10. Sicherheitsbetrachtungen
10.1 Gesamtbewertung
Nach Auffassung der Autoren verursacht dieser RR keine neuen Sicherheitsprobleme. Einige Probleme werden jedoch sichtbarer.
10.2 Auswirkungen auf portbasierte Filterung
10.2.1 Granulare Portangabe
Die Möglichkeit, Ports granular anzugeben, verändert offensichtlich die Art, wie ein Router Pakete filtern kann.
Folgen:
-
Sperren externer Dienste
- Es wird unmöglich, interne Clients am Zugriff auf bestimmte externe Dienste zu hindern.
-
Nicht autorisierte Dienste
- Interne Benutzer am Betrieb nicht autorisierter Dienste zu hindern, wird etwas schwieriger.
-
Betriebliche Zusammenarbeit
- Die Zusammenarbeit zwischen dem Router-Betrieb und dem DNS-Betrieb wird wichtiger.
10.3 Dienstverweigerung
Eine Organisation kann nicht verhindern, dass ihre Hosts als Server referenziert werden. Dies kann zu einer Dienstverweigerung führen.
Angriffsszenario:
- Ein Angreifer erstellt SRV-Records, die auf Hosts des Opfers verweisen.
- Eine große Anzahl von Clients versucht, Verbindungen aufzubauen.
- Das Opfer erhält unerwünschten Datenverkehr.
10.4 Erweiterung von DNS-Spoofing
10.4.1 Falsche Portnummern
Mit SRV können DNS-Spoofer neben Hostnamen und Adressen auch falsche Portnummern liefern.
10.4.2 Risikobewertung
Da diese Schwachstelle bereits für Namen und Adressen besteht, handelt es sich nicht um eine neue Schwachstelle, sondern nur um eine geringfügig erweiterte mit geringer praktischer Auswirkung.
Analyse:
- Das grundlegende Problem ist die Authentizität von DNS-Daten.
- Das Hinzufügen von Portnummern erweitert die Angriffsfläche nur geringfügig.
- Die eigentliche Lösung ist DNSSEC.
10.5 Minderungsstrategien
Empfohlene Schutzmaßnahmen:
-
DNSSEC
- DNS-Records kryptografisch signieren
- Authentizität der Records prüfen
-
Sicherheit auf Anwendungsebene
- TLS/SSL für Dienstverbindungen verwenden
- Serverzertifikate prüfen
-
Netzwerksegmentierung
- Interne Dienste isolieren
- Mehrschichtige Schutzmaßnahmen umsetzen
-
Überwachung
- DNS-Anfragen protokollieren
- Verbindungsversuche überwachen
- Auffällige Muster erkennen
Navigation
- Zurück: 9. Änderungen gegenüber RFC 2052
- Weiter: 11. Literaturhinweise