So erhöht man die Sicherheit am DNS-Server

Grundlegendes

Grundsätzlich können im DNS-Server alle Einträge überschrieben werden. Dies ist natürlich auch notwendig. Vor allem, wenn sich Einträge verändern. Aber auch Angreifer versuchen dies auszunutzen. Wenn ein falscher Record in der DNS-Datenbank ist, so kann dies dafür verwendet werden, um Benutzer auf eine falsche Webseite zu leiten. Dort könnten dann im schlimmsten Fall seine Daten abgegriffen werden. Aber es gibt Möglichkeiten für diesen Fall einen höheren Schutz einzubauen.

Die verschiedenen Einträge bezeichnet man als Records. So gibt es Einträge für IPv4-Adressen (A-Record), IPv6-Adressen (AAAA-Record), E-Mail-Server (MX-Record) und noch viele mehr. Wenn du wissen möchtest, wie man einen DNS-Server unter Windows einrichtet und installiert, so kannst du in der folgenden Anleitung nachlesen. DNS-Server einrichten: Im Windows Betriebssystem

DNS Socket Poolsize auslesen und ändern

Für die Abfrage nach der Adresse wird ein Port benötigt. Wenn der Port jetzt zufällig gewählt wird, so ist es für einen Angreifer schwieriger den DNS-Cache zu manipulieren. Wenn der DNS-Dienst gestartet wird, so wählt der Server anschließend einen Quell-Port aus einem Pool von Sockets aus.

Es wird also im Grunde kein statischer Port verwendet, sondern ein zufälliger. Dies erhöht jetzt die Sicherheit, weil eben der Hacker jetzt den Port und die Transaction-ID herausfinden muss.

Mit der cmd lässt sich die Socketpoolsize auslesen. Hierfür verwendet man am einfachsten das Tool dnscmd.

dnscmd /info /socketpoolsize
Socketpoolsize am Windows Server ändern
Socketpoolsize am Windows Server ändern

Wenn du jetzt die Socketpoolsize verändern möchtest, so kannst du das ebenso am einfachsten über das Cmd Tool dnscmd vornehmen.

dnscmd /config /socketpoolsize 5000 
Anzeige der Socketpoolsize am Windows Server
Anzeige der Socketpoolsize am Windows Server

DNS-Cache Sperre einrichten

Möchte man verhindert, dass die Einträge sofort überschrieben werden, so kann man die sogenannte DNS Cachesperrung am Windows Server konfigurieren.

Jeder Eintrag kann dabei mit einer sogenannten TTL (time to Live) versehen werden. Im Grunde bestimmte man damit, wann Einträge im DNS-Server überschrieben werden dürfen.

Set-DnsServerCache –LockingPercent 90

Auch diese Konfiguration erhöht die Sicherheit des DNS-Servers.

Lesenswerte Bücher

Dieser Artikel beinhaltet Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhält IT-Learner eine kleine Provision. Der Preis ändert sich für euch nicht. Danke für eure Unterstützung! Letzte Aktualisierung am 8.02.2024

9b283b1bad0a4cc5977cc0d9313688b7

Das könnte dich auch interessieren

Der Blogbetreiber und Autor: Markus Elsberger

Über den Autor

Mein Name ist Markus Elsberger und ich beschäftige mich mit der Administration von Windows und Linux Systemen sowie mit diversen Themen bzgl. Netzwerktechnik. In meiner Lehrtätigkeit erstelle ich verschiedene Szenarien und teste auch verschiedene Konfigurationen, welche ich in diesem Blog festhalten möchte.


Kostenlose Befehlsreferenzen und E-Books
(Netzwerkanalyse, Benutzerverwaltung, Festplattenkonfiguration, u. v. m.)


Nach oben scrollen
×