TIPS & TRICKS – SERVER – DHCP – DHCP gegen DNS-Spoofing schützen
Eines von vielen Angriffszielen im Netzwerk ist DNS-Spoofing, was dazu führt das gefälschte oder kaputte DNS-Einträge, meist über DHCP, abgelegt werden.
Clients können sich per DHCP dynamisch im DNS registrieren. Diese Updates sind praktisch, können aber auch Sicherheitslücken verursachen. Es ist daher sehr sinnvoll, die Standardeinstellungen zu ändern oder dynamische DNS-Update zu deaktivieren. Dies führt zwar einer umständlichen manuellen Verwaltung von DNS-Einträgen von DHCP-Geräten, erhöht aber die Netzwerk-Sicherheit, da Angreifer auch ohne Authentifizierung selbst DNS-Einträge über die dynamische Registrierung mit DHCP erzeugen können.
Zur Deaktivierung starten Sie die DHCP-Verwaltung auf dem Server. In den Eigenschaften von IPv4 und IPv6 welchseln Sie auf die Registerkarte „DNS“.
- aktivieren Sie dort den Namensschutz. Das stellt sicher, dass bereits vorhandene, verifizierte Client-Einträge im DNS nicht einfach ersetzt werden.
- zu empfehlen ist es, die Option „dynamische DNS-Updates“ zu deaktivieren