Was ist das Domain Name System (DNS)?
Entdecken Sie die Bedeutung von DNS, wie es funktioniert, und wie Sie eine DNS-Lösung für Ihre Organisation wählen, wenn Sie eine benötigen.
Schwarzer und blauer Hintergrund
Was ist DNS?

Domain Name System (DNS) ermöglicht Benutzern des Herstellen von Verbindungen zu Websites mithilfe von Internetdomänennamen und durchsuchbaren URLs anstelle von numerischen Internetprotokolladressen (IP-Adressen). Anstatt sich eine aus Zahlen bestehende IP-Adresse wie  93.184.216.34 zu merken,  können Benutzer stattdessen nach  www.example.com suchen.

Die Technologie, auf der DNS basiert, ist mit dem Verwalten von Telefonkontakten im Smartphone vergleichbar. Anstatt sich jede Telefonnummer zu merken, können Benutzer die Nummern einfach in einer durchsuchbaren Kontaktliste speichern und wiederfinden, indem sie die Liste nach dem Vor- oder Nachnamen der betreffenden Person durchsuchen.

Die Umsetzungstechnologie hinter DNS ist auch maßgeblich dafür, wie Unternehmen das Internet nutzen, insbesondere für das Erstellen ihrer Markenidentität und dafür, wie sie sich den Kunden präsentieren. Ohne ein Domain Name System wüssten die Kunden schon nach kurzer Zeit nicht mehr, nach welchen Websites sie suchen möchten. IP-Adressen können sich von Zeit zu Zeit ändern, aber Domänennamen sind leicht zu merken und bleiben gleich.
Wie funktioniert das DNS?

Beachten Sie unbedingt den Unterschied zwischen öffentlichem und privatem DNS.

  • Öffentliches DNS:  IP-Datensätze für Ihr Unternehmen werden in der Regel von Ihrem Internet-Service-Provider (ISP) zur Verfügung gestellt. Diese Datensätze sind öffentlich zugänglich und können von allen Benutzern aufgerufen werden, unabhängig von dem verwendeten Gerät und dem  Netz , mit dem sie verbunden sind.

  • Privates DNS:  Der Unterschied zu einem öffentlichen DNS besteht darin, dass sich das private DNS hinter einer Firewall des Unternehmens befindet und nur Datensätze für interne Sites enthält. In diesem Fall ist das private DNS auf die IP-Adressen der internen Sites und der verwendeten Services beschränkt und ist nicht für Benutzer außerhalb des privaten Netzes zugänglich.

In den meisten Fällen greifen die Benutzer bei der Umwandlung von Hostnamen in IP-Adressen auf das öffentliche DNS zurück. Die folgende allgemeine Übersicht zeigt, wie dieser Prozess funktioniert:

  1. Ein Benutzer gibt einen Domänennamen oder eine URL (z. B.  www.example.com) in einem Browser ein. Der Browser sendet daraufhin eine Abfrage an einen lokalen DNS-Server, der in der Regel von einem lokalen Betriebssystem oder von Ihrem Internet-Service-Provider bereitgestellt wird. Dieser Vermittler zwischen Client und DNS-Namensserver (auch als rekursiver Auflöser bezeichnet) ist dafür konzipiert, angeforderte Namensserverinformationen beim Client anzufordern oder vom Client zu empfangen.

  2. Der rekursive Auflöser fordert eine Abfrage an und leitet sie an Stammnamensserver weiter, die als Antwort den zuständigen TLD-Namensserver für die gesuchte Erweiterung des Domänennamens zurückgeben. Die Stammnamensserver werden auch von ICANN (Internet Corporation for Assigned Names and Numbers) beaufsichtigt. Der TLD-Namensserver enthält alle Informationen zu URLs, die mit allgemeinen Erweiterungen wie .com, .net, .edu und .gov enden.

  3. Wegen der Vielzahl und Häufigkeit der DNS-Suchvorgänge fasst ein rekursiver Auflöser die Anfragen entsprechend der ursprünglichen Suchabfrage zu Gruppen mit Angabe des maßgeblichen DNS und der korrekten IP-Adresse zusammen. Der maßgebliche Namensserver ist in der Regel die letzte Zwischenstation einer DNS-Suche. Nachdem ein rekursiver Auflöser eine Antwort vom TLD-Namensserver empfangen hat, wird ein maßgeblicher Namensserver abgefragt, der die IP-Adresse enthält, die an den Client zurückgegeben werden soll.

Der DNS ist zu einer unverzichtbaren Komponente für die Kernfunktionen des Internets geworden, denn er ermöglicht das Navigieren in der unüberschaubaren Menge der IP-Adressen mithilfe von Ressourcendatensätzen. Ohne diese grundlegenden Prozesse wäre es praktisch unmöglich, all die Funktionen anzubieten, die wir im Online-Computing täglich nutzen, und wir könnten nur in sehr begrenztem Umfang E-Mail-Services oder Website-Umleitungen einrichten oder komplexe IPv4- und IPv6-Webadressen erkennen. Das Erstaunliche an DNS-Suchen ist jedoch, dass alle Suchabfragen und Serverumleitungen (unabhängig von der Komplexität des Suchvorgangs) innerhalb weniger Millisekunden abgeschlossen werden und keine Auswirkungen auf die Clientseite haben. 
Vorgehensweise zum Auswählen eines DNS-Servers

Viele Organisationen finden es hilfreich, über eigene DNS-Server zu verfügen. Diese Ansatz bietet verschiedene Vorteile und ermöglicht vor allem mehr Konsistenz und Kontrolle für die eigene Präsenz im Web. Als Serveradministrator können Sie alle Parameter für Ihre Maschinen festlegen, z. B. Suchprozesse, Sicherheitsprotokolle und Leistungsparameter.

Die beiden wichtigsten Kriterien bei der Entscheidung für einen bestimmten DNS-Servertyp sind die Skalierbarkeit und der Durchsatz des Servers. Mit welcher Geschwindigkeit ein DNS-Server auf Anfragen antwortet, hängt von mehreren Variablen ab. Dazu gehören der geografische Standort des Benutzers in Relation zum Server, die Konfiguration für den  Lastausgleich  und das Filtern von Abfragen.

Eine weitere Option ist die Nutzung einer DDI-Lösung, d. h. eine zentrale Plattform für die Integration und Verwaltung aller DNS-, DHCP- und IPAM-Services. DDI bietet Unternehmen die Möglichkeit, die Verwaltung einer zunehmenden Anzahl von IP-Adressen zu vereinfachen und zu automatisieren und zugleich weitere Cloud-Orchestrierungssysteme im gewünschten Umfang bereitzustellen und zu integrieren.
DNS-Server und Cybersicherheit

Die meisten modernen DNS-Server sind gut geschützt. Bei älteren Systemen, die vor vielen Jahren konzipiert wurden, bestehen möglicherweise Lücken in der Unternehmenssicherheit. Die folgenden  Risiken treten im Zusammenhang mit solchen DNS-Servern häufig auf.

DNS-Hijacking
 

Das DNS-Hijacking (auch als Umleitungsangriff bezeichnet) tritt auf, wenn DNS-Abfragen falsch aufgelöst und Benutzer zu gefälschten und schädlichen Websites umgeleitet werden. Dabei werden durch Schadsoftware, die auf Computern der Benutzer installiert wurde, Router oder aktive DNS-Kommunikationsprozesse übernommen und missbraucht.

Cache-Manipulation
 

Bei der DNS-Cache-Manipulation übernimmt ein Hacker die Kontrolle über einen DNS-Server und manipuliert eingetragene IP-Adressen. Diese gefälschten Einträge werden global an alle Internet-Service-Provider verteilt, wo sie im Cache gespeichert und für öffentliche DNS-Suchvorgänge verwendet werden.

Eine Möglichkeit zur wirksamen Bekämpfung dieser Risiken ist die Verwendung von DNSSec. DNSSec verwendet ein sicheres Domain Name System (DNS) und weist DNS-Datensätzen kryptografische Signaturen zu, um sicherzustellen, dass die Einträge unverändert bleiben. Ähnlich wie HTTPS, fügt DNSSec eine zusätzliche Sicherheitsebene für den Zugriff auf DNS-Datensätze hinzu, und zwar ohne tiefgreifende Verschlüsselung, die den Abfrageprozess verzögern würde.
Bewährte Verfahren für DNS-Sicherheit

Unabhängig von den verwendeten DNS-Servicetypen, können Sie einige bewährte Verfahren anwenden, um möglichst wenig Angriffsfläche zu bieten und potenzielle Sicherheitsrisiken zu minimieren:

  1. DNS-Bereinigung:  Durch regelmäßiges Leeren des DNS-Cache werden alle Einträge in Ihrem lokalen System gelöscht. Dieser Vorgang ermöglicht das Löschen ungültiger oder manipulierter DNS-Datensätze, die zum Umleiten auf schädliche Websites missbraucht werden können.

  2. nslookup: Mit dem Programm bzw. Befehlscode  nslookup  können Serveradministratoren die IP-Adresse für einen angegebenen Hostnamen ermitteln. Dadurch können sich Benutzern vor Phishing-Angriffen schützen und bei Bedarf die Gültigkeit der besuchten Websites überprüfen.

  3. Test für DNS-Lecks: Mehrere frei verfügbare Services ermöglichen die Durchführung eines  Tests für DNS-Lecks  (Link führt zu Seite außerhalb von ibm.com). Bei der Verwendung von sicheren VPNs oder Datenschutzservices kann es vorkommen, dass aufgrund fehlerhafter Konfigurationen weiterhin die standardmäßigen DNS-Server verwendet werden. In diesem Fall können durch die Überwachung des Netzdatenverkehrs Ihre Aktivitäten aufgezeichnet und für böswillige Absichten missbraucht werden. Ein Test für DNS-Lecks kann sicherstellen, dass Sie über einen lückenlosen VPN-Tunnel verfügen und Ihr Netzdatenverkehr geschützt bleibt.
Relevante Lösungen
IBM Cloud® Internet Services

IBM® Cloud Internet Services bieten Funktionen für Sicherheit, Zuverlässigkeit und Leistung, die öffentlich zugängliche Webinhalte und Anwendungen schützen.

IBM® Cloud Internet Services erkunden
Ressourcen Was ist Netzbetrieb?

In dieser Einführung zum Netzbetrieb lernen Sie, wie Computernetzwerke funktionieren, welche Architektur für die Gestaltung von Netzwerken verwendet wird und wie sie sicher bleiben.

 Was ist Lastverteilung?

Erfahren Sie in diesem Leitfaden, wie Lastverteilung die Website- und Anwendungsleistung optimiert.
Machen Sie den nächsten Schritt

IBM® Cloud Internet Services (CIS) basiert auf Cloudflare und bietet Unternehmen Zugriff auf eine Reihe von Services für die Domänenverwaltung sowie ständig erreichbare, spezialisierte Supportmitarbeiter – und das alles über ein sicheres Netz. Durch die Verwendung maßgeblicher DNS-Server in Kombination mit globalem und lokalem Lastausgleich können Clients über eine einheitliche Schnittstelle DNS-Abfragen in mehreren Regionen absetzen, Latenz- und Ausfallzeiten vermeiden und somit die Auflösungsphase erheblich verkürzen.

Erfahren Sie mehr über die IBM® Cloud Internet Services