Letzte Änderung: 8.10.98 von B. Tritsch
Stichworte:
Programme referenzieren Rechner und andere Ressourcen äußerst selten über binäre Netzwerkadressen. Statt dessen finden ASCII-Zeichenketten viel öfters Verwendung, wie z.B. "ZGDV.DE". Dennoch versteht ein Netzwerk im allgemeinen und das Internet im speziellen ausschließlich binäre Adressen wie "192.44.32.1". Daher werden Mechanismen zur Konvertierung der einen Konvention in die andere benötigt.
Ganz zu Anfang des DARPANET genügte dafür eine einfache ASCII-Datei, die alle Rechnernamen und IP-Adressen auflistete. Jede Nacht holten alle angeschlossenen Rechner diese Datei von der Originalquelle ab. Für ein Netzwerk mit nur einigen hundert Maschinen war dies ein adäquates Vorgehen. Nachdem jedoch zigtausend Maschinen im Internet miteinander verbunden waren, erwies sich dieses Vorgehen als nicht weiter tragfähig. Insbesondere die wachsende Größe der Datei und die Namenskonflikte bei der Einbindung neuer Rechner erforderte die Entwicklung eines neuen Konzepts - des Domain Name Systems (DNS).
Die Essenz von DNS ist die Einführung eines hierarchischen, domänebasierten Namensschemas und eines verteilten Datenbanksystems für die Implementierung dieses Namensschemas. Es wird primär für die Abbildung (Mapping) von Rechnernamen auf IP-Adressen verwendet.
Eine große und sich ständig ändernde Datenbank mit Rechnernamen ist ein nicht-triviales Problem. Beim normalen Postsystem wird das Management von Namen durch die Zuordnung von Zeichenketten für das Land, den Ort, die Straße und den Adressaten geregelt. Bie dieser Art der hierarchischen Adressierung gibt es keine Konfusion zwischen einem Bernhard Tritsch in Darmstadt und einem Bernhard Tritsch in Freiburg. Das Domain Name System funktioniert auf die selbe Weise.
Konzeptionell ist das Internet in mehrere hundert Top Level Domains aufgeteilt, wobei jede Domain viele Rechner umfaßt. Jede Domäne ist aufgeteilt in Subdomänen, die sich wiederum in Subdomänen verzweigen. Alle diese Domänen können in einer Baumstruktur dargestellt werden. Die Blätter der Bäume repräsentieren Subdomänen, die keine weiteren Subdomänen (aber natürlich Rechner) beinhalten. Ein Blatt kann eine einzelne Maschine aber auch eine Firma mit tausenden von Einzelrechnern umfassen.
Die Top Level Domains bestehen aus zwei Gruppen: generische und länderspezifische. Die generischen Domänen sind
Die länderspezifischen Domänen wie de umfassen einen Eintrag für jedes Land, wie es in ISO 3166 definiert ist.
Momentan besteht eine teilweise sehr kontrovers geführte Diskussion um die Erweiterung der generischen Top Level Domains. Wesentliche Einflußnahme nimmt dabei das Interim Policy Oversight Committee (IOPC). Das IOPC setzt sich aus Vertretern verschiedener Web-Organisationen zusammen und hat sich die Erörterung politischer Fragen rund ums Interent auf die Fahnen geschrieben. Ein Vorschlag des IOPC besteht darin, die Top Level Domains
in die bestehende Liste aufzunehmen. Zum Schutz von Minderjährigen wurde kurzzeitig sogar die Einführung einer Rotlichtzone im Internet (Endung xxx) erörtert. Dieser Ansatz wurde dann jedoch nicht weiter verfolgt.
Jede Domäne wird durch den aufsteigenden Pfad bis hin zur (unbenannten) Wurzel des Baumes benannt. Die Komponenten werden durch einen Punkt voneinander getrennt. Daher kann eine Abteilung (GRZ) innerhalb des Instituts für Graphische Datenverarbeitung (IGD) in der Fraunhofer-Gesellschaft (FHG) folgendermaßen heißen: "GRZ.IGD.FHG.DE". Dieser Name steht dabei in keinerlei Konflikt mit einer Abteilung GRZ am MIT in den USA: "GRZ.MIT.EDU". Solche Namen werden als Fully Qualified Domain Name (FQDN) bezeichnet.
Ein weiteres Beispiel:
Domänenamen sind unabhängig von der Groß- und Kleinschreibung, daher bedeuten edu und EDU das selbe. Komponentennamen können bis zu 63 Buchstaben lang sein, der gesamte Pfad bis zu 255 Buchstaben.
Stichworte:
Für das Verständnis der DNS-Namenskonventionen ist insbesondere der Begriffe Domäne wichtig. Die Domäne taucht bereits im Zusammenhang mit den bekannten Internet-Namen auf, z.B. "IGD.FHG.DE" oder "ZGDV.DE". Domänen sind weltweit strukturiert und werden momentan noch vom Network Information Center (NIC) sowie seinen nationalen Ablegern (z.B. DeNIC) vergeben und verwaltet. Dies soll sich jedoch in Zukunft ändern, da kommerzielle Firmen die Vergabe der Domänen übernehmen sollen.
Eine Domäne kennzeichnet eine logische Struktur von Rechnern. Innerhalb einer Domäne kann es also wie weiter oben schon beschrieben Subdomänen geben. Diese dienen einer weiteren Strukturierung umfangreicherer Netzwerke. Beim Betrieb einer eigenen Domäne ist ihr Besitzer auch für deren Verwaltung über einen Domain Name Server verantwortlich.
Der Domain Name Server (oder einfacher Name Server) speichert Informationen über die Domäne sowie die darin enthaltenen Systeme. Bei diesen lassen sich drei Rollen unterscheiden:
Wenn ein Client nun auf einen DNS-Server zugreift, versucht dieser die angeforderte Information bereitzustellen. In kleineren und mittleren lokalen Netzen, in denen die gesamten Informationen auf allen DNS-Servern verfügbar sind, ist dies kein Problem. In großen Netzwerken und bei einem Zugriff auf das Internet ist die Information aber sehr häufig nicht lokal verfügbar. DNS kennt für solch einen Fall das Konzept des Forwarder. Ausgewählte DNS-Server können als Forwarder eingerichtet werden. Nur diese Systeme können auf weitere DNS-Server - vor allem im Internet - zugreifen. Solch eine Beschränkung ist sowohl aus Gründen der Lastverteilung als auch der Sicherheit nötig. Allein dadurch kann bei einer Firewall gezielt eingeschränkt werden welche Systeme mit dem Internet kommunizieren dürfen und welche nicht.
Die übrigen DNS-Server werden so eingerichtet, daß sie die Forwarder verwenden. Diese Konfiguration erfolgt auf der Ebene des DNS-Servers und nicht auf der Ebene der Domänen. Wenn ein Client nun eine Anfrage an seinen DNS-Server sendet, versucht dieser zunächst die Anfrage mit Hilfe seiner Informationsdatei zu beantworten. Falls das nicht klappt, leitet er die Frage an einen der angegeben Forwarder weiter. Dieser kümmert sich um die Anfrage (ggf. durch den Zugriff auf weiter DNS-Server) und gibt das Ergebnis an den ersten DNS-Server zurück. Dieser liefert dann die erfragte IP-Adresse an den Client.
Abbildung 2.1: Auflösung eines Rechnernamens über DNS. Die zentralen Informationen sind dabei die Top Level Domain und der Fully Qualified Domain Name.
Neben den klassischen Anfragen, bei denen auf Basis eines Internet-Namens eine IP-Adresse erfragt wird, kann auch eine IP-Adresse an den DNS-Server gesendet werden, um den zugehörigen Internet-Namen zu erhalten. Diese Anfragen werden als rekursiv (oder invers) bezeichnet. Ihr Zweck liegt darin zu überprüfen, ob ein Server tatsächlich der ist, der er zu sein vorgibt - oder ob er womöglich einen falschen Namen zu einer IP-Adresse angibt.
Hier ergibt sich ein Hauptangriffspunkt kommerzieller Anbieter sicherheitskritischer Dienste, wie z.B. Banken mit Online-Anschluß. Das DNS-Spoofing entspricht der gezielten Manipulation der Zuordnung zwischen logischem Namen und IP-Adresse eines Servers. Es wird dabei vorgegaukelt, daß sich über den logischen Namen zu einem bestimmten Rechner verbunden wurde. Dies ist dann jedoch ein Rechner der Angreifer, der damit auch möglicherweise sicherheitskritische Informationen des Benutzers erhält.