Die Qual der Wahl: Welcher DNS-Resolver darf´s denn sein?

Um sich im Internet zurechtzufinden, führt kein Weg am „Domain Name System“ (DNS) vorbei. Das DNS-System hat in erster Linie die Aufgabe, nichtssagende IP-Adressen – wie 212.218.192.36 – durch einen aussagekräftigen Namen – wie www.nethinks.com – darstellbar zu machen. Besonders beim Bereitstellen von Services mit sehr langen und kryptischen IPv6 Adressen wird der Domain Name Service ein wichtiges Werkzeug.

DNS-Resolver: Geschwindigkeit ist Trumpf

Eine spezielle Rolle von DNS-Servern sind die sogenannten „Resolver“ oder auch „Caching Name-Server“. Diese Resolver sind Systeme, deren einzige Aufgabe es ist, DNS-Anfragen von Clients entgegenzunehmen, diese rekursiv im globalen DNS-System aufzulösen und dem Client schließlich wieder bereitzustellen. Die Resolver merken sich (cachen) alle erfolgten DNS-Abfragen für einen bestimmte Zeit, um bei der wiederholten Abfrage das Ergebnis direkt ausliefern zu können, ohne jedes Mal den Umweg über das globale DNS System zu nehmen. Im Zuge immer komplexerer und dynamischer Webanawendungen, in denen zum Teil dutzende von externen Ressourcen über DNS-Namen integriert werden, ist ein schnell antwortender DNS-Resolver die Grundlage für eine hohe Applikationsperformance.

Google setzt den Gold-Standard

Noch vor zehn Jahren wurde die Aufgabe, einen DNS-Dienst bereitzustellen, nahezu vollständig von den Internet Service Providern übernommen – bis im Dezember 2009 das US-Unternehmen Google einen neuen öffentlichen Dienst vorgestellt hat: den Public DNS-Resolver 8.8.8.8. Bereits nach wenigen Tagen zeigte sich im Feedback in Newsgroups und Internet-Foren der Erfolg dieses Dienstes. Der Resolver 8.8.8.8 hatte sehr schnell den Ruf, DNS-Anfragen von Clients schneller zu beantworten als die DNS-Server des eigenen Internet-Providers, was zu einer raschen Adaption führte – und dies sowohl bei Privatkunden als auch in Unternehmen. Obwohl die Sicherheits- und Datenschutzbedenken bereits von Beginn an präsent waren, muss man die 8.8.8.8 noch bis heute als den mit Abstand populärsten DNS Resolver im Internet bezeichnen.

Neue „Mitspieler“

In den vergangenen Monaten sind einige neue Mitspieler in diesem Markt aufgetaucht. Im November 2017 gab ein Konsortium bestehend aus den Unternehmen „Packet Clearing House“, der „Global Cyber Alliance“ und IBM den Startschuss für einen neuen globalen DNS Dienst, die „9.9.9.9“ oder auch „Quad9“ (https://www.quad9.org). Quad9 hat sich die Themen Privacy und Security auf die Fahnen geschrieben. In Quad9 sind cloudbasierte DNS-Filterdienste von IBM integriert, die DNS Anfragen auf bekannte Phishing- und Malware-Sites herausfiltern und den User auf eine sicher Hinweisseite redirecten. Wer Quad9 ohne diese Filtermechanismen verwenden möchte, nutzt statt der 9.9.9.9 einfach die 9.9.9.10.
Nur wenige Monate später, im April 2018, stellt der US-Amerikanische Konzern „Cloudflare“ ebenfalls einen öffentlichen DNS-Resolver vor, die 1.1.1.1 (https://1.1.1.1). Cloudflare ist der weltweit führende Anbieter von dDoS-Protection im WWW und besitzt eine der größten CDN- und Caching-Proxy-Infrastrukturen weltweit. Daher kann man bei 1.1.1.1 von einem enorm leistungsfähigen Dienst ausgehen, der auch neue Security-Aspekte implementiert. So hat man die Möglichkeit, verschlüsselte DNS-Abfragen via DNS-over-TLS oder DNS-over-HTTPS durchzuführen.
Eine weitere Alternative gerade für Unternehmen bietet der teilweise kommerzielle Dienst „OpenDNS“ der mittlerweile vom US Unternehmen „Cisco Systems“ übernommen wurde und unter dem Namen „Umbrella“ (https://umbrella.cisco.com/) vermarktet wird. Umbrella bietet einem Unternehmen einen konfigurierbaren Security-Layer auf DNS-Ebene, in dem bekannte Phishing- und Malware-Sites gefiltert werden. Über die Abbildung von URL-Kategorien wird hier ein cloudbasiertes Secure-Web-Gateway realisiert. Ferner ist die DNS-Ebene ein effizienter Ansatz, um Command-and-Control-Traffic zu Botnetzen zu erkennen und einzudämmen. Umbrella sieht sich nicht als vollständige Security Lösung, bietet aber beispielsweise eine „Second-Line-of-Defence“ in Ergänzung zu einer bestehenden Perimeter-Firewall. Auch die Rechner von Mobile-Workern, die sich üblicherweise nicht hinter der Unternehmensfirewall befinden, können über Umbrella effizient geschützt werden.

Der NETHINKS-DNS-Resolver

„Last but not Least“ möchten wir auch noch mal auf unseren eigenen DNS-Resolver hinweisen (https://nethinks.com/dns-server). Exklusiv für unsere Kunden betreiben wir an unseren primären Internet Backbone-Standorten in Frankfurt und Nürnberg leistungsfähige-DNS Resolver auf Basis der freien DNS-Software „Unbound“ in einem effizienten Anycast-Verbund. Dieser Dienst ist von allen NT/Connect- oder NT/DSL-Anschlüssen aus frei nutzbar, ist im Vergleich allen großen DNS-Netzwerken 100% „Made in Germany“ – und die IP-Adressen der Server sind fast genau so einfach zu merken wie im Fall der internationalen „Big Player“. Wir empfehlen allen Kunden, diese DNS-Server ausschließlich oder in Verbindung mit einem der oben genannten öffentlichen Resolver zu nutzen.
Weitere Fragen zu DNS-Resolvern und der Lösung „Umbrella“beantworten wir Ihnen gern – nehmen Sie Kontakt mit uns auf!

1 Gedanke zu „Die Qual der Wahl: Welcher DNS-Resolver darf´s denn sein?“

Kommentare sind geschlossen.

EU Efre Dekra