Zum Hauptinhalt springen

10. Sicherheitsbetrachtungen

10.1 Gesamtbewertung

Einschätzung der Autoren

Nach Auffassung der Autoren verursacht dieser RR keine neuen Sicherheitsprobleme. Einige Probleme werden jedoch sichtbarer.


10.2 Auswirkungen auf portbasierte Filterung

10.2.1 Granulare Portangabe

Die Möglichkeit, Ports granular anzugeben, verändert offensichtlich die Art, wie ein Router Pakete filtern kann.

Folgen:

  1. Sperren externer Dienste

    • Es wird unmöglich, interne Clients am Zugriff auf bestimmte externe Dienste zu hindern.
  2. Nicht autorisierte Dienste

    • Interne Benutzer am Betrieb nicht autorisierter Dienste zu hindern, wird etwas schwieriger.
  3. Betriebliche Zusammenarbeit

    • Die Zusammenarbeit zwischen dem Router-Betrieb und dem DNS-Betrieb wird wichtiger.

10.3 Dienstverweigerung

DoS-Risiko

Eine Organisation kann nicht verhindern, dass ihre Hosts als Server referenziert werden. Dies kann zu einer Dienstverweigerung führen.

Angriffsszenario:

  • Ein Angreifer erstellt SRV-Records, die auf Hosts des Opfers verweisen.
  • Eine große Anzahl von Clients versucht, Verbindungen aufzubauen.
  • Das Opfer erhält unerwünschten Datenverkehr.

10.4 Erweiterung von DNS-Spoofing

10.4.1 Falsche Portnummern

Mit SRV können DNS-Spoofer neben Hostnamen und Adressen auch falsche Portnummern liefern.


10.4.2 Risikobewertung

Keine neue Schwachstelle

Da diese Schwachstelle bereits für Namen und Adressen besteht, handelt es sich nicht um eine neue Schwachstelle, sondern nur um eine geringfügig erweiterte mit geringer praktischer Auswirkung.

Analyse:

  • Das grundlegende Problem ist die Authentizität von DNS-Daten.
  • Das Hinzufügen von Portnummern erweitert die Angriffsfläche nur geringfügig.
  • Die eigentliche Lösung ist DNSSEC.

10.5 Minderungsstrategien

Empfohlene Schutzmaßnahmen:

  1. DNSSEC

    • DNS-Records kryptografisch signieren
    • Authentizität der Records prüfen
  2. Sicherheit auf Anwendungsebene

    • TLS/SSL für Dienstverbindungen verwenden
    • Serverzertifikate prüfen
  3. Netzwerksegmentierung

    • Interne Dienste isolieren
    • Mehrschichtige Schutzmaßnahmen umsetzen
  4. Überwachung

    • DNS-Anfragen protokollieren
    • Verbindungsversuche überwachen
    • Auffällige Muster erkennen