Überzeugen Sie sich von unseren maßgestalteten Security-as-a-Service-Lösungen für IT-Infrastrukturen und Webapplikationen.
02
Welche Arten von DNS-Servern gibt es?
Für das Domain Name System kommen verschiedene Server an unterschiedlichen Punkten zum Einsatz.
DNS-Root-Server
Die Root-Server des DNS sind für die Top-Level-Domains zust ändig. Als letzte Instanz werden sie erst angefragt, wenn der Nameserver nicht antwortet. Damit ist ein Root-Server die zentrale Schnittstelle zwischen Usern und Content im Internet, da er Domain und IP-Adresse miteinander verknüpft.
Die ICANN (Internet Corporation for Assigned Names and Numbers) koordiniert die Arbeit der Root-Nameserver. Rund um den Globus gibt es 13 solcher Root-Server.
Autoritativer Nameserver
Die autoritativen Nameserver haben die Autorität für eine bestimmte Zone inne, das bedeutet, sie beantworten ausschließlich Anfragen aus ihrem Zuständigkeitsbereich, und ihre Angaben sind verbindlich.
Kann ein autoritativer Nameserver die Anfrage eines Clients nicht beantworten, übernimmt an dieser Stelle der Root-Nameserver.
Nicht-autoritativer Nameserver
Nicht autoritative Nameserver sind nicht für eine bestimmte DNS-Zone verantwortlich. Stattdessen sammeln sie selbst Informationen zu bestimmten DNS-Zonen, dies geschieht mittels rekursiver oder iterativer DNS-Abfrage.
Caching-Server
Caching-Server speichern die Informationen von anderen Nameservern für eine bestimmte Zeitspanne zwischen. Die Dauer dieser Speicherung bestimmt der autoritative Nameserver.
Forwarding-Server
Forwarding-Server erfüllen nur eine einzige Funktion: Sie leiten DNS-Anfragen an einen anderen DNS-Server weiter.
Resolver
Resolver sind keine autoritativen DNS-Server, sondern führen die Namensauflösung lokal im Computer oder Router durch.
04
Kritik an DNS
Das DNS wird von einigen Seiten kritisiert, unter anderem aufgrund der folgenden Aspekte:
Sowohl Vereine als auch kommerzielle Anbieter kritisieren, dass DNS Domains zensiere. Darüber hinaus besteht die Gefahr, dass die Technologie für Zensur per Geoblocking missbraucht wird. China, Iran und die Türkei nutzen etwa DNS-Sperren für politische Zensur. Diese Diskussion findet im Rahmen genereller Debatten um gesperrte Internetinhalte und Internetzensur statt. In der Folge haben Anbieter wie der Chaos Computer Club, digitalcourage oder auch das Unternehmen OpenDNS eigene DNS-Alternativen entwickelt, welche ihren Aussagen zufolge auf Zensur verzichten.
Das DNS ist weitgehend unverschlüsselt. Geräte, die sich im lokalen WLAN aufhalten und Internet-Provider können sich also einklinken und DNS-Abfragen ausspähen. Da dies ein Risiko für die Privatsphäre darstellt, gibt es inzwischen einige Lösungen für die DNS-Verschlüsselung. Standardmäßig wenden IT-Sicherheits-Fachleute hier DNS over TLS (DoT) oder DNS over HTTPS (DoH) an. Auch das Netzwerkprotokoll DNSCrypt verschlüsselt den Traffic zwischen Computer und Nameserver.
Überzeugen Sie sich von unseren maßgestalteten Security-as-a-Service-Lösungen für IT-Infrastrukturen und Webapplikationen.
05
DNS-Erweiterungen
Verschiedene Internetstandards erweitern das DNS um weitere Mechanismen, beispielsweise im Sicherheitsbereich.
Dyn DNS steht für “dynamisches Domain Name System”. Solche Dienste ermöglichen es dem Nutzer, dynamischen IP-Adressen einen festen Hostnamen zuzuweisen. Zu den Anwendungsgebieten gehört das Betreiben eines Webservers trotz dynamischer IP-Adresse.
Extended DNS (EDNS) ermöglicht den Transport von DNS-Daten in UDP-Paketen. Eine solche Erweiterung des DNS-Paket-Formats erwies sich in den 1990er Jahren als notwendig, denn die Einschränkungen in den bisherigen DNS-Paketen wurden den modernen Anforderungen nicht mehr gerecht.
DNSSEC beschreibt eine Reihe von Sicherheitserweiterungen für das DNS, welche die Authentizität und Integrität der über das System übertragenen Daten gewährleisten. Indem die Datenübertragungen im DNS verschlüsselt werden, wird die Privatsphäre und Datensicherheit der Nutzer sichergestellt.
DNS steht für Domain Name System.
DNS-Dienste dienen zur Beantwortung von Anfragen zur Namensauflösung. Dadurch können Webadressen den dahinterliegenden Webservern zugeordnet werden.
Im Detail läuft eine DNS-Anfrage nach folgendem Muster ab: [1] Zunächst gibt der Nutzer die URL einer Website (www.beispiel.com) im Browser ein. [2] Hierauf schickt der Resolver eine Anfrage an einen DNS-Root-Server. [3] Der Root-Server gibt dem Resolver an, unter welcher Top-Level-Domain die Information für die Website zu finden ist. Im Fall von www.beispiel.com handelt es sich um die Top-Level-Domain .com. [4] Der Resolver schickt anschließend eine Anfrage an die entsprechende Top-Level-Domain. [5] Nun gibt der Server der Top-Level-Domain die IP-Adresse des entsprechenden Name-Servers an, woraufhin der Resolver eine Anfrage an den Name-Server schickt. [6] Der Name-Server sendet die IP-Adresse der entsprechenden Domain an den Resolver, der sie an den Browser weitergibt. [7] Der Browser ruft nun die Website auf, indem er eine HTTP-Anfrage an die IP-Adresse schickt. Der so angesprochene Server schickt die Dateien der Website an den Browser, sodass der Content angezeigt wird.
Sie wollen mehr über unsere Lösungen, Anwendungsbeispiele und Best Practices zur Angriffsabwehr erfahren? In unserem Downloadbereich finden Sie Product Sheets, Fact Sheets, Whitepaper und Case Studies.