CertBase Community
Die Lernplattform für Ihren Erfolg

70-412, Frage 124 (DNSSEC)

rated by 0 users
This post has 2 Replies | 2 Followers

Top 10 Mitwirkender
Beiträge 176
mongo Posted: Fri, 06. Sep 2013 16:31 | IP-Adresse ist Registriert

Ich kann die Erläuterungen nicht nachvollziehen.

  1. Wie soll durch Anwenden einer Sicherheitsvorlage eine Zone digital signiert werden? Mit welcher Einstellung in einer Vorlage erreiche ich das?
  2. Womit kann die Behauptung Im Gegensatz zu unsignierten Zonen ist jedoch der Datenverkehr über Port 53 TCP und über Port 53 UDP erforderlich. belegt werden?
    Port 53/TCP ist für Zonenübertragungen, 53/UDP für Namensauflösungsabfragen
  3. Was hat eine Zertifizierungsstelle mit DNSSEC zu tun? Die erforderlichen Schlüssel werden alle DNS-intern erzeugt und verwaltet. Das ist auch im Internet so. Siehe Übersicht über DNSSEC und Wikipedia.

Da eine Sicherheitsvorlage nur sieben Einstellungen der Sicherheitseinstellungen, die über Gruppenrichtlinien verwaltet werden können, enthält, ist es meiner Meinung nach nicht möglich, dass nach Anwendung einer Sicherheitsvorlage keine Namensauflösung mehr möglich ist. Ausnahmen könnten sein:

  • der Startmodus des Dienstes DNS-Server wurde auf deaktiviert gesetzt. Der Screenshot in der Aufgabe zeigt aber eindeutig, dass der DNS-Server läuft, da die Forward-Lookupzonen zu sehen sind.
  • Es wurde irgend ein Eintrag in der Registrierung verändert, wobei mir nicht klar ist, welcher Parameter verändert sein soll, so dass eine Namensauflösung der eigenen Zone nicht mehr möglich sein soll. Vorstellbar sei, dass Parameter unter TCPIP verändert wurden und dadurch der DNS-Server eine andere IP-Adresse hat. Nur kann man das aus der Aufgabenstellung nicht entnehmen und es gibt auch keine passende Lösung dazu,
  • Es wurde Berechtigungen im Dateisystem geändert. Allerdings erscheint mir das genauso unwahrscheinlich, wie Änderungen in der Registrierung. Wenn der DNS-Server auf wichtige Dateien nicht zugreifen könnte würde er entweder gar nicht gestartet oder eine oder mehrere Zonen nicht laden. beides ist aber nach dem Screenshot nicht der Fall.

Versuchen wir also die Aufgabe nach dem Ausschlussverfahren zu lösen:

A: Wenn 53/UDP eingehend deaktiviert wird, ist definitiv keine Namensauflösung mehr möglich. Diese Antwort kann also nicht richtig sein.

B: Die Einstellungen der Zonenübertragung haben nichts mit der Namensauflösung zu tun. Außerdem gibt es laut Aufgabe gar keinen zweiten DNS-Server, der eine sekundäre Standardzone hostet.

C: Das Entfernen der Signatur wird die Situation nur noch verschlimmern. Wenn die Clients über eine NRPT konfiguriert sind, ohne die DNSSEC gar keinen Sinn machen würde, dann würden sie nach Entfernen der Signaturen keine Namensauflösung mehr akzeptieren, da sie wegen fehlender digitaler Signatur offenbar von einem Fake-Server stammt.

D: Fehler im SOA führen nicht zum Nicht-funktionieren der Namensauflösung, wenn es sich um eine eigene Zone handelt.

E: Bei den Regeln könnte man nur die IP-Bereiche und Profile ändern, da es sich um vordefinierte Regeln handelt (erkennbar an der Gruppe DNS-Dienst). Die sind aber alle auf ihren Standardwerten und schränken somit die Kommunikation nicht ein.

Fazit: Keine der angegebenen Lösungen ist möglich. Was mich auch nicht verwundert, da die Aufgabe meiner Meinung nach gar nicht möglich ist.

BTW: Warum steht ein DNS-Server, der eine Zone für das Active Directory auflöst (zu erkennen an der Zone msdsc) im Umkreisnetzwerk? Damit er leichter aus dem Internet angegriffen werden kann?

Also noch einmal meine Frage: Warum soll welche Lösung richtig sein?

 

Top 10 Mitwirkender
Beiträge 490
webbel Antwort zu Thu, 16. Jul 2015 12:22 | IP-Adresse ist Registriert

Hallo!

Die Frage, bzw. die Abbildung der Firewallregeln und die Begründung machen mir auch zu schaffen. :-)

DNSSEC erzeugt Datenpakete die größer als 512 B sind. Deswegen muss Port 53 für beide Protokolle geöffnet werden.

http://www.cisco.com/web/about/security/intelligence/dnssec.html

http://www.networkworld.com/article/2231682/cisco-subnet/cisco-subnet-allow-both-tcp-and-udp-port-53-to-your-dns-servers.html

Die Vermutung, das die Sicherheitsrichtlinie DNSSEC aktiviert hat, finde ich auch "merkwürdig" .

Wenn die Firewallregel Einschränkungen enthalten würde, wäre das im Bild auch sichtbar.

 

Gruß

Frank

Top 10 Mitwirkender
Beiträge 1,704
Maik Antwort zu Thu, 16. Jul 2015 20:06 | IP-Adresse ist Registriert

Hallo Frank,

die Einschränkung der Bereiche der Firewallregeln ist eine gute Idee.

Ich habe aus der "Sicherheitsvorlage" eine "Sicherheitsrichtlinie" gemacht. Sicherheitsrichtlinien werden mit dem Sicherheitskonfigurations-Assistenten erstellt und enthalten im Gegensatz zu Sicherheitsvorlagen auch Firewalleinstellungen).

Die Abbildung mit den Firewallregeln ist jetzt so geändert, dass "DNS (TCP, eingehend)" und "DNS (UDP, eingehend)" auf Remoteadressen des lokalen Subnetzes Subnetzes beschränkt sind. Clientanfragen aus anderen Subnetzen können dadurch nicht mehr empfangen werden und Antwort E stellt eine plausible Lösung dar.

Gruß
Maik

Seite 1 von 1 (3 Treffer) | RSS
CertBase - IT-Prüfungsvorbereitung Online