Sicherer DNS-Server mit Unbound

Lieber lokal

Ein lokaler DNS-Server im Unternehmen bietet einige Vorteile. Die IT-Abteilung kann diesen beliebig konfigurieren und muss sich nicht mit langsamen DNS-Servern eines Internetdienstanbieters abmühen. Mit Unbound können Sie einen leistungsfähigen lokalen DNS-Server einrichten, Blacklists erstellen, die zum Beispiel Werbung blockieren, und lokalen Ressourcen wie Druckern und NAS-Geräten Namen zuweisen. In unserem Workshop zeigen wir unter anderem, wie Sie Ihren eigenen Unbound-Server mit DNSSEC-Validierung einrichten und dadurch die Privatsphäre und Sicherheit für Clients verbessern.
Nicht erst die stetigen Ransomware-Angriffe verdeutlichen den enormen Stellenwert von Backups im Unternehmen: Ein falscher Klick genügt und schon steht die ... (mehr)

Ein großer Vorteil eines eigenen DNS-Servers ist die Leistung. Oft hat dieser eine geringere Latenzzeit und schnellere Abfragezeiten als die vom Internetdienstanbieter (ISP) bereitgestellten Server. Wenn in einem lokalen Netzwerk mehrere Benutzer das Internet nutzen und die gleiche Seite aufrufen, kann der Server, der die Adresse für den ersten Benutzer auflöst, die Adresse zwischenspeichern. Besucht der zweite Benutzer die gleiche Webseite, kann der Server die Adresse aus dem Cache bereitstellen, ohne die Informationen von außerhalb des Netzwerks zu beziehen.

Wenn Sie Ihre eigenen DNS-Server betreiben, können Sie zudem DNS-Einträge erstellen. Sie haben die Möglichkeit, eigene Blacklists zu erstellen, die zum Beispiel Werbung blockieren, und können lokalen Ressourcen wie Ihrem Drucker, Ihrem NAS oder Ihren IP-Kameras Namen zuweisen. Ein weiterer Vorteil eines lokalen DNS-Servers ist, dass Ihnen dadurch DNSSEC (Domain Name System Security Extensions) [1] zur Verfügung steht, das von vielen ISPs noch nicht implementiert wird. DNSSEC ist ein Sicherheits-Overlay, das Benutzer davor schützt, dass der DNS-Verkehr durch böswillige Akteure verändert wird.

Unbound bereitstellen

Unbound ist ein nicht-autoritativer, rekursiver Open-Source-Nameserver mit eigenem Cache, der Unterstützung für die DNSSEC-Validierung bietet. Der Server ist in der Standardinstallation des OpenBSD-Betriebssystems enthalten und steht in den Repositories der wichtigsten Linux-Distributionen zur Verfügung. Die Konfiguration ist einfach und schnell vollbracht. In Devuan können Sie Unbound mithilfe von apt-get installieren:

apt-get install unbound

Einer der ersten Schritte sollte die Installation der Datei "root.hints" sein. Diese Datei enthält den Speicherort der Root-DNS-Server des Internets. Eine aktualisierte Liste erhalten Sie mit folgendem Kommando:

 ...
                

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2020