tatsächlich verfügbar ist, werden vermutlich noch einige Jahre verstreichen.

Themenseiten: Hacker, Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu DNS-Cache-Angriffe: Patches in Firmennetzen meist wirkungslos

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *