Termine planen, Nachrichten austauschen, Kundendaten verwalten, am besten auch vom Smartphone aus. Das alles und noch viel mehr sollen moderne ... (mehr)

Zuverlässigkeit und Sicherheit

Für einen zuverlässigen Dienst ist Redundanz ein Muss. Ein derart wichtiger Service wie DNS sollte mindestens zweifach vorhanden sein – sonst brauchen Sie vermutlich mehr als zwei Aspirin, um mit den Kopfschmerzen fertig zu werden, die ihnen ein unzuverlässiger DNS-Service bereitet. Wer eine Datenbank als Backend verwendet, sollte selbstverständlich auch sie hochverfügbar auslegen.

Wie es im Zusammenhang mit BIND schon anklang, ist DNS ein häufiges Opfer von Angriffen. Weil Zugangsbeschränkungen oft auf Hostnamen basieren, lohnt es sich für Angreifer, DNS-Informationen zu manipulieren. Auch laufen DNS-Server immer mit Superuser-Rechten, weil sie Zugang zu privilegierten Ports haben, die unter Unix Root-Rechte erfordern. Das macht Exploits interessant, die sich über Buffer Overflows durch manipulierte DNS-Anfragen ausnutzen lassen.

Das beste Mittel dagegen ist, seine Software immer auf dem Laufenden zu halten. Auch eine vernünftige Firewall-Konfiguration für den DNS-Server ist kein Fehler, um andere Angriffspunkte zu minimieren. Schließen Sie alle Ports außer den Ports 22 (für das SSH-Login), 53/TCP und 53/UDP. Wollen Sie das Web-Frontend verwenden, öffnen Sie noch den Port 80. Besser ist es allerdings, stattdessen gleich den Webserver mit HTTPS zu konfigurieren und Port 443 zu verwenden. DNS-spezifische Maßnahmen für höhere Sicherheit sind, TSIG/TKEY und DNSSEC zu verwenden. Mit TSIG/TKEY sichern Sie Zone-Transfers ab, mit DNSSEC erschweren Sie das sogenannte Cache Poisoning.

Community

Wie bei anderen Open-Source-Projekten gibt es auch für PowerDNS eine Reihe von Möglichkeiten, Hilfe zu erhalten wie beispielsweise Mailinglisten, Foren und IRC. Auch kommerziellen Support bietet die hinter PowerDNS stehende Firma an, die auch die Community rund um PowerDNS am Laufen hält. Wer sich selbst einbringen möchte, hat dafür reichlich Gelegenheit. Offene Punkte sind derzeit etwa: Support für OS X, Solaris-Pakete, Backends testen, Regression-Tests schreiben und Bug-Tickets verwalten. Alleine die zahlreichen Web-Frontends zu katalogisieren, wäre schon ein nützlicher Dienst an der PowerDNS-Gemeinschaft. All diese Aufgaben bieten einen guten Einstieg in ein aktives und attraktives Open-Source-Projekt, das hilft, einen unverzichtbaren Dienst des Internets zu betreiben.

Infos

  1. PowerDNS: https://www.powerdns.com/
  2. Standards: https://www.powerdns.com/compliance.html
  3. Thomas Drilling, Chive: Web-2.0-Frontend zum Verwalten von SQL-Datenbanken, ADMIN 02/2012, http://www.admin-magazin.de/Das-Heft/2012/02/Chive-Web-2.0-Frontend-zum-Verwalten-von-SQL-Datenbanken
  4. Poweradmin: https://www.poweradmin.org/
comments powered by Disqus
Mehr zum Thema

Management virtueller Maschinen

Mithilfe einiger Kommandozeilen-Tools und selbst geschriebener Skripts lassen sich virtuelle Maschinen einfach klonen und verwalten. Mit dynamischen DNS-Updates sind die virtuellen Server sofort im Netz erreichbar.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022