Windows Server 2016
DNS-Sicherheit per Richtlinien steuern
Ohne eine funktionierende Namensauflösung mittels DNS (Domain Name System) arbeitet das Active Directory nicht ordnungsgemäß. Dieser Beitrag beschreibt, welche Neuerungen es bei Windows DNS gibt und was Administratoren im Hinblick auf die Sicherheit beachten müssen.
Experten wie beispielsweise der Security-Anbieter Infoblox warnen bereits seit vielen Jahren, dass DNS nicht ausreichend gesichert ist. Dabei nutzen beinahe alle Applikationen, Betriebssysteme und IT-Strukturen die Namensauflösung per DNS: Lokale DNS-Server lösen netzinterne Namen auf und fungieren nicht selten als DNS-Lookup-Server. Aufgrund der großen Netzwerkdatenmenge beim DNS machen sich viele Administratoren aber kaum die Mühe, im Datenstrom einmal genauer nachzusehen, was so alles über die Ports 53 und 853 fließt. Hacker und Kriminelle können sich daher üblicherweise darauf verlassen, dass DNS-Verbindungen auf vielen Firewalls ungefiltert bleiben.
Sicherheitsrisiken
So ist es kaum verwunderlich, dass es einige Angriffsszenarien gibt, bei denen DNS die Hauptrolle spielt. Die altgedienten Angriffsmodelle heißen DNS Cache Poisoning und DNS Spoofing. Beim erstgenannten manipulieren Angreifer den Cache mit den Zoneninformationen von DNS-Servern. Infolge dieser Veränderung überträgt der manipulierte Server die Zone an andere DNS-Server und sorgt dafür, dass sich falsche Zoneninformationen verbreiten. Client-Rechner erhalten auf ihre DNS-Anfrage somit nicht mehr die richtigen IP-Adressen: Sie landen auf den falschen Websites, oder die E-Mail-Kommunikation wird umgeleitet.
Beim DNS Spoofing manipulieren die Übeltäter nicht die komplette Zone, sondern nur einige wenige Einträge. Das Ergebnis ist dasselbe: Die resultierende IP-Adresse einer DNS-Anfrage ist falsch. Auch kann es durch DNS Query ID Spoofing gelingen, die nächste Anfragenummer einer DNS-Anfrage zu erraten und dem anfragenden Rechner mittels dieser Nummer eine gefälschte Antwort zukommen zu lassen.
Leider konnten Experten bereits beobachten, dass Angreifer das Domain Name System auch als versteckten Datenkanal missbrauchen: Beim sogenannten DNS Tunneling umgehen sie die klassischen Verteidigungsmechanismen, indem sie den üblicherweise offenen DNS-Port zum Austausch von Daten verwenden. In kleine Stückchen von ein paar Bytes zerlegt und verschlüsselt (DNS Encapsulation) überwinden Dateien und deren Antworten über DNS-Anfragen die Schutzfunktionen.
Windows Server 2016
Wer sich mit der neuen Version 2016 des Windows Servers beschäftigt, stößt in erster Linie auf Neuerungen im Bereich der Containertechnik, deren bekanntester Vertreter Docker ist, oder auf Verbesserungen in Sachen Virtualisierung mit Hyper-V. Doch auch der Bereich Namensauflösung hat eine große Portion mehr Sicherheit mit auf den Weg bekommen.
Über den Anwendungslastenausgleich können IT-Spezialisten nun mehrere Instanzen einer DNS-Anwendung an verschiedenen Stellen bereitstellen. Wie bei allen HA-Verfahren (High Availability, Hochverfügbarkeit) nutzt auch der DNS-Server die Weiterleitung von Anfragen an denjenigen Server, der am besten geeignet erscheint.
In kleineren Umgebungen ist diese Funktion möglicherweise unnötig. Denn die Nennung mehrerer DNS-Server, auch ohne HA- oder Cluster-Funktion, wird in diesem Fall weiter ausreichen. Der relativ lange Timeout vor der Anfrage des nächsten DNS-Servers macht dieses Feature aber auch in einer KMU-Umgebung interessant. Weitgehend automatisch agiert das Traffic-Management in den neuesten Windows-Versionen, das die DNS-Clients automatisch an das jeweils nächstliegende Rechenzentrum weiterleiten.
DNS-Richtlinien
Sowohl der Anwendungslastenausgleich als auch das Traffic-Management sind Funktionen aus dem neuen Bereich der Richtlinien. Erstmalig können Administratoren nun DNS-Richtlinien festlegen und steuern, wie sich ihre DNS-Server bei Anfragen verhalten sollen. Zur Unterscheidung verwendet der Server den geografischen Standort des anfragenden Clients, ermittelt anhand der IP-Adresse. Alternativ kann der Administrator per Richtlinie zeitabhängig festlegen, wie eine DNS-Reaktion auszusehen hat.
Diese neuen Funktionen können IT-Verantwortliche über die grafische Oberfläche oder mithilfe der Power-Shell konfigurieren. Mit Befehlen wie Add-DnsServerClientSubnet -Name AmericaSubnet -IPv4Subnet 192.0.0.0/24, 182.0.0.0/24 kann der Administrator DNS-Subnetze automatisiert per Konsole erstellen und mit Add-DnsServerZoneScope -ZoneName? einem Scope zuzuweisen, um dann mit einem Befehl wie Add-DnsServerQueryResolutionPolicy -Name America6To9Policy -Action ALLOW -ClientSubnet eq,AmericaSubnet -ZoneScope SeattleZoneScope,4;DublinZoneScope,1 -TimeOfDay EQ,01:00-04:00 -ZoneName contosogiftservices.com -ProcessingOrder 1 eine Zeitzuweisung vorzunehmen.
Mit der Teilung in verschiedene Zone Scopes bietet der Windows Server 2016 einen weiteren Vorteil. Über das aus dem Clustering bekannte Verfahren Split Brain erlaubt der neue DNS-Server die Unterteilung der Scopes auf demselben Server und eine geteilte Ansteuerung für externe und interne Client-Systeme.
Unmöglich war vormals gezieltes Filtern von DNS-Anfragen: Ein DNS-Server konnte sich bisher nur via Firewall vor der Beantwortung unerwünschter Anfragen schützen. Die Entwickler in Redmond haben dies nun geändert und dem DNS-Server diverse Filterfunktionen spendiert. Als Filter bieten sich an: Client-Subnetze, Unterscheidung zwischen TCP- und UDP-Anfragen, Trennung von IPv4- und IPv6-Anfragen, das Interface auf dem Server, eine Liste mit FQDN-Einträgen, Uhrzeit oder Anfragetypen wie A, SRV oder TXT. Ein PowerShell-Befehl wie Add-DnsServerQueryResolutionPolicy -Name BlockListPolicy -Action IGNORE -FQDN EQ,*.gefaehrlich.de -PassThru sorgt für eine Nichtbeantwortung der Anfragen der Domäne gefaehrlich.de. Anstelle des Ausschlusses dürften die meisten Administratoren auf die Beschränkung einer benannten, zulässigen Domäne setzen. Das wäre als PowerShell-Kommando Add-DnsServerQueryResolutionPolicy -Name AllowListPolicyDomain -Action IGNORE -FQDN NE,*.lanline.de -PassThru für die Domäne der LANline.
Mehr Selbstbestimmung
In einem kleineren Unternehmen, in dem ein DNS-Server lediglich die internen Anfragen einiger Clients beantwortet, dürfte es selbst auf schwächerer Hardware kaum zu Leistungseinbußen kommen. Anders sieht es jedoch aus, wenn DNS-Server den Namensauflösungsdienst in großen Unternehmen oder auch für extern erreichbare Clients bieten. Praktischerweise erlaubt der Windows Server 2016 eine Begrenzung der Reaktionsfreudigkeit (Response Rate Limiting, RRL), um einer Überbelastung beispielsweise durch einen DoS/DDoS-Angriff zu entgehen.
Ohne RRL gibt der Server im Zweifelsfall alles, um die Anfragen zu beantworten. RRL erlaubt die Festlegung von Antworten pro Sekunde, Fehler pro Sekunde, Zeitfenster zwischen Anfragen, Leak-Rate (eine gezielte Unterbrechung der im vorherigen Abschnitt benannten Filtereinschränkungen alle n Sekunden) und der Gesamtzahl von Antworten für einen DNS-Client. Zudem erlaubt Windows ein Whitelisting für Domänen, Subnetze und Interfaces, die von der RRL-Regelung auszuschließen sind.
Administratoren sollten die Begrenzung der DNS-Antworten natürlich zunächst in einer Testumgebung evaluieren. Denn die Fehlersuche gestaltet sich durch die neuen Möglichkeiten im Zweifelsfall nicht unbedingt einfacher. Wie bei Windows 10 verhält sich auch der DNS-Client-Dienst beim Server 2016 im Detail anders als in den Vorgängerversionen. Dies gilt besonders bei Systemen mit mehreren Netzwerkkarten (Multi-Homed-Computer). Kommt ein DNS-Server, der auf einer bestimmten Schnittstelle konfiguriert ist, zur Auflösung einer DNS-Anfrage zum Einsatz, wird der DNS-Client-Dienst ebenfalls an diese Schnittstelle gebunden, bevor die DNS-Abfrage gesendet wird. Durch diese Bindung des Clients an eine bestimmte Schnittstelle kann der DNS-Client eindeutig die Schnittstelle bestimmen, auf der die Namensauflösung stattfindet.
Diese Maßnahme bewirkt, dass Anwendungen über die Netzwerkschnittstelle die Kommunikation mit dem DNS-Client optimieren können. Steuert man den DNS-Server hingegen über die Gruppenrichtlinien-Einstellung NRPT (Name Resolution Policy Table), bindet dies den DNS-Client-Dienst nicht an diese bestimmte Schnittstelle.
Erwartungsgemäß bietet der Windows Server 2016 alle sicherheitsrelevanten Verbesserungen seines Vorgängers wie eine Protokollierung und Diagnose bei der Namensauflösung, beispielsweise die sogenannten Zone-Level-Statistik.
DNSSEC und Windows
DNSSEC-Support (Domain Name System Security Extensions) und eine dynamische Ordnung der DNS-Forwarder bot bereits der Windows Server 2012R2. DNSSEC umfasst eine ganze Reihe von Internet-Standards, die DNS zur Gewährleistung der Authentizität und Integrität der Daten erweitern. DNSSEC stellt sicher, dass ein Ersteller wirklich dazu autorisiert ist, seine DNS-Zonendaten weiterzureichen.
Dadurch ist DNSSEC ein wirksames Mittel gegen Cache Poisoning. Die Übertragung der Ressource Records ist über digitale Signaturen gesichert. Eine Authentifizierung von Servern oder Clients selbst findet jedoch nach wie vor nicht statt.
Windows Server 2016 und DANE
DNSSEC sichert lediglich die Name-Server-Abfragen, was in Verbindung mit verschlüsselnden Übertragungsprotokollen wie TLS durchaus sinnvoll ist. Eine bereits bekannte Schwachstelle in diesem Konstrukt ist jedoch kompromittiertes Routing: DNSSEC ermittelt zwar korrekterweise eine Ziel-IP-Adresse, die jedoch aufgrund des verbogenen Routings an einen falschen Rechner gelangen könnte. Kann sich dieser Computer durch ein kompromittiertes oder versehentlich ausgestelltes Zertifikat ausweisen, fällt dies nicht weiter auf. Um das Zusammenspiel von DNSSEC und TLS zusätzlich zu sichern, gibt es DANE (DNS-based Authentication of Named Entities).
Mit dem neuen Windows Server unterstützt Microsoft nun ebenfalls DANE. Das Netzwerkprotokoll sorgt dafür, dass Zertifikate von TLS-Verbindungswegen nicht unbemerkt austauschbar sind. Das Konzept hinter DANE, definiert in RFC 6394 und 6698, ist an sich recht einfach: Statt einer CA-Instanz (Certification Authority) das Vertrauen zu schenken, prüfen Systeme gemäß DANE den sogenannten "TLSA Record" bei einer DNS-Anfrage. Nur wenn dieser Eintrag zur Identität und dem Zertifikat passt, gilt die Verbindung als sicher.
Zwei weitere Verfahren unterstützt der neueste DNS-Server von Microsoft: Unknown Record gemäß RFC 3597 und IPv6 Root Hints. Bei Letzterem handelt es sich um Einträge, die die IANA veröffentlicht und die Windows nunmehr korrekt interpretiert und nachlädt. RFC 3597 wiederum erlaubt die Einbindung noch nicht unterstützter Record-Einträge in den DNS-Server-Zones im Name-Cache.
Fazit
Heute gibt es gegen DoS/DDoS-Angriffe, bei denen Angreifer versuchen, ganze DNS-Segmente zum Zusammenbruch zu bringen, einige Schutzmechanismen, ebenso gegen die oben genannten Angriffsvektoren. Dennoch bleiben einige Risiken bestehen, darunter zum Beispiel das Domain Phishing. Darunter verstehen IT-Experten den Diebstahl einer etablierten und als seriös geltenden Domäne und deren Umleitung zu einer von Kriminellen kontrollierten Site: Über eine E-Mail wird der Domäneninhaber aufgefordert, die Laufzeit zu verlängern; beachtet er den Inhalt der E-Mail nicht näher, stimmt er einem Wechsel des Registrars zu. Domänenübernahmen beginnen auch manchmal mit gestohlenen Identitäten: Bewaffnet mit Benutzername, Passwort, PIN, Kreditkarten- oder Sozialversicherungsnummer stehlen Angreifer eine Domäne. Gegen solche Betrügereien bleiben DNS-Verbesserungen machtlos.
Lesen Sie mehr zum Thema
