vege - stock.adobe.com
DNS-Funktionen müssen sich neuen Anforderungen stellen
Die Aufgaben des Domain Name Systems sind einfach, aber essenziell. Mit der Verbreitung von Geräten, die in IPv6-Netzwerken arbeiten, steht der Dienst vor Herausforderungen.
Auf den ersten Blick übernimmt das Domain Name System (DNS) relativ simple Aufgaben. Sein Hauptzweck besteht darin, Domain-Namen, die Menschen einfach lesen und im Gedächtnis behalten können, in numerische IP-Adressen zu übersetzen. IP-Adressen dienen als Basis dafür, wie sich Computer in Netzwerken und im Internet identifizieren lassen. Ein Beispiel für die Funktionsweise des DNS: TechTarget.de wird vom Domain Name System in die IPv4-Adresse 206.19.49.102 übersetzt.
Einerseits funktioniert DNS also als relativ einfach zu verstehender Service. Wenn Sie sich aber genauer damit beschäftigen, werden Sie entdecken, dass DNS aufgrund seiner hierarchischen und dezentralen Natur äußerst komplex ist.
Außerdem handelt es sich um ein alterndes System, das voller Sicherheitslücken steckt. Es bestehen zudem Bedenken, dass es vielleicht nicht in der Lage ist, mit wachsenden globalen Anforderungen und sich ändernden Trends im Networking Schritt zu halten.
Funktionen und Architektur von DNS
Nach Angaben der Internet Assigned Numbers Authority (IANA) existieren auf der Welt 13 DNS-Root-Server-Systeme, die von verschiedenen Institutionen betrieben werden, darunter Verisign, die NASA und ICANN. Innerhalb dieser Systeme gibt es Tausende von DNS-Servern, die als Root-Server fungieren.
DNS-Funktionen nutzen eine hierarchische Struktur, um die Millionen von IP-Address-Mappings von den Top und Second Level Domains zu verwalten. Auf der untersten Ebene dieser Hierarchie betreiben mittlere und große Organisationen häufig ihre eigenen Sub-DNS-Server lokal, um private Server in interne DNS-Namen zu übersetzen.
Wenn die Auflösung von Servern außerhalb der lokalen Unternehmens-Domain notwendig ist, nehmen diese DNS-Server Kontakt mit einem Recursive Resolver auf. Ein Recursive-Resolver-Server ist im Allgemeinen ein DNS-Service im Internet, der von einem ISP oder einem Drittanbieter betrieben wird. Falls der Recursive-Resolver-Server eine DNS-Anfrage nicht beantworten kann, wandert die Anfrage in der Hierarchie nach oben, bis sie einen Root-Server erreicht. Während sich die zugrunde liegende Architektur des DNS seit dessen Entstehung nicht geändert hat, steigt die Anzahl der genutzten DNS-Server kontinuierlich.
Sicherheit bleibt Hauptsorge
Auch 2018 gilt die mit Abstand größte Sorge von DNS-Administratoren dem Umgang mit den diversen Exploits, Fehlkonfigurationen und DDoS-Angriffen (Distributed Denial of Service), die unweigerlich kommen werden. Im Jahre 2016 erlebte der DNS-Provider Dyn eine massive DDoS-Attacke, die dazu führte, dass bekannte Internet-Sites wie Twitter, GitHub und Spotify nicht erreichbar waren.
Im selben Jahr beförderte der Cloud-Service-Provider Scalr Kunden-Sites offline, nachdem einer der Administratoren des Unternehmens versehentlich DNS-Einträge wegen eines Denkfehlers gelöscht hatte. Zu guter Letzt werden immer wieder neue Schwachstellen in populärer Software für DNS-Server gefunden. Das war beispielsweise der Fall, als Google im Oktober 2017 mehrere Remote-Code-Schwachstellen in der bekannten Serversoftware Dnsmasq entdeckte. Störungen von und Angriffe auf wichtige DNS-Server bleiben ein wunder Punkt des Internets. Zwar gibt es Methoden und Konzepte, um viele dieser Sicherheitsprobleme zu beheben, dennoch lassen sich nur langsame Fortschritte verzeichnen.
Auswirkungen von exponentiellem Endpunktwachstum und IPv6
Fast jeder Endpunkt in einem IP-Netzwerk ist auf einen DNS-Server angewiesen, um andere mit dem Netzwerk verbundene Ressourcen zu finden. Während es heute weltweit geschätzte 8 bis 9 Milliarden mit dem Internet verbundene Geräte gibt, hat Gartner Research vorausgesagt, dass sich diese Zahl bis Ende 2020 auf dann über 20 Milliarden Geräte mehr als verdoppeln wird. Man geht davon aus, dass die Verdoppelung von Internetgeräten die DNS-Server immens strapazieren wird, es sei denn, die Zahl der in Betrieb befindlichen DNS-Server wird erheblich erhöht – oder der DNS-Anfrageprozess optimiert.
Die möglicherweise größte Behinderung bei der Bereitstellung von DNS-Servern im Jahr 2018 lässt sich auf die steigende Anzahl von mit dem Internet verbundenen Geräten zurückführen, die in reinen IPv6-Netzwerken arbeiten. Bis vor kurzem wurden spezifische Probleme, die man im IPv6-DNS fand, durch den Umstand kaschiert, dass die meisten IPv6-Deployments im Dual-Stack-Modus stattfanden.
Bei Dual Stack verwenden Endpunkte gleichzeitig IPv4 und IPv6. Allerdings gibt es immer mehr Netzwerke, die mit dem Rollout von IPv6 ohne Dual Stacking – also ohne gleichzeitige Bereitstellung von IPv4 – beginnen. Das gilt insbesondere für innovative Internetfirmen. Da dieser Trend zu reinen IPv6-Geräten weiter anhält, könnten Architekturprobleme, die bei der Unterstützung für die Stateless Address Autoconfiguration (SLAAC) und das Dynamic Host Configuration Protocol (DHCP) Version 6 gefunden wurden, Deployments von IPv6-DNS-Servern weltweit fragmentieren. Die Technologie-Community muss sich relativ schnell mit diesen Ineffizienzen befassen und sie lösen.
Fazit
Zu sagen, DNS-Funktionen seien lediglich ein Punkt auf einer langen Liste mit wichtigen Netzwerkstandards und -protokollen, ist eine maßlose Untertreibung. Aufgrund unserer kontinuierlichen Abhängigkeit vom Internet, sowohl für geschäftliche als auch persönliche Belange, kommt den vom Domain Name System übernommenen Funktionen eine zentrale Bedeutung zu. Die global weiter steigende Internetnutzung – und der Einsatz von neuen und besseren Netzwerktechnologien – macht es zwingend notwendig, dass DNS mit dieser Entwicklung hinsichtlich Performance, Zuverlässigkeit und Skalierbarkeit Schritt hält.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!