Die Oktane war sehr erfolgreich! Sehen Sie sich unsere On-Demand-Sessions an.
Jetzt testen Kontakt

Was ist ein Domain Name System (DNS)?

Über den Autor/die Autorin

Arun Singh

Senior Director of Platform Product Marketing

Arun Singh is the Senior Director of Platform Product Marketing at Okta. He is responsible for championing the value of the Okta Identity Platform and helping customers solve any identity use case. He also has over ten years of experience in cybersecurity at companies including Cloudflare, Salesforce, Oracle and Sun Microsystems. He has a Masters in Computer Science from the University of Cincinnati.

22 März 2021 Lesezeit: ~

Inhalt

Was ist das Domain Name System (DNS)?

Durch das Domain Name System (DNS) können Browser, Apps und Server Internetseiten überhaupt erst aufrufen. Dabei können Sie sich das DNS als eine Art Telefonbuch vorstellen, allerdings werden hier nicht Personennamen mit Telefonnummern verknüpft, sondern Domainnamen mit Internetprotokolladressen (IP-Adressen), die von Computersystemen verstanden werden können. 

Bei jeder Nutzung des Internets profitieren wir vom Domain Name System – ganz gleich, ob wir recherchieren, shoppen oder streamen. Denn dank des DNS müssen wir uns keine komplexen IP-Adressen (z. B. 104.18.211.105) merken, um auf Websites und Dienste zugreifen zu können.

In diesem Beitrag erklären wir die Funktionsweise des Domain Name System und geben Praxistipps zu dessen Konfiguration und Sicherheit. Zunächst einmal möchten wir einige wichtige Begriffe vorstellen.

Domain Name System: Begriffserklärungen

Was ist ein Domainname?

Vereinfacht ausgedrückt, ist der Domainname die Adresse einer Website. Er besteht im Wesentlichen aus drei Teilen:

  • Third-Level-Domains (auch bekannt als Subdomains) helfen, eine Website zu organisieren. Während „www“ am häufigsten vorkommt, gibt es noch einige andere, die verwendet werden können. Die folgenden URLs verwenden „support“, „docs“ und „help“ als Third-Level-Domains:
    • support.okta.com
    • docs.google.com
    • help.shopify.com 
  • Second-Level-Domains sind f r jede Website einzigartig und enthalten typischerweise den Namen eines Unternehmens oder Produkts. In der URL www.okta.com ist „okta“ die Second-Level-Domain.
  • Top-Level-Domains (TLDs) geben an, wo eine Website gehostet wird. Beispiele sind .com, .org, und .net, unter anderem.

Was ist eine IP-Adresse? 

IP-Adressen sind Nummernfolgen, mit deren Hilfe mit dem Internet verbundene Geräte – Smartphones ebenso wie Server – Computerdienste finden und identifizieren und mit anderen Geräten Daten austauschen können.

Was ist ein DNS-Server?

Die Abkürzung „DNS“ steht auch bei den entsprechenden Servern für „Domain Name System“. DNS-Server werden auch kurz Nameserver genannt. Alles in allem gibt es vier Arten von DNS-Servern. Sie laufen im Hintergrund, wandeln Domainnamen in IP-Adressen um und ermöglichen es Benutzern so im Gegenzug, auf Webressourcen zuzugreifen. 

Um das Zusammenspiel der vier DNS-Servertypen zu verdeutlichen, bedienen wir uns einer Bibliothek als Analogie:

  • DNS-Resolver: Stellen Sie sich den DNS-Resolver wie einen Bibliothekar vor. So wie ein Bibliothekar Ihnen hilft, ein Buch in den Regalen zu finden, empfängt der DNS-Resolver eine Anfrage für eine bestimmte Website und hilft dabei, den Standort der Website zu ermitteln.
  • Root-Nameserver: Der Root-Nameserver ist vergleichbar mit einem Bibliotheksindex, der den Abschnitt der Bibliothek auflistet, in dem sich das Buch befinden könnte. Der Root-Nameserver beantwortet Anfragen nach Records direkt und verweist den Resolver auf den Speicherort (TLD-Nameserver) einer IP-Adresse. Fun Fact: Es gibt nur 13 Root-Nameserver auf der Welt.
  • TLD-Nameserver: Diese Art Server ist vergleichbar mit einem Bücherregal in einer Bibliothek. Der letzte Bestandteil der Domain gibt Aufschluss über den TLD-Nameserver (okta.com etwa ist verknüpft mit dem TLD-Nameserver „.com“). TLD-Nameserver haben Zugriff auf alle Authoritative Nameserver der TLD „.com“. 
  • Authoritativer Nameserver: Der authoritative Nameserver ist unterdessen wie ein Wörterbuch in diesem Regal. Wenn er Zugriff auf die angeforderte Webadresse hat, beantwortet er die Anfrage, übersetzt sie in eine IP-Adresse und gibt sie dann an den DNS-Resolver zurück.

Wie funktioniert das DNS?

Das Domain Name System funktioniert wie ein herkömmliches Verzeichnis. Da das Internet aber ein so gewaltiges Netzwerk an Websites und Ressourcen ist und es Stand heute allein über 350 Millionen Domainnamen gibt, muss es über verschiedene DNS-Server verteilt werden, die ihrerseits in kleinere DNS-Zonen gegliedert sind. 

Es gibt nicht den einen DNS-Server mit sämtlichen Einträgen im Internet. Das wäre unsinnig. Es gibt ja auch nicht das eine Telefonbuch mit allen Telefonnummern der Welt. Stattdessen müssen die DNS-Server bei der Umwandlung von Webadressen in IP-Adressen zusammenarbeiten.

Eine DNS-Abfrage erfolgt in sieben Schritten: 

  1. Benutzer geben Website-Adressen in ihren Browser ein und rufen sie auf.
  2. Das Betriebssystem überprüft daraufhin zunächst den Cache und sendet die Anfrage dann an den DNS-Resolver (in der Regel der Internetanbieter des Benutzers), der wiederum den DNS-Nameserver kontaktiert.
  3. Der Root-Nameserver antwortet mit der Adresse eines TLD-Nameservers, auf dem die Daten der Domain gespeichert sind.
  4. Der Resolver sendet eine Anfrage an die TLD, die wiederum mit der IP-Adresse des Domain Nameservers antwortet.
  5. Anschließend sendet der Resolver eine Anfrage an den Authoritative Nameserver, der wiederum mit der IP-Adresse der gewünschten Website antwortet.
  6. Der DNS-Resolver sendet die IP-Adresse an den Internetbrowser des Benutzers, womit die Zuordnung abgeschlossen ist.
  7. Der Browser fordert von der IP-Adresse ein Hypertext Transfer Protocol (HTTP) an, mit dessen Hilfe er die Inhalte der Website im Browser des Benutzers darstellen kann.
Domain Name System (DNS)

Wenn wir all diese Schritte bei jedem Aufruf einer Website jedes Mal einzeln ausführen müssten, wären wir im Handumdrehen frustriert. Deshalb gibt es den DNS-Cache. In diesem Puffer können Informationen über von Benutzern regelmäßig aufgerufene Websites auf deren Computern gespeichert werden, damit die Benutzer diese Websites schnell und einfach aufrufen können.

Tipps für Konfiguration und Sicherheit des DNS

Das DNS ist einer der wichtigsten Bestandteile der Internetstruktur. Ohne DNS könnten wir keine einzige Website aufrufen. Umso wichtiger ist allerdings, den Zugriff zu beschränken, Einstellungen auf dem neusten Stand zu halten und Lösungen wie Multi-Faktor-Authentifizierung (MFA) einzusetzen, um es zu schützen.

Die häufigsten Bedrohungen für das DNS – und wie Sie sich davor schützen

DNS-Server können auf verschiedenen (wenn auch nicht allzu vielen) Wegen angegriffen werden:

  • Distributed Denial of Service (DDoS)-Angriffe treten auf, wenn böswillige Akteure versuchen, den Traffic zu einer Website zu stören. Um dies zu verhindern, ist eine DDoS-Schutzlösung erforderlich, die bösartige Anfragen aus legitimen Anfragen herausfiltert.
  • DNS-Spoofing, auch bekannt als DNS-Poisoning oder DNS-Cache-Poisoning, liegt vor, wenn ein Angreifer DNS-Server dazu veranlasst, falsche Antworten auf DNS-Abfragen zu senden. Der Angreifer kann Benutzer dann auf bösartige Websites umleiten, um persönliche Informationen zu stehlen oder sie zum Herunterladen von Malware zu zwingen. Der Schutz des DNS-Serverzugriffs mit MFA, die regelmäßige Aktualisierung der Server, die Deinstallation unnötiger Anwendungen und die Aktivierung von Domain Name System Security Extensions (DNSSEC) können alle dazu beitragen, diese Angriffe zu verhindern.
  • DNS-Hijacking tritt auf, wenn ein Computer mit einem kompromittierten oder bösartigen DNS-Server verbunden ist. Dies sendet falsche IP-Adressen an den Computer, was dazu führt, dass er eine andere Website besucht, als der Benutzer angefordert hat. DNS-Hijacking kann vermieden werden, indem vertrauenswürdige DNS-Dienste wie Google Public DNS verwendet und die historischen Daten einer Domain auf Datensatzänderungen überprüft werden.

5 Methoden für mehr DNS-Sicherheit

Die Verhinderung von DNS-Angriffen ist deshalb so wichtig, weil Kunden und Besucher von Websites die betroffenen Unternehmen dafür verantwortlich machen, wenn sie nicht auf deren Konten oder Dienste zugreifen können. Deshalb sollten Unternehmen zusätzlich zu den oben beschriebenen Maßnahmen auch diese bewährten Praktiken beherzigen:

  • Einsatz isolierter DNS-Server: Wenn Unternehmen eigene dedizierte DNS-Server betreiben, können sie damit die bei jeder DNS-Anfrage weitergegebenen Daten steuern. Anders ausgedrückt: Sie können damit die von Webanwendungen ausgehende Gefahr erheblich verringern. 
  • Aktualisieren von DNS-Servern: Wenn Unternehmen eigene DNS-Server betreiben, müssen sie diese regelmäßig warten, um das Auftreten von Fehlern zu vermeiden und Schwachstellen zu beseitigen. Deshalb sollten Sie immer über die neuesten Versionen verfügen. 
  • Implementieren Sie Dynamic DNS (DDNS) sicher: DDNS aktualisiert Nameserver automatisch – oft in Echtzeit – und ist eine großartige Möglichkeit, den Verwaltungsaufwand zu minimieren. Allerdings müssen diese Aktualisierungen auch ordnungsgemäß gesichert werden, um böswillige Angriffe zu verhindern.
  • Begrenzen des Datenaustauschs über DNS-Zonen: Beim Datenaustausch über DNS-Zonen handelt es sich im Wesentlichen um Kopien der DNS-Datenbanken, durch die Angreifer einen klareren Blick auf Ihr Netzwerk erhalten könnten. Die Begrenzung dieser Art von Datenaustausch zählt daher zu den besten Maßnahmen zum Schutz Ihrer DNS-Zonen. 
  • DNS-Zugriffskontrollen festlegen: DNS-Server können so konfiguriert werden, dass sie nur den Zugriff auf die richtigen Konten und Benutzer zulassen. Unternehmen können auch in Firewalls und andere Software investieren, um Verbindungen von externen Hosts zu blockieren.

Wie geht es weiter mit dem DNS?

Unserer Meinung nach sind Fragen nach der Zukunft des DNS vor allem Fragen der Sicherheit – und an dieser Stelle kommen Sicherheitserweiterungen für das Domain Name System ins Spiel. 

DNS-Resolver müssen verifizieren, dass die von ihnen angeforderten Daten auch aus der angegebenen Quelle stammen. Außerdem müssen sie bestätigen, dass Daten während der Übertragung nicht abgefangen oder verändert wurden. Beides ist wichtig. Sicherheitserweiterungen für das Domain Name System gewährleisten beides durch den Einsatz digitaler Signaturen. Damit lässt sich jede DNS-Zone mit öffentlichen und privaten DNS-Schlüsseln schützen. So wird Surfen im Internet eine sichere Sache.

Darüber hinaus ist die Einführung von DNSSEC ein entscheidender Schritt zur Erreichung von Zero-Trust-Sicherheit. Da die Akzeptanz von Cloud- und Mobiltechnologien weiter zunimmt, können Unternehmen nicht länger einen auf den Netzwerkperimeter ausgerichteten Ansatz verfolgen. Stattdessen müssen sie den sicheren Zugriff für verschiedene Arten von Benutzern ermöglichen – von Mitarbeitern über Partner bis hin zu Auftragnehmern – unabhängig von ihrem Standort, Gerät, Netzwerk oder DNS-Server. Mit diesem Ansatz haben nur die richtigen Personen die richtige Zugriffsebene auf die richtigen Ressourcen im richtigen Kontext.

Die Integration Ihres DNS-Anbieters und Ihrer DNS-Sicherheit in Ihre Identity Cloud schützt vor bekannten Schwachstellen. Informieren Sie sich über unsere DNS-Integrationen oder erfahren Sie mehr über Oktas Ansatz für die Skalierung des DNS.

Über den Autor/die Autorin

Arun Singh

Senior Director of Platform Product Marketing

Arun Singh is the Senior Director of Platform Product Marketing at Okta. He is responsible for championing the value of the Okta Identity Platform and helping customers solve any identity use case. He also has over ten years of experience in cybersecurity at companies including Cloudflare, Salesforce, Oracle and Sun Microsystems. He has a Masters in Computer Science from the University of Cincinnati.

Setzen Sie Ihre Identity Journey fort

Testen Sie Okta jetzt kostenlos – oder vereinbaren Sie einen Termin mit unserem Team, um über Ihre konkreten Anforderungen zu sprechen.

Jetzt starten
Kontaktieren Sie uns