• Menu
  • Netzwerk
    • Überblick
    • öffentliche route-servers / BGP Regular expr
    • Netzwerk-Scanner
    • Plan for Network Migration and Growth
    • Wireless Netzwerk
    • Cisco
      • Überblick
      • IOS oder NX-OS
        • Überblick
        • Blocken von Brute-Force Logins
        • Aktivierung der Netflow Toptalker Funktion
        • Initialisierung von TCL-Skripting absichern
        • aktiviere ssh
        • Durchsatz per Interface steuern
        • automatisches Backup mittels kron
        • Wurmerkennung via Netflow
        • Softwareupdate inklusive WebUI
        • cisco ntp Konfiguration via md5 absichern
        • cisco ntp Konfiguration via ACL absichern
        • System MTU - ip ospf mtu-igonore
        • ICMP access-list erstellen
      • ASA
        • Überblick
        • aktiviere ssh
        • VPN Tunnel-group und group-policy schnell löschen
        • AAA mit redundanter Radius-Anbindung
        • AAA local authentication Password Retry Lockout
        • Anstatt Drop ein Reset senden
        • Bandbreitenbegrenzung
        • Schutz gegen DNS-Attacken
        • Schutz gegen IP-Spoofing-Attacken
        • Schutz gegen TCP-SYNC-Attacken einrichten
        • Active/Standby Firewall Cluster erstellen
        • Konfigurationsrecovery der Standby-Cluster-Unit
        • Firmware ASDM Update im Active/Standby Cluster
        • ICMP durch einen VPN Tunnel erlauben
        • Tunnel Default Gateway
      • virl
        • Überblick
        • ASAv welche Lizenzen sind aktiv?
        • Cisco VIRL for FREE!
      • Social Media Streams
        • Tweets by @CiscoSP360
        • Tweets by @xrdocs
        • Tweets by @CiscoLive
        • Tweets by @CiscoDevNet
        • Tweets by @DevNetCreate
        • Tweets by @Webex
        • Tweets by @CiscoSpark
        • Tweets by @TalosSecurity
        • Tweets by @CiscoSecurity
        • Tweets by @LearningatCisco
      • Links
        • cisco.com
        • cisco forum DE
        • cisco EoS - EoL
    • Palo Alto Networks
      • Überblick
      • Lüftergeräusch für PA-200 einstellen
      • Factory Reset Prozess für PA-200
      • Schutz gegen Ransomware (Filtern von Windows PE-Dateien)
      • Installation der paloalto networks Firewall VM-100
      • overview of file blocking profiles
      • Social Media Streams
        • Tweets by @PANWGovPolicy
        • Tweets by @PaloAltoNtwks
      • Links
        • Security Advisory
    • DNS
      • Überblick
      • DNS - allgemein
      • Vorsorge gegen DNS Amplification Attacks
      • DNS Client Conformance Test
      • DNS fingerprinting tool
      • DNSCAP - DNS traffic capture utility
      • CADR (DNSSEC Authenticated DNS Registry)
      • OARC's DNS Reply Size Test Server
      • ENUM − Mapping von e164 Nummern
      • Lokalisierung von SIP-Servern via DNS
      • Social Media Streams
        • Tweets by @ISCdotORG
        • Tweets by @NLnetLabs
      • Links
        • NLnet Labs - LDNS
        • NLnet Labs - Unbound
        • DNS-OARC
        • DNS Bajaj
        • solarwinds - DNSstuff
        • Ripe - reverse zone check
        • dnssec-deployment
        • DNS - Tunnel
        • DNS Performance Test
    • NTP
      • Überblick
      • NTP - allgemein
      • NTP - Hierachie
      • Timeline
      • Zeitabgleich
      • ntp.conf und Meinberg Empfangsmodus
      • udev-rule für NTP erstellen
      • logrotate Datei für NTP erstellen
      • init Datei für NTP erstellen
      • Implementierung und Konfiguration von NTP
      • Statistikfunktion von NTP aktivieren
      • Administrationstools für NTP
      • Social Media Streams
        • Tweets by @ISCdotORG
      • Links
        • ntp.org
        • Current versions of NTP
        • NTP für Windows
        • ntpdc - special NTP query program
        • ntpq - standard NTP query program
    • Monitoring
      • Überblick
      • Monitoring Flow-Replikatoren
      • Netzwerktransparenz und Sicherheitsanalysen
      • Social Media Streams
        • Tweets by @NetBrainTechies
        • Tweets by @LogZilla
        • Tweets by @stealth_labs
        • Tweets by @solarwinds
      • Links
        • Open Monitoring Distribution
        • StealthWatch
  • Betriebssystem
    • Apple
      • Überblick
      • iOS
        • Überblick
        • Listen To iOS Network Communications
        • Wi-Fi-Netzwerk-Roaming mit 802.11k und 802.11r
        • Mit wem shared Airdrop per default Dateien
        • Verschlüsselung der App-Dateninhalte
        • Exploit "Apple Diagnostic Service"
        • Cisco Meraki - MDM
        • Verlorenes oder gestohlenes Apple-Produkt melden
      • macOS
        • Überblick
        • Terminalbefehle
          • macOS härten
            • Terminal Befehl zum Ändern des NTP Servers
            • Absichern des Captive Portal-Dienstprogrammes
            • Deaktivieren von Bonjour im Terminal
            • Deaktivieren des Crash Reporters via Terminal
            • Erstellen von Metadaten via Terminal abstellen
            • Terminal Befehl zum Spoofen der Wi-Fi MAC-Adresse
            • Software Update Service In OS X Server 5
          • macOS auditieren
            • FileVault Status auslesen
            • auslesen der WLAN Informationen
            • Terminal-Befehle zum Anzeigen von Netzwerklaufwerken
            • alle Benutzer auflisten
          • macOS Installmedium erstellen
            • Erstellen einer bootfähigen ISO für macOS Sierra
            • USB Boot Stick für El Capitan oder macOS Sierra erstellen
          • Funktionen für Scripte
            • Funktion zur Auditierung der Software und Updates
            • Funktion Konfigurationsaudit der Sharing-Services
            • Funktion für Konfig-Audit vom SSH Deamon
            • Funktion Firewall Konfigurationsaudit
            • Funktion Konfigurationsaudit Benutzerkonten
            • Funktion Konfigurationsaudit (WLAN, Bluetooth, Thunderbolt, Firewire etc.)
            • Funktion für das Anzeigen aller Mitglieder der Gruppe wheel
            • Konfigurationsaudit bzgl. Backup (TimeMachine)
            • Auditierung des Power Management
            • Konfigurationsaudit der Netzwerk Services
          • Hostname via Terminal ändern
          • Icons auf dem Desktop auf die schnelle verstecken
          • verhindert das Photo automatisch startet
          • Verbose Logging im Profile Manager
          • ausschalten der Rechtschreibautokorrektur
          • verkonfigurierte Netzwerkeinstellungen komplett zurücksetzen
          • Passwort des Administrators zurücksetzen
          • bevorzugte Server wiederherstellen
          • Apple Remote Desktop via ssh aktivieren
          • Bildschirmfoto Ablageort und Dateityp ändern
          • Standard Benutzer via cli einrichten
        • Abgekündigte und Vintage-Produkte
        • Welche SSL/TLS Cipher unterstützt mein Browser
        • Absicherung des Single-User-Modus
        • empfohlene Parameter für die Secure Shell (ssh)
        • macOS Autostart
        • Malware-Check für macOS
        • OS X Auditor freies Forensic-Tool
      • Social Media Streams
        • Tweets by @AppleSupport
      • Links
        • iPhone Jailbreak
        • WLAN-Netzwerk-Roaming
        • Infos zu WLAN-Roaming für Unternehmen
        • Apple-Sicherheitsupdates
        • Apple‑ID
        • meraki - MDM
        • Apple Configurator
        • Abgekündigte und Vintage-Produkte
        • Support für Unternehmen und Bildungseinrichtungen
        • Open Directory: Enabling SSL for Open Directory with Replicas
        • Profilmanager zurücksetzen
        • Sicher Apps auf dem Mac öffnen
    • Linux
      • Überblick
      • mini HowTo für cpio und rpm2cpio
      • HowTo RPM Paket Erstellung
      • System- und Update Repository
      • entpacken von Java rpm.bin Paket
      • Webserver Apache als Reverse-Proxy
      • übersetzen von SRPMs
      • In 5 Schritten zum eigenen Repository
      • Daten schreddern unter Linux
      • Social Media Streams
        • Tweets by @openshift
        • Tweets by @RedHat
      • Links
        • Container Security in OpenShift
        • RedHat Security Advisory
    • Microsoft
      • Überblick
      • Programme deinstallieren mit der Powershell
      • Powershell-Skripte obwohl Applocker und Ausführungsrichtlinien dies verhindern
      • sicheres löschen mit Windows Bordmitteln
      • administrative Vorlagen
        • administrative Vorlagen (Baselines) Windows 8/8.1
      • Social Media Streams
        • Tweets by @msftsecurity
        • Tweets by @SharePoint
        • Tweets by @MicrosoftTeams
        • Tweets by @MicrosoftFlow
        • Tweets by @MSFTMechanics
        • Tweets by @o365netzwerk
        • Tweets by @SharePoint_Net
        • Tweets by @SharePointPart
        • Tweets by @SharePointSky
        • Tweets by @sdmsoftware
      • Links
        • AD security
        • sdm software
        • Gruppenrichtlinien (GPO)
        • communication ports - OFFICE 365
  • Cybersicherheit
    • Tweets by @Rhebo_IIot
    • Industrie 4.0 Stabilitäts- und sicherheitsaudit
    • Tweets by @rapid7
    • Tweets by @metasploit
    • Tweets by @BlackHatEvents
    • Tweets by @Unit42_Intel
  • Software
    • PE-Sig
    • mininet
    • Registry Workshop
    • Tunnelblick
    • Lingon
    • Python Releases for Mac OS X
    • Python Data Analysis Library
    • inSSIDer
    • sFlowTrend
    • Flow Replicator
    • NetSurveyor
    • SoftPerfect Network Scanner
    • nmap
    • Tufin Orchestration Suite
    • Source auf github
      • RadioCarbon - Leak file analyzer
      • IntelTXE-PoC
      • nmap-parse-output
      • bcmstat
      • Pliim
      • OS X Auditor
      • Sigma
      • YARA in a nutshell
    • Source auf bitbucket
      • biplist
  • FAQ
    • Apple-iOS
    • DDOS
    • DNS
    • IPv6
    • NTP
  • suche
  • Was sind DNS Security Extensions und welche Resource Records kommen hinzu?

    Die in [RFC4033],  [RFC4034] und [RFC4035] spezifizierten DNS Security Extensions zielen im  Gegensatz zum TSIG Mechanismus, bei dem die Sicherung des  Transaktionskanals im Mittelpunkt steht, auf die Sicherung von  Datenobjekten einer Zone ab.
    Die Authentizität und Integrität besagter  Zonendatenobjekte, der sog. Resource Record Sets (RRset ), wird durch  Bildung einer digitalen Signatur über das jeweilige RRset  sichergestellt. Bei der Generierung der RRset-Signaturen kommen  asymmetrische, zonen-eigne Schlüsselpaare zum Einsatz.

    • DNSSEC RR  (RRSIG)
    • DNSKEY
    • NSEC

    Beinhaltet die   Signatur über ein RRset;  neben Signaturen über die üblichen DNS RRsets werden   auch Signaturen  über DNSSEC RRsets (DNSKEY, DS, NSEC) gebildet und in   entsprechenden  RRSIG Records abgelegt. RRSIG RRs tragen   einen Zeitstempel (“Signature  Expiration   Date”), der die Gültigkeitsdauer der Signatur festlegt.

    Beinhaltet einen   publizierten  base64-kodierten Public Key, mit dessen Hilfe die Signatur in   einem  RRSIG RR im Rahmen des Authentisierungsprozesses verifiziert werden    kann. Findet sich am   Zonen-Delegationspunkt  einer Parent Zone und beinhaltet einen Verweis auf den   DNSKEY RR  (Public Key) einer Child Zone, mit dessen korrespondierenden   Private  Key entweder das DNSKEY RRset im Zonen-Apex der Child Zone oder die    anderen RRsets der Child Zone signiert wurden.
    DS RRs sind   essentiell für den Aufbau von  sog. “Authentisierungsketten” zur Verifikation signierter  Datenobjekte über Domaingrenzen hinweg.

    Beinhaltet zwei   Arten von Informationen:

    • Den nächsten kanonischen   (Owner) Namen,  der autoritative Daten oder ein NS RRset an einem   Delegationspunkt  enthält.
    • Die RRset Typen,   die mit dem aktuellen  kanonischen (Owner) Namen assoziiert sind Ketten von   (signierten) NSEC RRs  ermöglichen die Authentisierung negativer Antworten   (Nicht-Existenz  von kanonischen (Owner) Namen oder RR Typen).

  • Wofür steht Transactional Signatures (TSIG) und was beinhaltet es?

    Jegliche Kommunikation innerhalb des DNS Protokolls basiert auf  sog. DNS Messages.
    Speziell die DNS Nachrichten, die zwischen zwei Name-Servers im  Rahmen von Zonentransfers ausgetauscht werden, nämlich DNS  NOTIFY Message(s) vom Master (oder auch Slave) an den Slave und DNS  AXFR/IXFR Request/Response Messages zwischen Slave und Master (oder  zwischen Slaves), können durch Einsatz eines symmetrischen Kryptographieverfahrens  auf Transaktionsebene geschützt werden.

    Dieser als Transaction Signatures bezeichnete Mechanismus ist in  [RFC2845] spezifiziert und nutzt ein "Shared Secret" – d.h. einen  gemeinsamen symmetrischen Schlüssel –, um die zwischen zwei Parteien  ausgetauschten DNS Messages zu signieren.
    Über entsprechende "Access Control Lists" (ACL) (auf Basis  dieses Shared Secret) wird zudem gesteuert, ob die genannten DNS  Nachrichten von der Gegenseite überhaupt akzeptiert werden.
    Hat einer der beteiligten Name-Server eine entsprechende  ausgehende Nachricht generiert, so wird auf diese vor dem tatsächlichen  Versand eine "Keyed One-Way Hash Function" zur Erzeugung eines  128-bit großen "Message Digest" angewendet. Als Key kommt dabei der  gemeinsame symmetrische Schlüssel von sendender und empfangender Partei  zum Einsatz.

  • Was bedeutet Split Namespace?

    In komplexeren DNS Topologien ist meist die Trennung zwischen  allgemein und eingeschränkt sichtbaren Zoneninformationen erforderlich. Diese Art der NS Konfiguration, die als "Split Namespace" bezeichnet wird, kommt üblicherweise auf speziell gesicherten Systemen  einer "De-Militarisierten Zone" (DMZ), dem sogenannten "Bastion Hosts" zum Einsatz. Die Split Namespace Konfiguration einer DMZ Nameserver-Instanz  verfügt i.d.R. über folgende Eigenschaften:

    • Bereitstellung  einer bewusst kleingehaltenen Menge offizieller und öffentlich  verfügbarer Resource Records (sog. "External View" oder auch "Shadow  Namespace") einer Domain zur Auflösung von Anfragen externer DNS  Clients. Typische Beispiele hierfür sind der SOA Record der Domain, NS  Records, MX Records für den Email-Exchange, sowie einige wenige A  Records und ihre jeweiligen PTR Records.
    • Fähigkeit,  interne Namen und IP-Adressen parallel zum externen Resolving  aufzulösen, wobei die Nutzung dieser Fähigkeit jedoch i. d. R. auf  Anfragen aus der DMZ (und ggfs. aus dem Intranet) beschränkt ist.

  • Was bedeutet Split Function Name-Server?

    Name-Server  beantworten prinzipiell zwei Arten von Anfragen: iterative und  rekursive.
    Dieses Verhalten gilt es aus Sicherheitsgründen auf  das absolut erforderliche Maß einzuschränken, ohne dabei die Nutzbarkeit  des Dienstes selbst in Frage zu stellen. Hierarchisch  gegliederte Namensräume und die physische Segmentierung von  Netzwerk-Topologien machen es möglich, Klassen von Name-Servers zu  definieren, bei denen die genannten Anfragetypen entweder vollständig  voneinander getrennt sind oder hinsichtlich ihrer Verfügbarkeit lokal  beschränkt werden können.

  • Wofür steht Nonrecursive Name-Server?

    Ein  Name-Server, der grundsätzlich keine rekursiven Queries beantwortet und  keinen entsprechenden Daten-Cache aufbaut. Beispiele hierfür sind die NS  der (Internet) Root Domain und (üblicherweise) Hidden Primary Master  Name-Server.

  • Was ist ein Forwarder?

    Ein  Name-Server, der Empfänger von rekursiven Queries ist, die von entfernten Name-Servers an ihn weitergeleitet wurden. Besagte entfernte NS nutzen eine Forwarding-Konfiguration, mittels der ausgewählte oder auch alle  bei ihnen eingehenden rekursiven Queries als solche an einen oder mehrere Forwarders durchgereicht werden.

  • Was ist ein Caching-Only Name-Server?

    Ein  Name-Server, der für keine Zone autoritativ zuständig ist. Die einzigste Funktion dieses NS-Typs besteht darin, angefragte RRs bei anderen Name-Servers zu  ermitteln und in seinem Cache (zur Beantwortung entsprechender Anfragen) vorzuhalten.

  • Was ist ein hidden Slave Name-Server?

    Ein Slave  Name-Server, der nicht in den NS Records der Zonen gelistet ist, für die  er autoritativ ist; dadurch ist sichergestellt, dass sich dieser  (zusätzliche) Name-Server nicht negativ auf die Größenlimitierung  UDP-basierter DNS Response Messages auswirkt und entfernte Name-Server  keiner Delegation zu diesem Slave folgen können.

  • Was ist ein Stealth Slave Name-Server?

    Ein Slave  Name-Server, welche anstelle des Hidden Primary Master Name-Server nach außen  hin in derRolle des Primary Master Name-Server auftritt. Um diese Rolle ausfüllen zu können, ist dieser Server nicht nur – wie üblich – in den NS Records der Zone gelistet, für die  er autoritativ ist, sondern auch in den SOA Records (MNAME Feld) der  besagten Zone mit eingetragen.

  • Was ist ein Hidden Primary Master Name-Server?

    Ein Hidden Primary  Master Name-Server wird nicht in den Name-Server Records der Zone (im Zonenfile) gelistet,  für die er eigentlich autoritativ zuständig ist. Hierdurch wird sichergestellt, dass entfernte  Name-Server keiner Delegation zu diesem wirklichen Master Name-Server folgen können. Somit ist dieser  „versteckt“. Diese Art des DNS-Designs findet Verwendung meist in Sicherheitsarchitekturen oder bei kleinen Firmen.

  • Was ist ein Secondary Name-Server?

    Das Synonym für einen Secondary Names-Server lautet  Slave Name-Server. Ein Secondary Name-Servers ist ein redundanter Autoritativer Name-Server für eine bestimmte Zone. Die Name-Server-Instanz erhält ihre Zonendaten vom Primary Master Name-Server  oder einem anderen Slave Name-Server.

  • Was ist ein Primary Master Name-Server?

    Ein primary Master Nameserver ist ein autoritativer  Nameserver für eine bestimmte Zone (bspw. je-ru.de), innerhalb der Nameserver-Instanz erfolgt  die Pflege der eigentlichen Zonendaten.

  • Was ist eine iterative Anfrage?

    Dieser  Query-Typ findet in der Kommunikation zwischen Name-Servers Verwendung,  und zwar dann, wenn diese (quasi in Kooperation) eine rekursive Anfrage  weiterbearbeiten.
    Wird z. B. rekursiv nach der IP-Adresse von  www.je-ru.de gefragt, so überprüft der angefragte Name-Server  zunächst, ob ihm die autoritativen Name-Servers für die Domain  je-ru.de bekannt sind. Ist dies der Fall, so sendet der Name-Server  eine entsprechende iterative Anfrage an einen dieser Servers;  andernfalls wird einer der autoritativen de Name-Servers (falls bekannt)  und in letzter Instanz einer der (Internet) Root Name-Servers befragt. Der  Name-Server, der eine iterative Anfrage erhält, liefert als Resultat die  bestmögliche Antwort, die in seinem lokalen Datenbestand (inklusive  Cache) gefunden wird. Dies ist entweder die tatsächlich nachgefragte  IP-Adresse (oder der nachgefragte Name) oder eine Referral-Liste, die  alle „näher“ am Ziel der Anfrage liegenden autoritativen Name-Servers  enthält. Verwaltet der anfragende Name-Server aufgrund früherer  Anfragen sog. Round Trip Times (RTT) für die in der Referral-Liste  genannten Servers, so wählt er denjenigen mit der niedrigsten RTT aus  und wiederholt dort die iterative Anfrage. Dieser Prozess setzt sich  solange fort, bis eine tatsächliche Antwort vorliegt.

  • Was ist eine rekrusive Anfrage?

    Diese Art von Queries wird von (Stub) Resolver Hosts oder von Name-Servern, die Forwarder benutzen, initiiert.

    Rekursive Anfragen zur Namensauflösung weisen dem angefragten NS-System die exklusive Aufgabe zu, alle notwendigen Schritte zur Erfüllung der Anfrage durchzuführen. Eine Delegation der Arbeitsschritte an andere Name-server oder die Rückgabe von Referrals an den anfragenden Client sind nicht vorgesehen bzw. nicht erlaubt.
    Der adressierte Name-Server kann die Anfrage entweder direkt beantworten oder andere Name-Servers iterativ (siehe unten) anfragen, bis eine Antwort vorliegt.

© 2022 je-ru | Impressum | Datenschutz