KONF.4.2.1 — DNS-Verschlüsselung

SOLLTE Security level: normal-SdT Effort 4 BSI-Stand-der-Technik-Kernel

Sub-control of KONF.4.2

Statement (Anforderung)

Konfiguration für IT-Systeme SOLLTE DNS-Verbindungen durch einen anerkannten kryptographischen Algorithmus verschlüsseln.

Guidance (Erläuterung)

DNS-Verschlüsselung, im Englischen oft als DNS over TLS (DoT) oder DNS over HTTPS (DoH) bezeichnet, ist ein Verfahren, bei dem Anfragen zur Namensauflösung im Internet kryptographisch geschützt werden, um deren Vertraulichkeit und Integrität sicherzustellen. Erfolgen diese Anfragen unverschlüsselt, könnte ein Angreifer im Netz die aufgerufenen Webseiten und Dienste eines Nutzers mitlesen und protokollieren. Schlimmer noch, ein Angreifer könnte die Antworten manipulieren, um den Nutzer unbemerkt auf gefälschte Webseiten umzuleiten, beispielsweise für Phishing-Angriffe. Die Aktivierung der DNS-Verschlüsselung kann einem solchen Ausspähen und Manipulieren der Namensauflösung effektiv entgegenwirken und stellt sicher, dass die Kommunikation zwischen dem Client und dem DNS-Server authentisch und nicht einsehbar ist. Nutzt das System kein DNS, so ist die Anforderung entbehrlich.

Tags: Produktbeschreibung Cryptography

Statement properties

Name	Value
target_object_categories	IT-Systeme
documentation	Konfigurationshistorie
result	DNS-Verbindungen
result_specification	durch {{einen anerkannten kryptographischen Algorithmus}}
action_word	verschlüsseln
modal_verb	SOLLTE

Control properties

Name	Value
alt-identifier	ccb6bfb1-1b49-4d03-9705-2d05bca018b5
sec_level	normal-SdT
effort_level	4
tags	Produktbeschreibung, Cryptography

Parameters

ID	Label	Values
konf.4.2.1-prm1	einen anerkannten kryptographischen Algorithmus

Raw OSCAL JSON (complete control)

{
  "class": "BSI-Stand-der-Technik-Kernel",
  "id": "KONF.4.2.1",
  "params": [
    {
      "id": "konf.4.2.1-prm1",
      "label": "einen anerkannten kryptographischen Algorithmus",
      "props": [
        {
          "name": "alt-identifier",
          "value": "ccb6bfb1-1b49-4d03-9705-2d05bca018b5"
        }
      ]
    }
  ],
  "parts": [
    {
      "id": "KONF.4.2.1_stm",
      "name": "statement",
      "props": [
        {
          "name": "target_object_categories",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv",
          "value": "IT-Systeme"
        },
        {
          "name": "documentation",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv",
          "value": "Konfigurationshistorie"
        },
        {
          "name": "result",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
          "value": "DNS-Verbindungen"
        },
        {
          "name": "result_specification",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv",
          "value": "durch {{einen anerkannten kryptographischen Algorithmus}}"
        },
        {
          "name": "action_word",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv",
          "value": "verschlüsseln"
        },
        {
          "name": "modal_verb",
          "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv",
          "value": "SOLLTE"
        }
      ],
      "prose": "Konfiguration für IT-Systeme SOLLTE DNS-Verbindungen durch {{ insert: param, konf.4.2.1-prm1 }} verschlüsseln."
    },
    {
      "id": "KONF.4.2.1_gdn",
      "name": "guidance",
      "prose": "DNS-Verschlüsselung, im Englischen oft als DNS over TLS (DoT) oder DNS over HTTPS (DoH) bezeichnet, ist ein Verfahren, bei dem Anfragen zur Namensauflösung im Internet kryptographisch geschützt werden, um deren Vertraulichkeit und Integrität sicherzustellen. Erfolgen diese Anfragen unverschlüsselt, könnte ein Angreifer im Netz die aufgerufenen Webseiten und Dienste eines Nutzers mitlesen und protokollieren. Schlimmer noch, ein Angreifer könnte die Antworten manipulieren, um den Nutzer unbemerkt auf gefälschte Webseiten umzuleiten, beispielsweise für Phishing-Angriffe. Die Aktivierung der DNS-Verschlüsselung kann einem solchen Ausspähen und Manipulieren der Namensauflösung effektiv entgegenwirken und stellt sicher, dass die Kommunikation zwischen dem Client und dem DNS-Server authentisch und nicht einsehbar ist. Nutzt das System kein DNS, so ist die Anforderung entbehrlich."
    }
  ],
  "props": [
    {
      "name": "alt-identifier",
      "value": "ccb6bfb1-1b49-4d03-9705-2d05bca018b5"
    },
    {
      "name": "sec_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv",
      "value": "normal-SdT"
    },
    {
      "name": "effort_level",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv",
      "value": "4"
    },
    {
      "name": "tags",
      "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv",
      "value": "Produktbeschreibung, Cryptography"
    }
  ],
  "title": "DNS-Verschlüsselung"
}

View JSON API Download JSON