Vorlesung SS 2001: Sicherheit in offenen Netzen 2.6 Internet Domain Name Service - DNS Prof. Dr. Christoph Meinel Informatik, Universität Trier & Institut für Telematik, Trier Prof. Dr. sc. nat. Christoph Meinel, Bahnhofstraße 30-32, D-54292 Trier 1
2. Architektur von Internet und Intranet 2.1 Internet Protocol - IP 2.2 Transmission Control Protocol - TCP 2.3 User Data Protocol - UDP 2.4 Internetprotokolle für serielle Leitungen 2.5 Adressierung in IP-Netzwerken 2.6 Internet Domain-Name Service - DSN 2.7 Internet Protocol Next Generation - IPv6 2.8 Netze mit mehreren Standorten 2.9 World Wide Web - WWW 2.10 Elektronische Post - E-Mail 2.11 Internet News 2.12 File Transport Protocol - FTP 2.13 Terminalemulation - Telnet 2.14 Verzeichnisdienst - LDAP 2.15 Multimedia Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 2
2.6 Internet Domain Name Service - DNS (1 von (1) Geschichte Î zur leichteren Benutzung wurden den numerischen IP-Adressen Namen zugeordnet. Î bis 1986 konnten beliebige Namen gewählt werden, die dann in einer zentral geführten Namensliste den numerischen Namen zugeordnet wurden Î mit zunehmender Zahl der Internetnutzer wurde es immer schwieriger, unbesetzte Namen zu finden, bei der Zahl 3000 war das System am Ende Î Entwicklung und Einführung des Domain-Name-Service -System mit hierarchischer Namenstruktur Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 3
2.6 Internet Domain Name Service - DNS (2 von (2) DNS - Namensstruktur (1 von Î Domain Name gliedert sich wie numerische IP-Adresse in zwei durch das Symbol @ getrennte Teile: ÎBenutzername (user-id) ÎNetzwerkname (net-id) Î Domains sind hierarchisch geordnet: die einer Domain untergeordnete Domain heißt Sub-Domain Î Domain-Namen bestehen aus Top Level Domain (ist am weitesten rechts plaziert) und aus Sub-Domains Î Anzahl der Sub-Domains ist beliebig; maximale Gesamtlänge des Domain- Namens: 24 Zeichen Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 4
Top Level Domains: Organisationsbezeichnungen: Domains: Einige geographische Top Level FRP 8QWHUQHKPHQFRPPHUFLDORUJDQL]DWLRQ DW gvwhuuhlfk GN 'lqhpdun HGX 8QLYHUVLWlW%LOGXQJVHLQULFKWXQJHGXFDWLRQDO,QVWLWXWLRQ DX$XVWUDOLHQ HV6SDQLHQ JRY 5HJLHUXQJVVWHOOHJRYHUQPHQW FD &DQDGD MS -DSDQ LQW,QWHUQDWLRQDOH2UJDQLVDWLRQ FK 6FKZHL] XN *UR EULWDQQLHQ PLO 0LOLWlULVFKH2UJDQLVDWLRQ GH'HXWVFKODQG XV 86$ QHW 1HW]ZHUN2UJDQLVDWLRQ RUJ 1LFKWSURILWRULHQWLHUWH 2UJDQLVDWLRQ Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 5
Neue Top Level Domains ILUP VKRS DUWV )LUPHQ,QWHUQHW*HVFKlIWH N QVWOHULVFKH2UJDQLVDWLRQHQ UHF 8QWHUKDOWXQJ LQIR,QIRUPDWLRQVVHLWHQ ZHE QRP 3URYLGHUXQGDQGHUH,QWHUQHW2UJDQLVDWLRQHQ (LQ]HOSHUVRQHQXQGNOHLQH)LUPHQ Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 6
2.6 Internet Domain Name Service - DNS (5 von (3) DNS-Protokoll (1 von Router können nur mit numerischen IP-Adressen und Subnetz- Adreßmasken arbeiten und nicht mit Domain-Namen Î DNS-Protokoll (Domain Name System) und DNS-Server setzen Domain-Namen in numerische IP-Adressen um. Ohne betriebsbereites DNS-System funktioniert das Internet nur nach Eingabe numerischer IP-Adressen Î DNS-Server sind analog zur Struktur des Namensraumes hierarchisch organisiert Î Zur Adreßnamenzuordnung wählt Root-Server einen DNS-Server für die Top Level Domain des Namens aus. Dieser wählt DNS-Server für die erste (von rechts gezählt) Sub-Domain aus, usw. Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 7
DNS Namen-Server-Hierarchie im Internet: Root Server.com.edu.gov us dec.com purdue.edu nsf.gov va.us Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 8
2.6 Internet Domain Name Service - DNS (7 von (3) DNS-Protokoll (3 von Î jeder DNS-Server verfügt über vier Zonen-Datenbanken : ÎForward Zone ÎReverse Zone ÎLocalhost ÎReverse Localhost Î Forward-Zone-Datenbank: enthält Zuordnung der Domain-Name zu den jeweiligen Internetadressen Î die beiden Local-Hostzonendateien dienen der Unterstützung des Loopback-Interfaces Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 9
2.6 Internet Domain Name Service - DNS (8 von (3) DNS-Protokoll (4 von Î Reverse-Zone-Datenbank: enthält Tabelle, die Internetadressen Domain- Namen zuordnet. ÎÜber eigene Internet-Adressen-Domain (in-addr.arpa) kann aus numerischer IP- Adresse Domain-Name ermittelt werden. Z.B. liefert DNS-Anfrage abc.def.ghi.jkl.in-addr.arpa den Domain-Name von abc.def.ghi.jkl. ÎDiskless Systeme können nach Systemstart mit Hilfe von Hardware-Adresse und RARP-Protokoll ihre numerische IP-Adresse ermitteln und dann ihren Domain-Namen finden ÎBerkely-Remote-Dienste rlogin oder rsh nutzen inverse DNS-Tabellen zur Authentifizierung der Benutzer Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 10
2.6 Internet Domain Name Service - DNS (9 von (3) DNS-Protokoll (5 von Î zur Gewährleistung des internetweiten DNS-Systems muß jeder Netzbetreiber auf zwei unabhängigen Computersystemen je einen DNS-Server mit Zuordnungstabellen der eigenen öffentlichen Domains und Sub-Domains betreiben Î für interne Adreßauflösung wird meist getrennt davon ein weiterer interner DNS-Server betrieben Î Zusammenspiel diese DNS-Server: verlangt lokaler Client Namensauflösung für externen Host, wird das an den öffentlichen DNS-Server weitergereicht und Zuordnung mit Hilfe des internetweiten DNS-Systems vorgenommen. Resultat wird anfragenden Client über lokalen DNS-Server zum Verbindungsaufbau mitgeteilt Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 11
2.6 Internet Domain Name Service - DNS (10 von (3) DNS-Protokoll (6 von Î zur Reduzierung des DNS-bedingten Datenverkehrs legt jeder DNS-Server eine lokalen Pufferspeicher (Cache) an. Dort werden Domain-Namen und zugeordnete Internetadressen abgespeichert, die bereits einmal von lokalen Client angefragt wurden. Nach einer Weile können die meisten DNS-Zugriffe vom lokalen Cache beantwortet werden Î zweiter DNS-Server secondary DNS-Server wird zur Entlastung des primären DNS-Servers eingesetzt. Dazu werden regelmäßig die Zonen-Dateien übertragen ( bulk zone transfer ) Prof. Dr. sc. nat. Christoph Meinel, Universität Trier & Institut für Telematik 12