KONF.4.2 — DNS-Anbindung
SOLLTE
Security level: normal-SdT
Effort 3
BSI-Stand-der-Technik-Kernel
Statement (Anforderung)
Konfiguration für IT-Systeme SOLLTE die vom System verwendeten DNS-Server autorisieren.
Guidance (Erläuterung)
Autorisierte DNS-Server sind hier Resolving-Server, die von der Institution autorisiert wurden. Dies können entweder DNS-Server der Institution selbst oder externe DNS-Server zuverlässiger Anbieter sein.
Tags:
Produktbeschreibung
Statement properties
| Name | Value |
|---|---|
| target_object_categories | IT-Systeme |
| documentation | Konfigurationshistorie |
| result | die vom System verwendeten DNS-Server |
| action_word | autorisieren |
| modal_verb | SOLLTE |
Control properties
| Name | Value |
|---|---|
| alt-identifier | 490400dc-4769-4127-9869-720a3ce1585c |
| sec_level | normal-SdT |
| effort_level | 3 |
| tags | Produktbeschreibung |
Sub-controls
- KONF.4.2.1 DNS-Verschlüsselung
Raw OSCAL JSON (complete control)
{
"class": "BSI-Stand-der-Technik-Kernel",
"controls": [
{
"class": "BSI-Stand-der-Technik-Kernel",
"id": "KONF.4.2.1",
"params": [
{
"id": "konf.4.2.1-prm1",
"label": "einen anerkannten kryptographischen Algorithmus",
"props": [
{
"name": "alt-identifier",
"value": "ccb6bfb1-1b49-4d03-9705-2d05bca018b5"
}
]
}
],
"parts": [
{
"id": "KONF.4.2.1_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "IT-Systeme"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Konfigurationshistorie"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "DNS-Verbindungen"
},
{
"name": "result_specification",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "durch {{einen anerkannten kryptographischen Algorithmus}}"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "verschlüsseln"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Konfiguration für IT-Systeme SOLLTE DNS-Verbindungen durch {{ insert: param, konf.4.2.1-prm1 }} verschlüsseln."
},
{
"id": "KONF.4.2.1_gdn",
"name": "guidance",
"prose": "DNS-Verschlüsselung, im Englischen oft als DNS over TLS (DoT) oder DNS over HTTPS (DoH) bezeichnet, ist ein Verfahren, bei dem Anfragen zur Namensauflösung im Internet kryptographisch geschützt werden, um deren Vertraulichkeit und Integrität sicherzustellen. Erfolgen diese Anfragen unverschlüsselt, könnte ein Angreifer im Netz die aufgerufenen Webseiten und Dienste eines Nutzers mitlesen und protokollieren. Schlimmer noch, ein Angreifer könnte die Antworten manipulieren, um den Nutzer unbemerkt auf gefälschte Webseiten umzuleiten, beispielsweise für Phishing-Angriffe. Die Aktivierung der DNS-Verschlüsselung kann einem solchen Ausspähen und Manipulieren der Namensauflösung effektiv entgegenwirken und stellt sicher, dass die Kommunikation zwischen dem Client und dem DNS-Server authentisch und nicht einsehbar ist. Nutzt das System kein DNS, so ist die Anforderung entbehrlich."
}
],
"props": [
{
"name": "alt-identifier",
"value": "ccb6bfb1-1b49-4d03-9705-2d05bca018b5"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "4"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Produktbeschreibung, Cryptography"
}
],
"title": "DNS-Verschlüsselung"
}
],
"id": "KONF.4.2",
"parts": [
{
"id": "KONF.4.2_stm",
"name": "statement",
"props": [
{
"name": "target_object_categories",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
"value": "IT-Systeme"
},
{
"name": "documentation",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
"value": "Konfigurationshistorie"
},
{
"name": "result",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
"value": "die vom System verwendeten DNS-Server"
},
{
"name": "action_word",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
"value": "autorisieren"
},
{
"name": "modal_verb",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
"value": "SOLLTE"
}
],
"prose": "Konfiguration für IT-Systeme SOLLTE die vom System verwendeten DNS-Server autorisieren."
},
{
"id": "KONF.4.2_gdn",
"name": "guidance",
"prose": "Autorisierte DNS-Server sind hier Resolving-Server, die von der Institution autorisiert wurden. Dies können entweder DNS-Server der Institution selbst oder externe DNS-Server zuverlässiger Anbieter sein."
}
],
"props": [
{
"name": "alt-identifier",
"value": "490400dc-4769-4127-9869-720a3ce1585c"
},
{
"name": "sec_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
"value": "normal-SdT"
},
{
"name": "effort_level",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
"value": "3"
},
{
"name": "tags",
"ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
"value": "Produktbeschreibung"
}
],
"title": "DNS-Anbindung"
}