DNS (Domain Name System) ist eine Methode mit einer langen Geschichte. Sie kann Computern mit IP-Adressen Domänennamen zuweisen, sodass die Computer beispielsweise den Microsoft-Server www haben. microsoft.com. DNS ist gut konzipiert und funktioniert die meiste Zeit sehr gut. Allerdings kommt es immer wieder zu unbefriedigenden Situationen, die zu Problemen führen und den Administratoren Kopfzerbrechen bereiten. Wie findet man also die Hinweise auf sein Scheitern? Welche Bereiche Ihres DNS-Systems sind nicht ideal?
Gibt es ein Muster, dem man folgen kann? Die Antwort lautet: Ja. Hier sind sieben Sünden von DNS-Servern als Referenz:
1. Verwenden Sie eine alte Version von BIND.
Bind ist als Open-Source-DNS-Serversoftware derzeit die am weitesten verbreitete DNS-Serversoftware weltweit. Fast die meisten älteren Versionen von BIND weisen schwerwiegende, bekannte Schwachstellen auf. Angreifer können diese Schwachstellen ausnutzen, um unsere DNS-Nameserver lahmzulegen und die Hosts zu gefährden, auf denen sie laufen. Daher sollten Sie darauf achten, das neueste BIND zu verwenden und es rechtzeitig zu patchen.
2. Platzieren Sie alle wichtigen Domain-Nameserver im selben Subnetz.
In diesem Fall würde der Ausfall eines Geräts, beispielsweise eines Switches oder Routers, oder der Ausfall einer Netzwerkverbindung dazu führen, dass Internetnutzer nicht auf Ihre Website zugreifen oder Ihnen E-Mails senden können.
3. Rekursion für nicht autorisierte Abfrager zulassen.
Wenn auf die folgende Situation eingestellt:
(Rekursion ja|nein; [ja] allow-recursion {address_match_list}; |
Es ist unsicher. Hier gibt die Rekursionsoption an, ob namentlich im Namen des Clients andere Domänennamenserver abfragt. Nameserver sind im Allgemeinen nicht so eingerichtet, dass sie die Rekursion deaktivieren. Zumindest sollten wir die Rekursion für unsere eigenen Clients zulassen, die Rekursion für externe Abfragen jedoch deaktivieren. Denn wenn Sie rekursive Abfragen für jeden Client verarbeiten können, setzen Sie den Nameserver Cache-Poisoning und Denial-of-Service-Angriffen aus.
4. Erlauben Sie nicht autorisierten sekundären Nameservern, Zonenübertragungen durchzuführen.
Unter Zonenübertragung versteht man den Vorgang des Kopierens von Zonendatenbankdateien zwischen mehreren DNS-Servern. Wenn Sie Zonenübertragungsdienste für beliebige Abfrager bereitstellen, machen Sie den Domänennamenserver Angreifern zugänglich, was zum Absturz des Servers führt.
5. Es wird kein DNS-Forwarder verwendet.
Ein DNS-Forwarder ist ein Server, der DNS-Abfragen im Auftrag anderer DNS-Dienste durchführt. Viele Nameserver-Software, darunter die DNS-Server von Microsoft und einige ältere BIND-Nameserver, schützen sich nicht ausreichend vor Cache-Poisoning, und auch andere DNS-Server-Software weist Schwachstellen auf, die durch böswillige Reaktionen ausgenutzt werden können. Viele Administratoren erlauben diesen Nameservern jedoch, andere Nameserver im Internet direkt abzufragen, ohne überhaupt Weiterleitungen zu verwenden.
6. Falsche Einstellung des Start of Authority (SOA)-Werts.
SOA markiert den Beginn der Zonendaten und definiert Parameter, die sich auf die gesamte Zone auswirken. Viele Administratoren legen den Zonenwert zu niedrig fest, was zu Systemunterbrechungen führen kann, wenn Flush-Abfragen oder Zonenübertragungen fehlschlagen. Seit der RFC SOA neu definiert hat, haben einige Leute die negative Caching-TTL zurückgesetzt, was dazu geführt hat, dass sie zu hoch ist.
7. Nicht übereinstimmende NS-Einträge in Autorisierungs- und Zonendaten.
Einige Administratoren fügen primäre Nameserver hinzu oder entfernen sie, vergessen jedoch, entsprechende Änderungen an den Delegationsdaten ihrer Zone (den sogenannten Delegationsdaten) vorzunehmen. Dies verlängert die Zeit, die zum Auflösen von Domänennamen benötigt wird, und verringert die Flexibilität.
Dies sind natürlich nur einige häufige Fehler, die Administratoren machen können, aber sie können als grundlegende Referenz für die Konfiguration Ihres DNS-Servers dienen.