Mit DNS Netzwerkdienste absichern

Im Auftrag der Sicherheit

Das Domain Name System, kurz DNS, ist bekannt zur Namensauflösung im Internet. Neben der Zuordnung zu IP-Adressen unterstützt DNS aber auch die Absicherung von Netzwerkkommunikation mit den Servern innerhalb einer Domäne. Der Security-Tipp in diesem Monat zeigt Ihnen die Möglichkeiten, die DNS zur weiteren Absicherung bietet. Dabei stellen wir insbesondere die Einträge von SSH-Fingerabdrücken und der Certificate Authority Authorization vor.
Die Datenmengen in Unternehmen wachsen unaufhaltsam. Zunehmend wichtig wird daher das intelligente Aufbewahren und Bereitstellen der Informationen. Im Juni-Heft ... (mehr)

Bereits im Jahr 1983 wurde das Domain Name System (DNS) spezifiziert. Die Funktionsweise von DNS machte die Verwendung einer lokal gepflegten HOSTS-Datei mit Einträgen zur Namensauflösung überflüssig und trug somit maßgeblich zum Erfolg des Internets bei.

Der dezentrale Ansatz zur Auflösung von Domänennamen in IP-Adressen begann, wie bei fast allen Protokollen des Internets, zunächst ohne Fokus auf Sicherheitsaspekte. Gut zehn Jahre später begannen die Arbeiten an den DNS Security Extensions (DNSSEC), die uns heute den Betrieb einer zuverlässigen und kryptografisch abgesicherten DNS-Infrastruktur erlauben.

Neben der sicheren Namensauflösung hat sich DNS als Universalprotokoll für die Absicherung von Netzwerkprotokollen etabliert. Der wohl bekannteste Einsatzzweck ist die sichere E-Mail-Kommunikation mittels Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und der Kombination dieser beiden in Form von Domain-based Message Authentication, Reporting and Conformance (DMARC).

SSH-Fingerprints prüfen

Vom ersten Aufbau einer SSH-Verbindung kennen Sie die Anzeige und die Überprüfung des Server-Fingerabdrucks. Obwohl hier aus Sicherheitsgründen eine zuverlässige Prüfung geboten ist, werden angezeigte Fingerprints häufig nur abgenickt. Hier können Sie als verantwortlicher Administrator dank SSH-Fingerprinting zuverlässig (SSHFP) Abhilfe schaffen. Beim Erzeugen der notwendigen DNS-Einträge für Ihren Server erhalten Sie mit dem Kommando

ssh-keygen -r hostname

eine Ausgabe an Hash-Werten. Die beiden Ziffern vor dem Fingerabdruck kodieren den Algorithmus und das genutzte Hash-Verfahren [1]. Dabei stehen die Ziffern 1 bis 4 an vorderer Stelle in aufsteigender Reihenfolge für RSA, DSA, EC­DSA und Ed25519. Der Ziffer 5 ist bisher kein Algorithmus zugewiesen und die 6 steht für Ed448. Die Werte 1 und 2 an zweiter Stelle stehen

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022