DNS-Verschlüsselung
Beglaubigte Namen
Will ein Benutzer eine Adresse wie www.google.de besuchen, führt die Anfrage in den meisten Fällen zum DNS-Resolver des eigenen ISPs. Der ist dann dafür verantwortlich, über rekursive DNS-Abfragen die Anwort stellvertretend für den Client zu ermitteln. Hierfür befragt der Resolver verschiedene DNS-Server und hangelt sich so von der DNS-Root-Zone bis zu der Zone, die über einen Eintrag für www.google.de verfügt. DNSSEC stellt sicher, dass die Antworten, die der DNS-Server erhält, auch authentisch sind und nicht verändert wurden. Die Information wird dann im DNS-Cache des Resolvers abgelegt und an den anfragenden Client geschickt. Dieser weiß nun, welche IP-Adresse sich hinter www.google.de verbirgt, und kann eine Verbindung zu dem System aufbauen. Etwas vereinfacht dargestellt sieht die Abfrage in etwa so aus, wie in Listing 1 dargestellt.
Listing 1: DNS-Abfrage von www.google.de
$ dig +trace www.google.de . 110170 IN NS a.root-servers.net. de. 172800 IN NS n.de.net. google.de. 86400 IN NS ns1.google.com. www.google.de. 300 IN A 216.58.205.227
Angreifbarer Cache
Da sich die Information, wer sich hinter www.google.de verbirgt, jetzt im Cache des ISP-Resolvers befindet, bekommt der nächste Client, der nach diesem Namen fragt, die Information direkt aus dem Cache geliefert. Diese muss natürlich noch gültig sein, was mittels eines
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.
Ähnliche Artikel
-
DNS-Auflösung mit systemd-resolved
-
DNS über HTTPS
-
HAProxy bekommt DNS Service Discovery
Im gegenwärtigen Trend zu dynamischer Infrastruktur will HAProxy nicht zurückbleiben und integriert immer mehr entsprechende Features.
-
Sicherheit mit DNS
-
HAProxy 1.8 ist da
Ab sofort steht die neueste stabile Version das HAProxy-Loadbalancers zur Verfügung.
Konfigurationsmanagement
Themen
