DNS-Verschlüsselung

Beglaubigte Namen

DNSSEC ist der Standard, wenn es darum geht, DNS-Daten zu signieren, um diese dann beim Austausch zwischen den DNS-Servern verifizieren zu können. Allerdings existieren auf der letzten Meile, also dem Weg zwischen einem Benutzer und dem DNS-Resolver des Internet Service Provider, immer noch eine Vielzahl von Angriffsmöglichkeiten. DNSCrypt hilft, diese Strecke abzusichern.
Container sind derzeit in aller Munde, allen voran Docker. In der September-Ausgabe beleuchtet IT-Administrator, was die Technologie für Admins im Unternehmen ... (mehr)

Will ein Benutzer eine Adresse wie www.google.de besuchen, führt die Anfrage in den meisten Fällen zum DNS-Resolver des eigenen ISPs. Der ist dann dafür verantwortlich, über rekursive DNS-Abfragen die Anwort stellvertretend für den Client zu ermitteln. Hierfür befragt der Resolver verschiedene DNS-Server und hangelt sich so von der DNS-Root-Zone bis zu der Zone, die über einen Eintrag für www.google.de verfügt. DNSSEC stellt sicher, dass die Antworten, die der DNS-Server erhält, auch authentisch sind und nicht verändert wurden. Die Information wird dann im DNS-Cache des Resolvers abgelegt und an den anfragenden Client geschickt. Dieser weiß nun, welche IP-Adresse sich hinter www.google.de verbirgt, und kann eine Verbindung zu dem System aufbauen. Etwas vereinfacht dargestellt sieht die Abfrage in etwa so aus, wie in Listing 1 dargestellt.

Listing 1: DNS-Abfrage von www.google.de



$ dig +trace www.google.de
.                                          110170    IN           NS           a.root-servers.net.
de.                                      172800    IN           NS           n.de.net.
google.de.                          86400      IN           NS           ns1.google.com.
www.google.de.                 300          IN           A             216.58.205.227

Angreifbarer Cache

Da sich die Information, wer sich hinter www.google.de verbirgt, jetzt im Cache des ISP-Resolvers befindet, bekommt der nächste Client, der nach diesem Namen fragt, die Information direkt aus dem Cache geliefert. Diese muss natürlich noch gültig sein, was mittels eines

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Loadtests ohne Server

Für Loadtests der eigenen Server bietet sich die Cloud an, denn kurz getaktet lassen sich dort viele Rechnerinstanzen starten, die das eigene Budget nur wenig belasten. Noch flexibler, günstiger und besser skalierbar sind Tests mit einer Serverless-Infrastruktur wie AWS Lambda. Wir führen vor, wie Sie dort mit Serverless Artillery eigene Loadtests starten. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite