Lügendetektor fürs LAN

Windows Server validiert DNS-Antworten fürs Firmennetz

Praxis & Tipps | Praxis

Ob PC, Tablet oder Smartphone, kein Netzwerk-Client prüft, ob DNS-Antworten unverfälscht und vertrauenswürdig sind. So können Hacker arglose Nutzer über eingeschleuste DNS-Antworten auf ihre eigenen Websites umleiten, um etwa Passwörter auszuspähen. Dagegen hilft ein Resolver im LAN, der DNS-Antworten mit DNSSEC validiert.

A lle Clients eines LANs lassen sich auf einen Schlag mit DNSSEC absichern, indem man einen validierenden Resolver aufsetzt, den jedes Gerät zur Namensauflösung verwendet. Das bietet einen Sicherheitsgewinn bei der Kommunikation mit Domains, die ihre DNS-Info mit DNSSEC absichern und lässt sich komplett von Admin-Seite her erledigen. Wie man einen lokalen Resolver auf einzelnen Clients einrichtet, haben wir beschrieben [1, 2]. Das Nachfolgende erklärt die Einrichtung eines DNSSEC-Resolvers auf Windows Server 2012 R2. Als Restrisiko bleibt, dass die DNS-Antworten innerhalb des Firmen-LAN manipuliert werden können. Zum Schutz davor sichern Sie die Kommunikation zwischen Windows-Clients und dem DNS-Resolver per IPSec. Eine Anleitung dazu finden Sie über den c’t-Link am Ende dieses Beitrags. Für Clients mit anderen Betriebssystemen funktioniert das leider nicht.

DNSSEC nutzt zur Überprüfung von DNS-Antworten die hierarchische Struktur des Domain Name System. Dabei markieren die Inhaber übergeordneter Domains – genauer Zonen – die jeweils untergeordneten als vertrauenswürdig und bilden so eine Vertrauenskette (Chain of Trust). Sie verläuft von der Stammzone der ICANN (Root-Zone) abwärts. Wenn ein DNSSEC-Resolver eine DNS-Antwort erhält, prüft er, ob die Antwort unverfälscht ist und ob der antwortende DNS-Server zur Vertrauenskette gehört. Dazu rechnet er dessen und die Signaturen der übergeordneten Server bis zur Root-Zone gegen, was den Datenverkehr erhöht. Die Signatur der Root-Zone kann er nicht prüfen, da sie keine übergeordnete Instanz besitzt. Darum muss der Server-Admin diese Signatur selbst prüfen. ...

Sie möchten wissen, wie es weitergeht?

Als c't-Plus-Abonnent gratis lesen

Anmelden als c't-Plus-Abonnent

weiterführende Links

Weitere Bilder

  • Das „ad“-Flag zeigt an, dass DNS-Antworten unverfälscht und vertrauenswürdig sind.

Kommentare