DHCP und DNS in Windows Server 2016 steuern

Infrastrukturdienste mit IPAM absichern

| Autor / Redakteur: Thomas Joos / Andreas Donner

Mit dem IP-Adressverwaltungsserver (IPAM) lassen sich DHCP- und DNS-Server zentral überwachen und steuern.
Mit dem IP-Adressverwaltungsserver (IPAM) lassen sich DHCP- und DNS-Server zentral überwachen und steuern. (Bild: Joos)

DHCP und DNS sind wichtige Dienste, wenn es um die Netzwerk-Infrastruktur geht. Um sichere Netzwerke zu betreiben, reicht es heute jedoch nicht mehr aus, Dienste wie DHCP und DNS einfach nur zu installieren und zu nutzen. Es sind Maßnahmen notwendig, um auch diese Dienste vor Angreifer abzusichern.

DHCP und DNS lassen sich auch in Windows Server 2016 recht schnell einrichten und betreiben. Generell werden einige Sicherheitseinstellungen bereits standardmäßig gesetzt, sollten aber dennoch kontrolliert werden. Wir geben einige Hinweise für den sicheren Betrieb von DHCP und DNS in Windows-Netzwerken.

IPAM nutzen

Mit Windows Server 2016, aber auch in Windows Server 2012 R2 bietet Microsoft weitere Funktionen um DHCP-Server stabil, sicher und hochverfügbar im Netzwerk zur Verfügung zu stellen. Eine Neuerung seit Windows Server 2012 ist IP-Adressverwaltungsserver (IPAM). Dieser Serverdienst überwacht und steuert zentral DHCP- und DNS-Server. Die Installation erfolgt als Serverfeature, die Verwaltung über Assistenten im Server-Manager (siehe Abbildung 1).

Der IPAM-Dienst kann Änderungen und die Serverdienste zentral überwachen. IPAM dient nicht nur der Überwachung von DNS- und DHCP-Servern, sondern bietet auch eine Verwaltungsmöglichkeit dieser Server in einer gemeinsamen Oberfläche. IPAM verfügt über folgende Funktionen:

  • Automatisches Auffinden der IP-Adress-Infrastruktur im Unternehmen
  • Erstellen von Berichten über die IP-Infrastruktur
  • Überwachung der Infrastrukturserver im Netzwerk und der vorhandenen IP-Adressen
  • Überwachung von Netzwerkzugriffschutzservern
  • Überwachung von Domänencontrollern

IPAM sucht über einen Zeitplan ständig nach neuen Servern im festgelegten Bereich. Dadurch erhalten Administratoren ständig einen umfassenden Überblick zur Infrastruktur. Zur Verwaltung verfügt IPAM auch über ein Rechtemodell auf Basis der Mitgliedschaft in Sicherheitsgruppen:

  • IPAM Users: Mitglieder dieser Grippe dürfen IPAM-Daten lesen, aber keine Einstellungen ändern
  • IPAM MSM Administrators: Mitglieder dieser Gruppe dürfen lesen und schreiben. Auch IPAM-Aufgaben dürfen die Administratoren durchführen, genauso wie die Verwaltung der angebundenen Server durchführen.
  • IPAM ASM Administrators: Diese Administratoren dürfen IP-Adressbereiche verwalten und andere IPAM-Aufgaben durchführen. In dieser Gruppe sollten die Netzwerkadministratoren Mitglied sein.
  • IPAM IP Tracking Administrators: Diese Administratoren dürfen die Trackingdaten der IP-Adressen betrachten.
  • IPAM Administrators: Diese Administratoren dürfen innerhalb von IPAM alle Aufgaben durchführen.

Um die Dienste sicher zu betreiben, sollte mit diesen Rollen gearbeitet werden. Nicht jeder Administrator braucht umfassende Rechte für die komplette Infrastruktur. Die Einstellungen und Anbindung der Server lässt sich über Gruppenrichtlinien steuern (siehe Abbildung 2).

Dynamische Aktualisierungen steuern

Auf der Registerkarte „Allgemein“ in den Einstellungen der DNS-Zonen können Administratoren festlegen, dass die Zone in Active Directory integriert wird und welche Systeme sich dynamisch registrieren, also neue DNS-Einträge erstellen dürfen. In sicheren Netzwerken sollte die dynamische Registrierung auf „Nur sichere“ gestellt werden (siehe Abbildung 3). Das stellt sicher, dass nur authentifizierte Rechner neue DNS-Einträge erstellen, oder vorhandene Einträge ändern dürfen.

DNSSEC – Sicherheit in DNS

In Windows Server 2016 lassen sich Zonen auch online digital signieren. Es ist nicht notwendig, diese vorher offline zu setzen. DNSSEC lässt sich komplett in Active Directory integrieren. Dies umfasst auch die Möglichkeit, dynamische Updates für geschützte Zonen zu aktivieren. Windows Server 2016 unterstützt Standards wie NSEC3 und RSA/SHA-2.

DNSSEC wird auch auf schreibgeschützten Domänencontrollern (Read-Only Domain Controller, RODC) unterstützt. Findet ein RODC mit Windows Server 2016 eine signierte DNS-Zone, legt er automatisch eine sekundäre Kopie der Zone an und überträgt die Daten der DNSEC-geschützten Zone. Dies hat den Vorteil, dass auch Niederlassungen mit RODCs gesicherte Daten auflösen können, aber die Signatur und Daten der Zone nicht in Gefahr sind. Über das Menü „Tools“ im Server-Manager lässt sich das Verwaltungswerkzeug starten (siehe Abbildung 4). DNSSEC lässt sich über das Kontextmenü der Zonen konfigurieren.

Die Signierung der Zone erfolgt über einen Assistenten. Mit diesem können Administratoren DNS-Zonen vor Manipulationen schützen. Im Assistenten wird auch der Schlüssel für die eigentliche Signatur festgelegt. Auch dieser Vorgang lässt sich direkt in der Verwaltungskonsole über einen Assistenten festlegen. Sind die notwendigen Schlüssel erstellt, also der Schlüsselsignaturschlüssel (Key Signing Key, KSK) und der Zonensignaturschlüssel (Zone Signing Key, ZSK), lässt sich die Absicherung festlegen (siehe Abbildung 5).

Windows Server 2016 unterstützt hierbei Next Secure 3 (NSEC3), aber auch die ältere Version NSEC. In Windows Server 2016 stellt ein DNS-Server den Key-Master-Server dar. In den DNSSEC-Eigenschaften einer Zone lassen sich die Einstellungen und Schlüssel jederzeit anpassen. Hier stehen alle Eigenschaften zur Verfügung, die auch der Assistent bietet. Auch das Aufheben der Signierung ist über diesen Weg möglich.

Konfiguration des Aufräumvorgangs

So bequem die dynamische Aktualisierung der DNS-Einträge auch sein mag, sie birgt auch die Gefahr, dass sich im Laufe der Zeit eine Menge veraltete Einträge ansammeln, zum Beispiel Computer, die irgendwann mal in Betrieb waren, sich dynamisch registriert haben und irgendwann wieder außer Betrieb genommen wurden. Das stellt auch ein Sicherheitsrisiko dar, da die DNS-Einträge gekapert werden können.

Die zugehörigen DNS-Einträge verbleiben außerdem auch in der Datenbank und erhöhen den Platzbedarf, die Zeit für Suchen in der Datenbank sowie die Übertragungszeiten bei der Replikation zu anderen DNS-Servern. Um diesem Wachstum Einhalt zu gebieten, sollte die Alterung der dynamischen Einträge konfiguriert werden (siehe Abbildung 6).

Dieser Vorgang kann auf der Registerkarte „Allgemein“ über die Schaltfläche „Alterung“ vorgenommen werden. In der Standardeinstellung bleiben alle Einträge so lange erhalten, bis sie vom Administrator manuell gelöscht werden. Wird das Kontrollkästchen Veraltete Ressourceneinträge aufräumen genutzt, um die Einträge mit Zusatzinformationen über den Zeitpunkt der letzten Aktualisierung, den so genannten Zeitstempel, zu versehen und sie anschließend aufgrund dieser Informationen als veraltet erkennen und löschen zu können.

Da jede Änderung des Zeitstempels immer dazu führt, dass sekundäre DNS-Server eine Replikation der DNS-Daten anfordern, wird eine Mindestzeit vorgegeben, nach der der Zeitstempel wieder neu gesetzt werden kann. Registriert sich ein System während dieser Zeit erneut beim DNS-Server, erfolgt keine Veränderung an diesem Eintrag. Erst nach Ablauf der Zeit wird der Zeitstempel neu gesetzt. Dieser Wert wird im Abschnitt „Intervall für Nichtaktualisierung“ festgelegt.

Die Verweildauer eines Eintrags in der Datenbank wird im Abschnitt

„Aktualisierungsintervall“ festgelegt. Nach Ablauf dieser Zeitspanne wird ein System als inaktiv erkannt und der zugehörige Eintrag aus der Zone gelöscht. Der hier angegebene Wert muss größer sein als das minimale Intervall zwischen zwei Aktualisierungen des Zeitstempels, da sonst auch aktive Einträge gelöscht würden, die lediglich noch nicht aktualisiert werden konnten.

Administratoren können den Prozess auch manuell starten, indem sie im Kontextmenü des DNS-Servers den Befehl „Veraltete Ressourceneinträge aufräumen“ aufrufen und die anschließende Sicherheitsabfrage bestätigen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44815527 / Client-/Server-Administration)