Die Qual der Wahl: Welcher DNS-Resolver darf´s denn sein?

Um sich im Internet zurecht­zu­finden, führt kein Weg am “Domain Name System” (DNS) vorbei. Das DNS-System hat in erster Linie die Aufgabe, nichts­sa­gende IP-Adressen - wie 212.218.192.36 - durch einen aussa­ge­kräf­tigen Namen - wie www.nethinks.com - darstellbar zu machen. Beson­ders beim Bereit­stellen von Services mit sehr langen und kryp­ti­schen IPv6 Adressen wird der Domain Name Service ein wich­tiges Werkzeug.

DNS-Resolver: Geschwin­dig­keit ist Trumpf

Eine spezi­elle Rolle von DNS-Servern sind die soge­nannten “Resolver” oder auch “Caching Name-Server”. Diese Resolver sind Systeme, deren einzige Aufgabe es ist, DNS-Anfragen von Clients entge­gen­zu­nehmen, diese rekursiv im globalen DNS-System aufzu­lösen und dem Client schließ­lich wieder bereit­zu­stellen. Die Resolver merken sich (cachen) alle erfolgten DNS-Abfragen für einen bestimmte Zeit, um bei der wieder­holten Abfrage das Ergebnis direkt auslie­fern zu können, ohne jedes Mal den Umweg über das globale DNS System zu nehmen. Im Zuge immer komple­xerer und dyna­mi­scher Weba­na­wen­dungen, in denen zum Teil dutzende von externen Ressourcen über DNS-Namen inte­griert werden, ist ein schnell antwor­tender DNS-Resolver die Grundlage für eine hohe Applikationsperformance.

Google setzt den Gold-Standard

Noch vor zehn Jahren wurde die Aufgabe, einen DNS-Dienst bereit­zu­stellen, nahezu voll­ständig von den Internet Service Provi­dern über­nommen - bis im Dezember 2009 das US-Unter­nehmen Google einen neuen öffent­li­chen Dienst vorge­stellt hat: den Public DNS-Resolver 8.8.8.8. Bereits nach wenigen Tagen zeigte sich im Feed­back in News­groups und Internet-Foren der Erfolg dieses Dienstes. Der Resolver 8.8.8.8 hatte sehr schnell den Ruf, DNS-Anfragen von Clients schneller zu beant­worten als die DNS-Server des eigenen Internet-Provi­ders, was zu einer raschen Adap­tion führte - und dies sowohl bei Privat­kunden als auch in Unter­nehmen. Obwohl die Sicher­heits- und Daten­schutz­be­denken bereits von Beginn an präsent waren, muss man die 8.8.8.8 noch bis heute als den mit Abstand popu­lärsten DNS Resolver im Internet bezeichnen.

Neue “Mitspieler”

In den vergan­genen Monaten sind einige neue Mitspieler in diesem Markt aufge­taucht. Im November 2017 gab ein Konsor­tium bestehend aus den Unter­nehmen “Packet Clea­ring House”, der “Global Cyber Alli­ance” und IBM den Start­schuss für einen neuen globalen DNS Dienst, die “9.9.9.9” oder auch “Quad9” (https://www.quad9.org). Quad9 hat sich die Themen Privacy und Secu­rity auf die Fahnen geschrieben. In Quad9 sind cloud­ba­sierte DNS-Filter­dienste von IBM inte­griert, die DNS Anfragen auf bekannte Phis­hing- und Malware-Sites heraus­fil­tern und den User auf eine sicher Hinweis­seite redi­recten. Wer Quad9 ohne diese Filter­me­cha­nismen verwenden möchte, nutzt statt der 9.9.9.9 einfach die 9.9.9.10.
Nur wenige Monate später, im April 2018, stellt der US-Ameri­ka­ni­sche Konzern “Cloud­flare” eben­falls einen öffent­li­chen DNS-Resolver vor, die 1.1.1.1 (https://1.1.1.1). Cloud­flare ist der welt­weit führende Anbieter von dDoS-Protec­tion im WWW und besitzt eine der größten CDN- und Caching-Proxy-Infra­struk­turen welt­weit. Daher kann man bei 1.1.1.1 von einem enorm leis­tungs­fä­higen Dienst ausgehen, der auch neue Secu­rity-Aspekte imple­men­tiert. So hat man die Möglich­keit, verschlüs­selte DNS-Abfragen via DNS-over-TLS oder DNS-over-HTTPS durchzuführen.
Eine weitere Alter­na­tive gerade für Unter­nehmen bietet der teil­weise kommer­zi­elle Dienst “OpenDNS” der mitt­ler­weile vom US Unter­nehmen “Cisco Systems” über­nommen wurde und unter dem Namen “Umbrella” (https://umbrella.cisco.com/) vermarktet wird. Umbrella bietet einem Unter­nehmen einen konfi­gu­rier­baren Secu­rity-Layer auf DNS-Ebene, in dem bekannte Phis­hing- und Malware-Sites gefil­tert werden. Über die Abbil­dung von URL-Kate­go­rien wird hier ein cloud­ba­siertes Secure-Web-Gateway reali­siert. Ferner ist die DNS-Ebene ein effizienter Ansatz, um Command-and-Control-Traffic zu Botnetzen zu erkennen und einzu­dämmen. Umbrella sieht sich nicht als voll­stän­dige Secu­rity Lösung, bietet aber beispiels­weise eine “Second-Line-of-Defence” in Ergän­zung zu einer bestehenden Peri­meter-Fire­wall. Auch die Rechner von Mobile-Workern, die sich übli­cher­weise nicht hinter der Unter­neh­mens­fire­wall befinden, können über Umbrella effi­zient geschützt werden.

Der NETHINKS-DNS-Resolver

“Last but not Least” möchten wir auch noch mal auf unseren eigenen DNS-Resolver hinweisen (https://www.nethinks.com/dns-server). Exklusiv für unsere Kunden betreiben wir an unseren primären Internet Back­bone-Stand­orten in Frank­furt und Nürn­berg leis­tungs­fä­hige-DNS Resolver auf Basis der freien DNS-Soft­ware “Unbound” in einem effi­zi­enten Anycast-Verbund. Dieser Dienst ist von allen NT/Con­nect- oder NT/DSL-Anschlüssen aus frei nutzbar, ist im Vergleich allen großen DNS-Netz­werken 100% “Made in Germany” - und die IP-Adressen der Server sind fast genau so einfach zu merken wie im Fall der inter­na­tio­nalen “Big Player”. Wir empfehlen allen Kunden, diese DNS-Server ausschließlich oder in Verbin­dung mit einem der oben genannten öffent­li­chen Resolver zu nutzen.
Weitere Fragen zu DNS-Resol­vern und der Lösung “Umbrella“beantworten wir Ihnen gern - nehmen Sie Kontakt mit uns auf!

1 Gedanke zu „Die Qual der Wahl: Welcher DNS-Resolver darf´s denn sein?“

Schreibe einen Kommentar

Cookie Einstellungen
Diese Website verwendet Cookies, um die bestmögliche Funktionalität zu gewährleisten. Mehr lesen

Akzeptiere alle Cookies Speichern