Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Ein Internetserver braucht normalerweise kein DNS (Domain Name System), um Informationen zur Verfügung zu stellen, es sei denn, über ihn wird die E-Mail versandt, wovon aber abzuraten ist (siehe dazu auch M 4.97 Ein Dienst pro Server). So wird bei den meisten WWW-Servern DNS nur dazu verwendet, in den jeweiligen Protokolldateien Rechnernamen statt IP-Adressen einzutragen. Diese Umwandlung von IP-Adressen zu Rechnernamen könnte auch später bei der Analyse der Protokolldateien durchgeführt werden. Zwar ist dann der Umgang mit den Protokolldateien etwas umständlicher, aber die Vertrauenswürdigkeit der Protokolldaten steigt. Die Zuordnung zwischen einer IP-Adresse und einem Rechnernamen ist nämlich weder eindeutig noch statisch. Ein Verzicht auf DNS gibt zusätzlich Schutz vor DNS-Spoofing (siehe M 5.59 Schutz vor DNS-Spoofing) und erhöht häufig die Performanz des Internetservers.
Folgendes Szenario zeigt mögliche negative Auswirkungen:
Ein Angreifer verfüge über eine eigene Domain mit einem Test-PC. Dieser Test-PC ist gleichzeitig auch DNS-Server für diese Domain. Mit dem Test-PC baut er eine Verbindung zu einem Internetserver auf. Der Internetserver kennt am Anfang der Verbindungsanfrage nur die IP-Adresse des Test-PCs und versucht, sich über DNS den Rechnernamen des Test-PCs zu verschaffen. Zu diesem Zweck muß das Betriebssystem eine Verbindung mit einem DNS-Server aufnehmen, der sich wiederum die Daten von dem Test-PC holen muß, da dieser der DNS-Server der Angreifer-Domain ist. Anstatt nun dem DNS- Server des Internetservers zu antworten, kann der Angreifer nun auch direkt eine beliebige Antwort zum Internetserver selber schicken (unter Verwendung von IP-Spoofing, siehe G 5.78 ). Auf diese Weise kann der Angreifer nicht nur Daten zu dem eigentlichen DNS-Server schicken, sondern auch direkt zum Internetserver. Eventuelle Fehler in dessen Betriebssystem könnten so ausgenutzt werden.
Hinweis: Soll beispielsweise der Zugriff auf einen WWW-Server nur einer bestimmten Domain erlaubt sein, z. B. nur *.de, so kann allerdings nicht auf DNS verzichtet werden. Jedoch ist ein solcher Zugriffsschutz sehr schwach und daher nicht empfehlenswert.
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.