Unsere Datenschutzrichtlinie wird in Kürze aktualisiert. Bitte sehen Sie sich die Vorschau an.

Netzwerke härten mit Kali Linux

Zusätzliche Sicherheit für DHCP und DNS konfigurieren

Testen Sie unsere 2019 Kurse

10 Tage kostenlos!

Jetzt testen Alle Abonnements anzeigen
In diesem Video erklärt Ihnen Tom Wechsler, wie Sie zusätzliche Sicherheit für DHCP (Dynamic Host Configuration Protocol) und DNS (Domain Name System) implementieren können.
09:59

Transkript

DHCP und DNS sind system- beziehungsweise netzwerkkritische Dienste, welche unbedingt auch sicher gemacht werden sollten. Wir haben unter Maßnahme den Punkt 4 "Protokolle und Dienste". es gibt Möglichkeiten eine gewisse zusätzliche Sicherheit zu implementieren. Sie können allerdings DNS und DHCP nicht so komplett sicher machen, weil sonst würde der Dienst gar nicht mehr zur Verfügung stehen, und Systeme könnten dann zum Beispiel nicht mehr über DHCP eine Adresse beziehen. Selbstverständlich Sie könnten DHCP komplett ausschalten, müssen dann sämtliche Systeme manuell adressieren, ich denke in einer größeren Umgebung das ist gar nicht das Thema. Wir haben aber die Möglichkeit zusätzlichen Schutz zu implementieren. Ich zeige Ihnen, dass aufgrund meiner Testumgebung, auf DCSRV01. Der erste Schritt besteht darin, dass ich die DNS-Konsole öffne. Verwende dazu den Server-Manager-Tools DNS. Nun habe ich die Möglichkeit unter Forward-Lookupzonen jene Zonen zu schützen, die entsprechend bestimme. In meinem Fall ist es corp.int, weil das ist die produktive DNS-Zone. ich habe die Möglichkeit DNS-Security zu implementieren. Das bedeutet, dass sämtliche Einträge in der Zone eine Signatur erhalten. Das ist dann für den Client sehr hilfreich, weil er kann dann verifizieren, ist der Host A Rekord wirklich auch der Eintrag, den ich erwartet habe, weil er hat die Möglichkeit, dies mit der Signatur zu verifizieren. Wie können Sie DNSSEC einsetzen? Mit einem Rechtsklick öffnet sich das Kontextmenü, und Sie sehen hier DNSSEC und da haben Sie die Möglichkeit Zonen zu signieren. Als kleiner Hinweis, DNSSEC ist nicht ein Microsoft ..... Dienst, nein, DNSSEC ist ein allgemeiner Standard können Sie auch auf einem anderen Betriebssystem implementieren. Ich wähle also "Zone signieren" aus, ich wähle weiter, ich wähle die Standardeinstellungen für "Zonen Signierung verwenden", ich möchte Ihnen das einfach beispielhaft zeigen, es geht hier nicht darum, dass wir einen Microsoft-Kurs belegen, sondern ich möchte Ihnen einfach auf schnelle Art und Weise zeigen, wie Sie DNSSEC implementieren können. Ich wähle also die dritte Option, wähle "Weiter", ich erhalte Übersicht, welche Konfigurationen da durchgeführt werden, ich wähle "Weiter", diese Konfiguration ist abgeschlossen und "Fertig stellen". Wenn ich nun diese Konsole aktualisiere, dann werden hier zusätzliche Einträge vorhanden sein. Ich wähle also "Aktualisieren" aus, Nun sehen Sie, wurde jeder Eintrag mit einer zusätzlichen Signatur versehen. Das ist aber nur der erste Schritt. Der nächste Schritt, den Sie einsetzen müssen, Sie brauchen die Gruppenrichtlinienverwaltung, Sie wenden also den Server-Manager an, wählen Tools, Gruppenrichtlinienverwaltung, und nun müssen Sie ein neues Gruppenrichtlinienobjekt erstellen, um den Clients zu erklären, dass Sie nun DNSSEV einsetzen müssen. Das ist keine große Sache, Rechtsklick auf die Domäne, dann zum Beispiel Gruppenrichtlinienobjekt hier erstellen und verknüpfen, Sie bestimmen einen Namen, DNSSEC bietet sich dann, ich wähle OK, nun kann ich dieses Objekt bearbeiten mit Rechtsklick, ich wähle Richtlinien, dann navigiere ich zu Windows-Einstellungen, Klicken Sie auf Namensauflösungsrichtlinie und dann haben sie hier bereits die Möglichkeit die DNSSEC-Regel zu aktivieren. Zuerst einmal geben Sie das Suffix an, welches Sie entsprechend schützen möchten, in meinem Fall ist es "corp.int", dann wählen Sie hier DNSSEC in dieser Regel aktivieren, da hat es nun die entsprechende Markierung übernommen, manchmal ist diese Markierung nicht gesetzt, ich setze hier "Sicherstellung durch DNS-Clients erforderlich, dass Namens- und Adressdaten von DNS-Server überprüft wurden", Navigieren Sie ein wenig nach unten, wählen Sie "Erstellen" und nun wird diese Regel entsprechend hier hinterlegt. Sie können nun auf "Anwenden" klicken, um das sicher zu übernehmen, und die Konfiguration ist entsprechend abgeschlossen, Sie sehen hier das wurde nun in der entsprechenden Tabelle aufgelistet, wunderbar, Sie können den Gruppenrichtlinienverwaltungs-Editor schließen, und die Richtlinie wurde bereits an die Domäne verknüpft, wenn nun die Systeme diese Gruppenrichtlinie übernehmen, dann besteht die Möglichkeit, dass die Client-Systeme die entsprechenden Informationen aufgrund einer Signatur validieren können. Sie haben also gesehen, so haben wir die Möglichkeit DNS etwas sicherer zu machen, in dem wir für jeden Hosteintrag eine entsprechende Signatur erstellen. Eine weitere Möglichkeit bietet sich an in DNS, indem Sie, wenn Sie die Möglichkeit haben, die DNS-Zone in Active Directory abzulegen, und dann können Sie eine Markierung setzen, ich wähle da wiederum Rechtsklick Eigenschaften, und dann sehen Sie, hier haben Sie die Einstellung "Dynamische Updates", und da haben Sie die Möglichkeit nur sichere dynamische Updates zuzulassen, was bedeutet, dass es können nur Systeme einen DNS-Eintrag erstellen, welche Mitglied der Domäne sind. Somit werden also nicht DNS-Einträge erstellt von Systemen, welche nicht Mitglied der Domäne sind. Das ist eine weitere Möglichkeit, um DNS etwas sicherer zu machen. Wir haben auch die Möglichkeit DHCP ein wenig sicherer zu machen. Ich navigiere im Server-Manager auf Tools und ich wähle die DHCP-Konsole aus. ich öffne diese Konsole, damit wir das besser sehen können, und wir haben zum Beispiel eine Möglichkeit, mit sogenannten Mac-Filtern zu arbeiten. Mit Rechtsklick auf das Protokoll wähle ich Eigenschaften, dann wähle ich Filter aus, und Sie sehen hier wir haben die Möglichkeit Mac-Filter einzusetzen, "Liste zulassen" aktivieren, "Liste verweigern" aktivieren, das bedeutet, wir können eine Whitelist erstellen oder eine Blacklist, je nachdem, und wir konfigurieren dann in diesen Listen, welche Mac-Adressen werden zugelassen beziehungsweise erhalten eine IP-Adresse. Sie sehen diese Filter sind hier aufgelistet, wir haben zulassen und verweigern, somit können Sie gewährleisten, dass wirklich nur Systeme eine IP-Adresse erhalten, welche in diesem Filter entsprechend konfiguriert wurden, somit ist eine weitere Sicherheitsbarriere eingebaut. Oder wir können auf den Bereich klicken, wir öffnen mit Rechtsklick das Kontextmenü, wählen Eigenschaften, wir navigieren zum Register DNS, und hier haben Sie die Möglichkeit verschiedene Optionen zu setzen. Sie sehen dynamische DNS-Aktualisierung mit den unten angegebenen Einstellungen aktualisieren, DNS-Einträge nur nach Anforderung von DHCP-Clients dynamisch aktualisieren, das können wir so umsetzen, oder wir können auch setzen "DNS-Einträge immer dynamisch aktualisieren, wenn Sie keine dynamische Aktualisierung über DHCP zulassen möchten, dann wählen Sie einfach diese Option, und somit ist es ausgeschaltet. Was bedeutet dynamische DNS-Aktualisierung? Wenn der DHCP-Server einem Client einen neuen Lies oder einen bestehenden Lies bestätigt, dann wird automatisch über DHCP angefordert, dass entsprechend der DNS-Eintrag gesetzt wird. Das ist hier entsprechend beschrieben. Wenn Sie das nicht möchten, dann wie gesagt deaktivieren Sie diese Option, nun ist sie ausgeschaltet. Sie können aber auch eine zusätzliche Funktion implementieren, den DHCP-Namensschutz. Wählen Sie hier "Konfigurieren" und aktivieren Sie "Namensschutz aktivieren". Damit besteht die Möglichkeit, dass nur Systeme in DNS eingetragen werden, welche noch keinen A- oder PTR-Eintrag in der DNS-Zone konfiguriert haben. Das ist also eine Möglichkeit, um doppelte Namen in einer DNS-Zone zu verhindern. Das ist folglich ein Vorteil, wenn Sie zum Beispiel ein Client-System in der DNS-Zone integriert haben, da wurde ein A-Rekord erstellt, zum Beispiel Client01.cor.in, Sie haben nun ein Linux-System im Netzwerk, das heißt Client o1, dann würde entsprechend über DHCP ein DNS-Eintrag erstellt werden, mit dieser Option hier wird genau das verhindert. Und weil wir in DNS ebenfalls bestimmt haben, dass nur sichere dynamische Updates zugelassen werden, könnte auch das Linux-System über diese Funktion sich nicht in DNS eintragen, weil das Linux-System nicht Mitglied der Domäne ist. Ich habe Ihnen also in diesem Video gezeigt, wie Sie die Möglichkeit haben DNS und DHCP, das sind zwei Dienste, welche wirklich kritisch sind, mit zusätzlichen Maßnahmen entsprechend härten können.

Netzwerke härten mit Kali Linux

Lernen Sie Ihr Netzwerk mit den Tools aus Kali Linux zu scannen, die Scans auszuwerten und Ihre Systeme zu härten.

4 Std. 48 min (40 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!