Ziel / Zweck
Domain Name System (DNS) ist ein Netzdienst, der dazu eingesetzt wird, Hostnamen von IT-Systemen in IP-Adressen umzuwandeln. Üblicherweise wird über DNS zu einem Hostnamen die entsprechende IP-Adresse gesucht (Vorwärtsauflösung). Ist hingegen die IP-Adresse bekannt und der Hostname wird gesucht, wird dies als Rückwärtsauflösung bezeichnet. DNS kann mit einem Telefonbuch verglichen werden, das Namen nicht in Telefonnummern, sondern in IP-Adressen auflöst. Welche Namen zu welchen IP-Adressen gehören, wird im Domain-Namensraum verwaltet. Dieser ist hierarchisch aufgebaut und wird von DNS-Servern zur Verfügung gestellt. DNS-Server verwalten den Domain-Namensraum im Internet, werden aber auch im internen Netz der Institution eingesetzt. Auf den IT-Systemen (DNS-Clients) sind standardmäßig sogenannte Resolver installiert. Darüber werden die Anfragen an DNS-Server gestellt. Als Antwort liefern diese Informationen über den Domain-Namensraum zurück. Die Bezeichnung DNS-Server steht im eigentlichen Sinne für die verwendete Software, wird jedoch meist auch als Synonym für das IT-System selbst benutzt, auf dem die DNS-Software betrieben wird.
DNS-Server können nach ihren Aufgaben unterschieden werden. Dabei gibt es grundsätzlich zwei verschiedenen Typen: Advertising DNS-Server und Resolving DNS-Server. Advertising DNS-Server sind üblicherweise dafür zuständig, Anfragen aus dem Internet zu verarbeiten. Resolving DNS-Server hingegen verarbeiten Anfragen aus dem internen Netz der Institution.
Ein Ausfall eines DNS-Servers wirkt sich gravierend auf den Betrieb der IT-Infrastruktur aus. Dabei ist nicht direkt das ausgefallene DNS-System problematisch, sondern die daraus resultierende Einschränkung DNS-basierter Dienste. Unter Umständen sind Webserver oder E-Mail-Server oder die komplette SaaS-Lösung der Institution nicht mehr erreichbar. Da DNS von sehr vielen Netzanwendungen benötigt wird, müssen laut Spezifikation (RFC 1034) mindestens zwei autoritative DNS-Server (Advertising DNS-Server) für jede DNS-Zone betrieben werden.
In dieser Sicherheitsrichtlinie werden die für einen DNS-Server spezifischen Anforderungen für einen sicheren Betrieb definiert. Die Anforderungen der Sicherheitsrichtlinie beachten hierbei die Vorgaben des BSI Bausteines APP.3.6 „DNS-Server" aus dem Kompendium 2020.
Über den bereitgestellten Download-Link kann die Vorlage heruntergeladen werden.
