DNS Erklärt: Unterschied zwischen den Versionen
Peter (Diskussion | Beiträge) K |
Peter (Diskussion | Beiträge) K (→Netzwerk) |
||
| (8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 5: | Zeile 5: | ||
Spätestens seit der Einführung von IPv6 und der damit verbunden komplexen Schreibweisen der Adressen wird deutlich, dass ein Netzwerk von einem funktionierenden Namensauflösungsdienst abhängt. Hier kommt der [https://de.wikipedia.org/wiki/Domain_Name_System Domain Name Service (DNS)] ins Spiel. Dieser Dienst löst sowohl im internen Netzwerk als auch im Internet die entsprechenden Namen in IP-Adressen auf, die dann vom System verwendet werden. | Spätestens seit der Einführung von IPv6 und der damit verbunden komplexen Schreibweisen der Adressen wird deutlich, dass ein Netzwerk von einem funktionierenden Namensauflösungsdienst abhängt. Hier kommt der [https://de.wikipedia.org/wiki/Domain_Name_System Domain Name Service (DNS)] ins Spiel. Dieser Dienst löst sowohl im internen Netzwerk als auch im Internet die entsprechenden Namen in IP-Adressen auf, die dann vom System verwendet werden. | ||
| − | |||
=== '''<span style="color:#FF0000">DNS-Server</span>''' === | === '''<span style="color:#FF0000">DNS-Server</span>''' === | ||
----Jedes Betriebssystem benötigt einen DNS-Server im lokalen Netzwerk und/oder im Internet. Die Betriebssysteme benötigen einen eigenen Dienst, bei Windows ist es der "DNS-Client" und bei den neueren Ubuntu ist es "systemd-r" zum Auflösen von IP-Adressen. Diese Dienste werden z.B. benötigt damit Sie eine existierende Webseite Ihrer Wahl im Internet findet. In dem Bild möchte ich euch schematisch Darstellen, wie im groben eine DNS-Anfrage abläuft. | ----Jedes Betriebssystem benötigt einen DNS-Server im lokalen Netzwerk und/oder im Internet. Die Betriebssysteme benötigen einen eigenen Dienst, bei Windows ist es der "DNS-Client" und bei den neueren Ubuntu ist es "systemd-r" zum Auflösen von IP-Adressen. Diese Dienste werden z.B. benötigt damit Sie eine existierende Webseite Ihrer Wahl im Internet findet. In dem Bild möchte ich euch schematisch Darstellen, wie im groben eine DNS-Anfrage abläuft. | ||
| Zeile 60: | Zeile 59: | ||
Man kann natürlich eine Weiterleitung zu einem ROOT DNS-Server hinterlegen, es ist aber nicht ratsam, aus Performancegründen. Es kann leicht mal passieren, wenn Sie dies eingerichtet haben, das Sie einen 404 Error im Browser erhalten, trotz das die Seite einwandfrei funktioniert. Da die ROOT DNS-Server für DNS Anfragen relativ lange brauchen. Daher ist es sehr empfehlenswert immer einen öffentlichen DNS-Server als Weiterleitung einzutragen. | Man kann natürlich eine Weiterleitung zu einem ROOT DNS-Server hinterlegen, es ist aber nicht ratsam, aus Performancegründen. Es kann leicht mal passieren, wenn Sie dies eingerichtet haben, das Sie einen 404 Error im Browser erhalten, trotz das die Seite einwandfrei funktioniert. Da die ROOT DNS-Server für DNS Anfragen relativ lange brauchen. Daher ist es sehr empfehlenswert immer einen öffentlichen DNS-Server als Weiterleitung einzutragen. | ||
| + | |||
| + | === '''<span style="color:#FF0000">Netzwerk</span>''' === | ||
| + | ----Für einen funktionierten DNS-Server benötigt man gewisse Ports, die nach außen Freigeschaltet sind, es spielt keine Rolle ob intern, wie extern. | ||
| + | |||
| + | ==== '''<span style="color:#4682B4">Unverschlüsselt</span>''' ==== | ||
| + | {| class=" wikitable sortable" style="width: 100%;" | ||
| + | |+ | ||
| + | Unverschlüsselte Ports | ||
| + | !'''Ports''' | ||
| + | !'''Protokoll''' | ||
| + | !'''Erklärung''' | ||
| + | |- | ||
| + | |style="text-align:center;"|53 | ||
| + | |style="text-align:center;"|TCP | ||
| + | |Domain Name System (DNS) | ||
| + | |- | ||
| + | |style="text-align:center;"|53 | ||
| + | |style="text-align:center;"|UDP | ||
| + | |Domain Name System (DNS) (meist UDP) | ||
| + | |} | ||
| + | |||
| + | ==== '''<span style="color:#4682B4">Verschlüsselt</span>''' ==== | ||
| + | {| class=" wikitable sortable" style="width: 100%;" | ||
| + | |+ | ||
| + | Vrschlüsselte Ports | ||
| + | !'''Ports''' | ||
| + | !'''Protokoll''' | ||
| + | !'''Erklärung''' | ||
| + | |- | ||
| + | |style="text-align:center;"|443 | ||
| + | |style="text-align:center;"|TCP | ||
| + | |[https://de.wikipedia.org/wiki/DNS_over_HTTPS Domain Name System (DNS) over HTTPS (DoH)] | ||
| + | |- | ||
| + | |style="text-align:center;"|853 | ||
| + | |style="text-align:center;"|TCP | ||
| + | |[https://de.wikipedia.org/wiki/DNS_over_TLS Domain Name System (DNS) over TLS (DoT)] | ||
| + | |} | ||
=== '''<span style="color:#FF0000">DNS-Namensauflösung</span>''' === | === '''<span style="color:#FF0000">DNS-Namensauflösung</span>''' === | ||
| Zeile 72: | Zeile 108: | ||
=== '''<span style="color:#FF0000">DNS-Einträge</span>''' === | === '''<span style="color:#FF0000">DNS-Einträge</span>''' === | ||
----Hier werden wir besprechen welche Eintragmöglichkeiten es gibt, dazu werde ich euch natürlich ein Beispiel hinterlegen. Die Beispiele lehnen sich in dem Fall an UBUNTU an. Da in dem Betriebssystem Standard die Einträge auf einem Text Basieren. Dies ist bei Windows ebenso, wird aber anders behandelt. | ----Hier werden wir besprechen welche Eintragmöglichkeiten es gibt, dazu werde ich euch natürlich ein Beispiel hinterlegen. Die Beispiele lehnen sich in dem Fall an UBUNTU an. Da in dem Betriebssystem Standard die Einträge auf einem Text Basieren. Dies ist bei Windows ebenso, wird aber anders behandelt. | ||
| + | |||
| + | Es ist noch sehr wichtig zu wissen die meisten öffentlichen DNS-Server laufen, auf Basis von Linux und daher ist ein Punkt, am Ende wichtig. Der Punkt bedeutet, nicht mehr das ein neuer Eintrag beginnt. | ||
{| class=" wikitable sortable" style="width: 100%;" | {| class=" wikitable sortable" style="width: 100%;" | ||
|+ | |+ | ||
Aktuelle Version vom 15. November 2020, 15:40 Uhr
Spätestens seit der Einführung von IPv6 und der damit verbunden komplexen Schreibweisen der Adressen wird deutlich, dass ein Netzwerk von einem funktionierenden Namensauflösungsdienst abhängt. Hier kommt der Domain Name Service (DNS) ins Spiel. Dieser Dienst löst sowohl im internen Netzwerk als auch im Internet die entsprechenden Namen in IP-Adressen auf, die dann vom System verwendet werden.
DNS-Server[Bearbeiten | Quelltext bearbeiten]
Jedes Betriebssystem benötigt einen DNS-Server im lokalen Netzwerk und/oder im Internet. Die Betriebssysteme benötigen einen eigenen Dienst, bei Windows ist es der "DNS-Client" und bei den neueren Ubuntu ist es "systemd-r" zum Auflösen von IP-Adressen. Diese Dienste werden z.B. benötigt damit Sie eine existierende Webseite Ihrer Wahl im Internet findet. In dem Bild möchte ich euch schematisch Darstellen, wie im groben eine DNS-Anfrage abläuft.
Schematischer Ablauf[Bearbeiten | Quelltext bearbeiten]
Wenn im Lokalen DNS-Server kein Eintrag gefunden wird, ist der nächste Schritt automatisch der hinterlegte öffentlicher DNS-Server, sollte der öffentlichen DNS-Server kein Eintrag gefunden wird, ist die letzte Station einer der 13 ROOT-Server.
Lokaler DNS-Server[Bearbeiten | Quelltext bearbeiten]
In den meisten Unternehmen ist sogar ein lokaler DNS-Server von Bedeutung, wenn man ein Active Directory von Microsoft benutzt, ist es um umgänglich so einen Server zu betreiben. Dieser Dienst ist meistens auf dem Domain Controller installiert, konfiguriert und administriert, auch wenn mehrere Domains Controller betreibt, bleibt das Vorgehen immer gleich. Hat auch den Vorteil, dass man interne Server mit Namen bzw. mit Hostnamen ansprechen kann, ob die automatisch Hinterlegt wurden oder nicht spielt keine Rolle. Die funktioniert natürlich nicht mit einem Internet-DNS-Server nicht, wenn man die Server von außen verfügbar macht.
Öffentlicher DNS-Server[Bearbeiten | Quelltext bearbeiten]
Ob man einen Lokalen DNS-Server betreibt oder nicht, aber man muss immer einen Forwarder angeben. Damit ist gemeint, dass jede Anfrage aus dem Lokalen Netzwerk kommt und keine IP-Adresse gefunden wird, wird diese Anfrage an die hinterlegten öffentlicher DNS-Server weitergeleitet wird, damit diese Aufgelöst werden kann.
| IP-Adresse | Anbieter |
|---|---|
| 8.8.8.8 | |
| 8.8.4.4 | alternativer Google |
| 1.1.1.1 | Cloudflare |
| 1.0.0.1 | alternativer Cloudflare |
| 9.9.9.9 | QUAD9 |
| 149.112.112.112 | alternativer QUAD9 |
| 208.67.222.222 | OpenDNS |
| 208.67.220.220 | alternativer OpenDNS |
| 8.26.56.26 | Comodo |
| 8.20.247.20 | alternativer Comodo |
ROOT DNS-Server[Bearbeiten | Quelltext bearbeiten]
Es gibt weltweit verteilte 13 ROOT DNS-Server, die Bezeichnet werden von A-M und die sind für gewisses kontingent von Top-Domain Level (TLD) zuständig. Die werden immer von dem öffentlichen DNS-Server abgerufen, welcher DNS Name in einer IP-Adresse hinterlegt ist.
Man kann natürlich eine Weiterleitung zu einem ROOT DNS-Server hinterlegen, es ist aber nicht ratsam, aus Performancegründen. Es kann leicht mal passieren, wenn Sie dies eingerichtet haben, das Sie einen 404 Error im Browser erhalten, trotz das die Seite einwandfrei funktioniert. Da die ROOT DNS-Server für DNS Anfragen relativ lange brauchen. Daher ist es sehr empfehlenswert immer einen öffentlichen DNS-Server als Weiterleitung einzutragen.
Netzwerk[Bearbeiten | Quelltext bearbeiten]
Für einen funktionierten DNS-Server benötigt man gewisse Ports, die nach außen Freigeschaltet sind, es spielt keine Rolle ob intern, wie extern.
Unverschlüsselt[Bearbeiten | Quelltext bearbeiten]
| Ports | Protokoll | Erklärung |
|---|---|---|
| 53 | TCP | Domain Name System (DNS) |
| 53 | UDP | Domain Name System (DNS) (meist UDP) |
Verschlüsselt[Bearbeiten | Quelltext bearbeiten]
| Ports | Protokoll | Erklärung |
|---|---|---|
| 443 | TCP | Domain Name System (DNS) over HTTPS (DoH) |
| 853 | TCP | Domain Name System (DNS) over TLS (DoT) |
DNS-Namensauflösung[Bearbeiten | Quelltext bearbeiten]
Die Auflösung funktioniert immer von rechts nach links. Um die richtige IP-Adresse zu finden beginnt die Auflösung mit dem TLD, dies hat die folgen, das man den richtigen ROOT-DNS-Server anspricht. Als 2 Auflösung ist die Domain wie z.B. life-sessions, damit finden wir den DNS-Server wo die Domain angelegt ist, dies kann die erste IP-Adresse ausgeben, wenn ihr keine Subdomain hinterlegt habt. Sollte ihr mit Subdomain hinterlegt haben, wird dieser Verweis herangezogen und dem Client mit geteilt. Ich möchte euch nur Schematisch Darstellen wie die DNS-Namensauflösung funktioniert im dar unterem Bild.
Forward/Reverse Lookup[Bearbeiten | Quelltext bearbeiten]
Wir haben gelernt, dass eine DNS Auflösung von rechts nach links abgearbeitet wird, dasselbe ist natürlich bei einer Reverse Anfrage. Man kennt denn DNS-Eintrag, aber nicht die dazugehörige IP-Adresse. Die bezeichnet man Reverse Lookup. Der Eintrag, der IP-Adresse wird ebenfalls von links nach rechts eingetragen. Siehe PTR-Eintrag weiter unten.
Sollte bei einer Anfrage, "UnKown" beim Standardserver erscheinen, ist mit hoher Wahrscheinlichkeit, ein fehlender PTR-Eintrag, daran schuld. Die sollte man korrigieren und noch mal überprüfen. Vergessen Sie dabei nicht den Cache zu leeren, dieser ist, im Normalfall, 1 Stunde gültig.
DNS-Einträge[Bearbeiten | Quelltext bearbeiten]
Hier werden wir besprechen welche Eintragmöglichkeiten es gibt, dazu werde ich euch natürlich ein Beispiel hinterlegen. Die Beispiele lehnen sich in dem Fall an UBUNTU an. Da in dem Betriebssystem Standard die Einträge auf einem Text Basieren. Dies ist bei Windows ebenso, wird aber anders behandelt.
Es ist noch sehr wichtig zu wissen die meisten öffentlichen DNS-Server laufen, auf Basis von Linux und daher ist ein Punkt, am Ende wichtig. Der Punkt bedeutet, nicht mehr das ein neuer Eintrag beginnt.
| TYP | Beschreibung | Beispiel |
|---|---|---|
| NS | Ein NS-RR (Name Server Resource Record) ist ein Datensatz eines DNS-Servers und kann zwei unterschiedliche Funktionen erfüllen:
|
example.com. 3600 IN NS names1.example.com. |
| A | Löst einen Namen in eine IPv4-Adresse auf. Diese Art der Auflösung wird als Forward-Lookup bezeichnet. | example.com. 3600 IN A 127.0.01 |
| AAAA | Löst einen Namen in eine IPv6-Adresse auf. Diese Art der Auflösung wird als Forward-Lookup bezeichnet. | example.com. 3600 IN AAAA ::0 |
| CNAME | Verwendet einen Alias (Canonical Name), um einen Namen aufzulösen, der nicht als A oder AAAA direkt registriert wurde. Damit kann ein Ziel über mehrere Namen angesprochen werden. Wird häufig bei Webserver und Autodiscover verwendet. | www.example.net. IN CNAME www.example.com. |
| TXT | Mit einem TXT Resource Record kann ein frei definierbarer Text in einer DNS-Zone abgelegt werden. Wird häufig für SPF, DMARC, Vertifizieren von DNS-Einträge usw. verwendet. | server1.example.com. 3600 IN TXT "Hello World" |
| MX | MX-Einträge werden zum Auffinden von Mailservern verwendet. | example.com preference = 10, mail exchanger = mail.example.com |
| SRV | Ein SRV-Eintrag kennzeichnet einen Dienst mit Prioritäten, einer Gewichtung und einem Port. Diese Einträge werden zum Beispiel für Auffinden von Domänencontroller verwendet. | _ldap._tcp.example.com. 3600 IN SRV 10 0 389 ldap01.example.com |
| PTR | Löst eine IP-Adresse in einem DNS-Namen auf (Reverse Lookup). | 1.0.0.10.in-addr.arpa. 3600 IN PTR example.com. |
| CAA | DNS Certification Authority Authorization (CAA) verwendet das Domain Name System, um dem Besitzer einer Domain die Möglichkeit zu bieten, gewisse Zertifizierungsstellen (CAs) dazu zu berechtigen, ein Zertifikat für die betroffene Domain auszustellen. CAA Records sollen verhindern, dass Zertifikate fälschlicherweise für eine Domain ausgestellt werden. | example.com. IN CAA 0 issue "ca.example.net" |
| TLSA | DNS-based Authentication of Named Entities (DANE) ist ein Netzwerkprotokoll, das dazu dient, den Datenverkehr abzusichern. Das Protokoll erweitert die verbreitete Transportwegverschlüsselung SSL/TLS in der Weise, dass die verwendeten Zertifikate nicht unbemerkt ausgewechselt werden können, und erhöht so die Sicherheit beim verschlüsselten Transport von E-Mails und beim Zugriff auf Webseiten. | _25._tcp.mx1.example.net. IN TLSA 3 1 1 (
8A9A70596E869BED72C69D97A8895DFA
D86F300A343FECEFF19E89C27C896BC9 )
|
| DNSKEY | DNSKEY Resource Records dienen der Propagierung öffentlicher Schlüssel durch DNS. DNSKEY Records werden im Rahmen von DNSSEC (DNS Security) verwendet und lösten 2004 die nahezu identischen KEY Resource Records ab. | example.net. IN DNSKEY (
257 ; Schlüsselunterzeichnungs-Schlüssel
3 ; DNSSEC
1 ; RSA-Verschlüsselung
AQOW4333ZLdOHLRk+3Xe6RAaCQAOMhAVJu2T
xqmk1Kyc13h69/wh1zhDk2jjqxsN6dVAFi16
CUoynd7/EfaXdcjL )
|
