Zum Hauptinhalt springen

10. Sicherheitsüberlegungen (Security Considerations)

10.1 Gesamtbewertung (Overall Assessment)

Perspektive der Autoren

Die Autoren glauben, dass dieser RR keine neuen Sicherheitsprobleme verursacht. Einige Probleme werden jedoch sichtbarer.

10.2 Auswirkungen der Port-basierten Filterung (Port-Based Filtering Impact)

10.2.1 Feinkörnige Port-Spezifikation (Fine-Grained Port Specification)

Die Möglichkeit, Ports feinkörnig zu spezifizieren, ändert offensichtlich, wie ein Router Pakete filtern kann.

Auswirkungen:

  1. Blockieren Externer Dienste (Blocking External Services)

    • Es wird unmöglich, interne Clients daran zu hindern, auf bestimmte externe Dienste zuzugreifen

  2. Nicht Autorisierte Dienste (Unauthorized Services)

    • Etwas schwieriger, interne Benutzer daran zu hindern, nicht autorisierte Dienste auszuführen

  3. Operative Zusammenarbeit (Operational Cooperation)

    • Wichtiger, dass das Router-Operations- und DNS-Operations-Personal zusammenarbeitet

10.3 Denial of Service (Denial of Service)

DoS-Risiko

Es gibt keine Möglichkeit für eine Site, ihre Hosts davon abzuhalten, als Server referenziert zu werden. Dies könnte zu einem Denial of Service führen.

Angriffsszenario:

  • Angreifer erstellt SRV-Einträge, die auf die Hosts des Opfers zeigen
  • Große Anzahl von Clients versucht, sich zu verbinden
  • Das Opfer erfährt unerwünschten Datenverkehr

10.4 DNS-Spoofing-Erweiterung (DNS Spoofing Extension)

10.4.1 Falsche Portnummern (False Port Numbers)

Mit SRV können DNS-Spoofer falsche Portnummern sowie Hostnamen und Adressen liefern.

10.4.2 Risikobewertung (Risk Assessment)

Keine Neue Schwachstelle

Da diese Schwachstelle bereits mit Namen und Adressen existiert, ist dies keine neue Schwachstelle, sondern lediglich eine leicht erweiterte, mit geringer praktischer Auswirkung.

Analyse:

  • Das grundlegende Problem ist die DNS-Authentizität
  • Das Hinzufügen von Portnummern erweitert die Angriffsfläche minimal
  • Die wirkliche Lösung ist DNSSEC

10.5 Mitigationsstrategien (Mitigation Strategies)

Empfohlene Abwehrmaßnahmen:

  1. DNSSEC

    • DNS-Einträge kryptografisch signieren
    • Eintragsechtheit verifizieren

  2. Anwendungsebenen-Sicherheit (Application Layer Security)

    • TLS/SSL für Dienstverbindungen verwenden
    • Serverzertifikate verifizieren

  3. Netzwerksegmentierung (Network Segmentation)

    • Interne Dienste isolieren
    • Defense in Depth implementieren

  4. Überwachung (Monitoring)

    • DNS-Abfragen protokollieren
    • Verbindungsversuche überwachen
    • Anomale Muster erkennen
Tags:
Letztes Update am